到底混淆(伪装)是特征,还是“没有特征”就是特征呢?

2018-11-30 16:56:55 +08:00
 lcdtyph
下午看到一个帖子 https://www.v2ex.com/t/512951 ,里面有楼层说混淆本身就是特征。
但是我个人觉得没有特征才是最大的特征呀,想听听更多人的意见。
5834 次点击
所在节点    宽带症候群
42 条回复
geekvcn
2018-11-30 17:28:15 +08:00
不是說了嗎 , 不管你怎麼搞 , 混淆還是不混淆 , 都能 100%識別 , 混淆更容易識別 , 特徵更明顯 , 不混淆也能識別 , 但是要在茫茫的合法和不合法流量裏挑出來很麻煩 , 也就是時間成本和性能開銷 , 非特殊時期部署後會不會影響正常合法流量和現有服務 , 一般特殊時期都是直接一刀切不管合法流量還是不合法 , 不止混淆是特徵 , 日流量 , 月流量 , 服務提供商等等都是特徵 , 真有必要物理斷網都行
kljsandjb
2018-11-30 17:30:59 +08:00
混淆就是特征 没毛病
lcdtyph
2018-11-30 17:33:55 +08:00
@geekvcn #1
先不考虑 100%识别的极端情况,因为不现实。
我觉得混淆之后的流量要识别是很麻烦的,因为要区分伪装的和真实的并不容易,从这个角度来说它的特征和已知合法协议一样,反而不那么明显了。
而没有特征的协议就不一样了,在特殊时期可以考虑随机阻断位置协议的流量,这个成本不要太低,所以没有特征本身就是一种特征呀。
hundan
2018-11-30 17:36:53 +08:00
我的观点:100%识别?没有特征是特征?混淆本身是特征?口嗨而已,讲讲细节讲的出来吗
lcdtyph
2018-11-30 17:37:03 +08:00
@kljsandjb #2 能详细说说么
yexm0
2018-11-30 17:37:41 +08:00
阿里云香港跟新加坡,无论你是正常做站的,还是拿来开飞机的,一律炸.
所以特征不特征的就只是看人家心情而已.
lcdtyph
2018-11-30 17:39:20 +08:00
@yexm0 #6 阿里云可以直接在你的服务器上作行为监视,这个炸了不是很正常么。
geekvcn
2018-11-30 17:42:34 +08:00
@lcdtyph HTTPS , HTTP 的本身特徵都很明顯 , 但是偽裝後的流量和正常 HTTP , HTTPS 區別很大 , 比方說單 IP 訪問頻率 , 流量 , 沒有特徵意味著混在海量流量里 , 海量流量都是沒特徵的 , 而不是像伪装成微信视频通话的数据包 , HTTP , HTTPS 這些協議本身正常流量有很大特徵 , 不符合正常的特徵全部 ban 了
yexm0
2018-11-30 17:47:57 +08:00
@lcdtyph 与监视无关,是连正常的做站也被干扰的.
@hundan 上一年带 R 的写了个检测不带 R 的流量的程序,然后不带 R 的那位反击写了个识别带 R 的流量的程序,这俩的程序识别出来的精确度还行.
lcdtyph
2018-11-30 17:51:23 +08:00
@geekvcn #8
这个问题感觉是因为目前常用的混淆效果得不够好导致的…
你说的“海量流量”具体指什么呢,我理解的是这些在经过骨干节点的流量绝大多数都是 HTTP/HTTPS 吧。
aa6563679
2018-11-30 17:51:43 +08:00
反正我的机场只要是 tls 一律炸,不管是真 https 还是其他的东西
geekvcn
2018-11-30 17:52:07 +08:00
@lcdtyph 還有你一直說特殊時期 , 特殊時期一般是白名單制 , 混淆不混淆都沒用 , 就是我所說的一刀切 , 所以平時情況下混淆一定是更容易被識別
geekvcn
2018-11-30 17:56:52 +08:00
@lcdtyph TCP , UDP 流量那麼多 , http/https 只是 TCP 數據包中的一部分什麼時候占絕大多數了
lcdtyph
2018-11-30 18:01:22 +08:00
@geekvcn #13 因为普通用户是绝大多数呀,能扩散出去的一般也就 HTTP(s)+DNS 了,顶多再有一些视频语音流量和 BT 什么的。
wy315700
2018-11-30 18:04:06 +08:00
和正常的流量有任何一点不一样就是特征
geekvcn
2018-11-30 18:06:56 +08:00
@lcdtyph 就這麼和你說吧 , 全看當局臉色 , 嚴的時候白名單 , 或者物理斷網 , 不嚴的時候混在海量 TCP/UDP 流量里而不是 HTTP 這類只是 TCP 的一種更好 , 我就打個比方 , 一個國內的 IP 每天都對國外一個 IP 大流量 , 按照你說的一般人也就上上網而且是不同的網 , 那這個 IP 不是跳板是什麼? 而且這個 IP 還是搬瓦工這類大型企業不會用 , 一般人很多用來做跳板的 , 所以沒有混淆和不混淆 , 只有嚴不嚴
hundan
2018-11-30 18:12:44 +08:00
@yexm0 是这样的,如果说 100%识别能做到只是资源问题的话,反过来说也是一样的。这里并不是谈论现有的协议和检测手法,能被检测只能说明协议伪装不够完美。
流量的传递和识别,本质上一个是客户端和服务端的解析,然后中间人进行特征提取。
但理论上可以创造一种协议,比如伪装成 http,使得流量的内容在中间人看来可以完美的解析为 http,或者说流量可被浏览器解析为正常页面,而在两端被使用自有协议解析。
也就是说,理想情况下的流量和正常流量完全一致。
上面某人说的 100%识别只是资源问题,那我也可以说 100%伪装也是资源问题。
但是唯一的问题是开发难度极大。
当然如果你们加个前提条件:现有协议,那当我没说过。
hundan
2018-11-30 18:14:20 +08:00
虽然感觉你们在扯现有协议的问题,我可能扯远了
Love4Taylor
2018-11-30 18:15:55 +08:00
讲一件事 正常 TLS 流量在运营商后台是可以看到域名的. 而 s(r) 混淆出来的只有 IP.
lcdtyph
2018-11-30 18:25:09 +08:00
@Love4Taylor 目前原版和 r 版的 tls 混淆都是有 sni 部分的,是看得见域名的。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/513135

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX