V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
winer1997
V2EX  ›  问与答

想请教一下大家网络审计都能审计到什么呢?

  •  
  •   winer1997 · 2019-11-07 16:06:54 +08:00 · 1920 次点击
    这是一个创建于 1603 天前的主题,其中的信息可能已经有所发展或是发生改变。

    实习单位有些许保密性,虽然不高。不过所有的流量都是要经过网络审计的。并且每个人分配静态 IP,与账号和 mac 绑定。 想问下网络审计都能审计审计到什么呀 HTTP 协议的肯定是全都能查出来这个不用说 HTTPS 电脑里没装过单位的证书,这个理论上只要网站的证书签发部门不是单位这边应该查不出来都看了些什么吧?

    还有两个不太清楚的,一个是 P2P 协议,要上传和下载的流量会不会被查出来是什么呢?另一个是...因为是科研单位,有些资料国内查着十分困难,所以...你们都懂的。这个流量肯定是查不出来到底做了什么,但是应该是可以查到有些奇怪的东西跑出去了吧(其实在考虑换加密协议,换成伪造 HTTP 和 HTTPS 的那种)

    请大家赐教呀

    第 1 条附言  ·  2019-11-07 16:49:37 +08:00
    突然想到一种方法能不能破掉 HTTPS。如果通过中间人攻击,在我发请求的时候强行剥离 SSL 证书,然后用 http 的方式与 https 分别与服务器通信,随后把 https 的数据包返还给我,http 自己留取解读。这种方法对于没有强制 HTTPS 的网站是不是会有效果.....
    Tianao
        1
    Tianao  
       2019-11-07 16:58:49 +08:00 via iPhone
    关于第 1 条附言:
    中间人没有服务器私钥强行与客户端建立 HTTPS 连接,客户端浏览器会报不安全错误。
    just1
        2
    just1  
       2019-11-07 17:19:13 +08:00 via Android
    保密单位用 p2p ?
    ayase252
        3
    ayase252  
       2019-11-07 17:26:23 +08:00   ❤️ 1
    关于 HTTPS。为了防止你说的情况,所以建立了证书的 PKI 架构。除了中间人能够拿到根 CA 签发的有效证书,浏览器会察觉到服务器提供的证书不对。
    当然也有方法破解,像强行向你的机器里添加一个自签发的证书,然后用这张证书签的子证书来拦截。
    ruixue
        4
    ruixue  
       2019-11-07 17:31:59 +08:00   ❤️ 2
    https 根据 sni 能探测你访问的域名,具体内容无法被监听,前提是本地没有被安装根证书劫持(录屏、键盘记录等没道理可讲的监控手段暂不讨论),否则的话和明文的 http 没差。有没有被中间人可以装个 firefox 看看,firefox 有自己的证书库,不采用系统的,要是访问 https 网站一直报安全错误那就有问题了
    强烈建议工作电脑别干私人的事,自己的需求用流量解决
    xenme
        5
    xenme  
       2019-11-07 17:35:42 +08:00 via iPhone
    电脑都在你的控制范围的话,基本 https 里面的内容是看不到的。
    不过如果这个级别的话,说明安全审计也不是特别严。

    严格的基本都是所有流量必须走代理出去,全部流量都是透明的,黑白名单(甚至包括协议)
    winer1997
        6
    winer1997  
    OP
       2019-11-07 19:39:28 +08:00
    @Tianao 关于那条附言,我的意思是,网络审计只需要发两次请求就好了。一次是我的那个直接发给服务器,让它返回给我服务器原始的数据包,这样我这边的浏览器和 https 都不会有问题。第二次是把我请求的数据包完全拷贝一份,然后把里面求 https 的部分剥离掉,然后向服务器发一个同内容的 http 请求....然后审计的时候自己解读服务器返回的遵守 http 协议的数据解读完直接扔掉......
    不过刚刚想了下,这样好像只在一开始建立连接的时候可以,连接建立完成后所有的数据都要经过 https 通道所以也审计不到什么,谢谢啦
    winer1997
        7
    winer1997  
    OP
       2019-11-07 19:41:12 +08:00
    @just1 分级别的....不是所有的电脑都是最高的保密级,那种级别是直接断网的....然后还有专门要求装证书以及监控程序的。不过我现在常用的电脑是级别最低的那种...只经过一个网络审计而已,所以保密的东西都不在这里~
    winer1997
        8
    winer1997  
    OP
       2019-11-07 19:49:02 +08:00
    @ruixue 好的,谢谢啦。能根据 sni 探测域名这个确实是可以的~最开始的握手包应该也是可以解读哒。
    目前浏览器是 chrome,系统和软件都是我自己装的,电脑上所有的证书都专门查过,也用 fiddler 抓过包,除了一些现在也不愿意做 https 的软件以外我抓包的时候基本上没什么大问题
    另外谢谢建议(说实话我们这边网络信号不好,甚至怀疑是专门在园区里屏蔽了 4G...要不然肯定还是用自己的热点全程代理和强制加密比较放心)
    winer1997
        9
    winer1997  
    OP
       2019-11-07 19:54:02 +08:00
    @xenme 明白啦,因为现在实习所以需要保密比较严格的都不会从我这边过。那些真正严格的都是直接断网,然后才是全流量透明。
    系统也都是我亲自装的不会有问题,现在看来只要确定电脑上自动联网的程序没有用 http 协议的就可以了~谢谢!
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   我们的愿景   ·   实用小工具   ·   5207 人在线   最高记录 6543   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 35ms · UTC 01:22 · PVG 09:22 · LAX 18:22 · JFK 21:22
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.