新的深度指纹检测方法可以轻易识别伪装TLS连接
即连续爆出的两个严重漏洞后,伪装TLS连接工具uTLS现在有一个更大的问题。 [ 1 , 2 ]
新的研究报告了一种同时针对 TLS 客户端与服务器识别方法。它证明仅仅模仿 TLS 握手包的表面特征已经不足以躲避检测。GFW 将可以在更深层维度区分“真浏览器”和“伪装工具”。
新的攻击方法不再仅仅依赖 TLS 握手阶段的明文特征(如 Cipher Suites 列表),而是通过分析 TLS 协议栈在处理非标准、边缘情况或错误注入时的具体行为反应来进行识别。以前工具只需要由 ClientHello 看起来像 Chrome 就能骗过检测。现在,如果它们不能完美模仿 Chrome 在面对网络错误、丢包或恶意注入行为就会被立即识破。
GFW 可以直接部署规则,对于特征符合“伪造 Chrome”的数据包进行阻断。因为真正的 Chrome 不会出现这种逻辑矛盾,误杀率极低。GFW 可以向客户端发送一个特制的“警告 Alert”或“无效 TLS 版本包”。如果客户端是真正的 Chrome,它可能会忽略或返回特定的 Alert。如果客户端是伪装工具(但底层是 Golang 网络栈),它可能会立即断开连接或返回不同的错误码。
这种方法有可能为流量审查方提供了一套更高级的武器库。对于依赖 uTLS 进行伪装的代理工具提出了强大挑战。
研究报告原文
[消息等级 Level C2 · 简要]
即连续爆出的两个严重漏洞后,伪装TLS连接工具uTLS现在有一个更大的问题。 [ 1 , 2 ]
新的研究报告了一种同时针对 TLS 客户端与服务器识别方法。它证明仅仅模仿 TLS 握手包的表面特征已经不足以躲避检测。GFW 将可以在更深层维度区分“真浏览器”和“伪装工具”。
新的攻击方法不再仅仅依赖 TLS 握手阶段的明文特征(如 Cipher Suites 列表),而是通过分析 TLS 协议栈在处理非标准、边缘情况或错误注入时的具体行为反应来进行识别。以前工具只需要由 ClientHello 看起来像 Chrome 就能骗过检测。现在,如果它们不能完美模仿 Chrome 在面对网络错误、丢包或恶意注入行为就会被立即识破。
GFW 可以直接部署规则,对于特征符合“伪造 Chrome”的数据包进行阻断。因为真正的 Chrome 不会出现这种逻辑矛盾,误杀率极低。GFW 可以向客户端发送一个特制的“警告 Alert”或“无效 TLS 版本包”。如果客户端是真正的 Chrome,它可能会忽略或返回特定的 Alert。如果客户端是伪装工具(但底层是 Golang 网络栈),它可能会立即断开连接或返回不同的错误码。
这种方法有可能为流量审查方提供了一套更高级的武器库。对于依赖 uTLS 进行伪装的代理工具提出了强大挑战。
研究报告原文
[消息等级 Level C2 · 简要]
来自频道: @vps_xhq