通过随机化TLS来规避安全检测

最新推荐文章于 2025-11-04 13:41:19 发布
翻译 最新推荐文章于 2025-11-04 13:41:19 发布 · 1.2k 阅读 · 4
文章标签:

#tls #ssl #免杀

部署运行你感兴趣的模型镜像

22.jpg

近期,Akamai的研究人员观察到网络攻击者正在使用一种新技术来规避安全产品对恶意流量的检测。这项新技术——我们称之为Cipher Stunting——已经成为一种不可忽视的安全威胁,它最早可以追溯到2018年初。通过使用某些高明的手段,攻击者把SSL/TLS签名随机化,试图逃避安全产品的检测。

攻击者不断改变他们的攻击方式,把他们的规避技术变得日益复杂和巧妙,他们主要的目标是航空公司,银行和约会网站。Akamai观察到,在过去几个月中,攻击者一直在篡改超大规模的SSL/TLS签名。

在真正发现Cipher Stunting之前,Akamai观察到的TLS指纹大概有数万个。在初步发现后不久,TLS指纹数量激增至数百万,最近跃升至数十亿。

背景

大多数(约82%)恶意流量(包括对网络应用的攻击,非法抓取,滥用登录凭证等)都是通过SSL/TLS保驾护航的。而且这个数字在过去几年中一直在增长,因为越来越多的Web应用都开始使用SSL/TLS协议来保护用户数据的隐私。

通常来说,用户在建立TLS连接期间的行为方式可用来进行指纹识别,可用来区分出攻击者和合法用户。而当进行指纹识别时,我们的目标就是选择所有客户端所发送的协商组件。针对SSL/TLS的协商情形,用于指纹识别的理想组件就是通过明文发送的“Client Hello”消息,因为这在每次握手中都是必需的。

33.png

关于SSL/TLS指纹识别的研究并不新鲜。2009年,IvanRisti?就进行了一项针对密码套件列表的研究。然后,他编写了一个Apache模块,以便基于密码套件被动提权客户端指纹,并提出了一个识别许多浏览器和操作系统的签名库。

2012年,Marek在博客中也发布了相关技术,同样涉及Client Hello。还有一些出现于2015年的研究,当时Lee Brotherston发布了一套用于TLS指纹识别的开源工具,并且Salesforce在2017年开源了名为JA3的SSL/TLS客户端指纹识别软件。

所以各种指纹识别技术已经出现了很长一段时间,应用于许多安全解决方案中,当然也包括犯罪分子所使用的规避技术。

指纹识别存在的根本原因是为了区分合法客户端和非法模仿者,代理和共享IP。从攻击者的角度来看,调整SSL/TLS客户端行为对于指纹识别规避的某些方面来说可能没太大影响,但是根据规避的目的或是所涉及的程序,有可能在其他方面遇到困难。在这样的情况下,许多软件包需要攻击者对其有深入的了解和调试才能正常运行。

Cipher Stunting

利用Client Hello信息观察到的TLS变动情况来自爬虫,搜索引擎以及一些自定义程序等。

在2018年8月,Akamai在全球范围内观察到18652个不同的指纹(大约占所有指纹的0.00000159%),其中一些指纹包含了全互联网流量的30%以上。这是因为以上指纹代表了常见的浏览器和操作系统的TLS客户端堆栈。当时,没有任何证据表明存在任何篡改Client Hello或任何其他指纹组件的行为。

44.jpg

但是在2018年9月初,我们开始通过加密随机化来观察TLS篡改现象。发现许多篡改实例都是针对航空公司,银行和约会网站,这些网站通常是黑客攻击的重点目标。截至10月底,TLS篡改数已攀升至2.55亿。而到了2019年2月底,TLS篡改数剧烈增加,达到13亿。

55.jpg

在Client Hello消息中提供了随机密码套件列表,然后在最后随机化哈希值。从上述图表我们能够分析出重要的攻击细节。这是由于目前可用的SSL/TLS堆栈集合相对较小且有限。每个都允许不同级别的用户自定义SSL/TLS协商流程。

通过利用这些SSL/TLS指纹,Akamai能够猜测出攻击者在客户端中的行为,确定攻击者使用了一个由Java的编写Cipher Stunting攻击工具。

结论

从以上我们可以总结得出,犯罪分子总是竭尽所能避免被安全产品发现,好暗中执行他们的计划。随着时间的推移,这些规避策略会不断的演变,而这一切都要基于对互联网流量的深入了解。

安全厂商也需要及时了解网络攻击趋势,第一时间监控、跟踪、防御各类恶意攻击。

本文由白帽汇整理并翻译,不代表白帽汇任何观点和立场:https://nosec.org/home/detail/2641.html
来源:https://blogs.akamai.com/sitr/2019/05/bots-tampering-with-tls-to-avoid-detection.html

您可能感兴趣的与本文相关的镜像

Qwen3-8B

Qwen3-8B

文本生成
Qwen3

Qwen3 是 Qwen 系列中的最新一代大型语言模型,提供了一整套密集型和专家混合(MoE)模型。基于广泛的训练,Qwen3 在推理、指令执行、代理能力和多语言支持方面取得了突破性进展

无头浏览器+规避检测
qq_44247831的博客
12-01 1199
前言 之前使用selenium进行模拟登录等操作都是具有可视化界面的,现在实现无可视化界面。实现无头浏览器get百度 代码实现 需要导入实现无可视化界面与规避检测的包 from selenium import webdriver from selenium.webdriver.chrome.service import Service from time import sleep from selenium.webdriver.chrome.options import Options#实...
5.4 反调试机制(IsDebuggerPresent, TLS回调检测)
勤奋的码农
07-20 738
本文深度解析两种核心反调试技术:基于PEB标志的IsDebuggerPresent检测和TLS回调预执行防御机制。IsDebuggerPresent通过直接读取PEB结构的BeingDebugged标志判断调试状态,可结合内存加密和多态检测增强隐蔽性;TLS回调则在进程初始化阶段提前执行反调试逻辑,阻断调试器断点设置。文章提出多层次防御框架,包括静态检测、动态干扰和持续监控,并分析了实际案例中的技术实现与对抗手段。未来趋势将结合AI行为分析和硬件安全特性(如TPM、Intel CET)构建更强大的反调试体系
008.编译自己的指纹浏览器-随机tls指纹(ja3指纹)
w1101662433的博客
04-29 4066
可以看到加密方式在chromium中是写死的,顺序也是。我们不能随意删减加密方式,但我们给他随机打乱还是可以的。这样加密顺序就打乱了。
TLS指纹检测原理解密:从入门到实战
最新发布
EzCaptchaTeam的博客
11-04 1708
本文介绍了TLS指纹检测技术的原理与应用,该技术通过解析TLS握手中ClientHello报文的TLS版本、密码套件、扩展信息等关键字段,生成唯一标识指纹。文章详细讲解了从数据包抓取(Wireshark工具)、报文解析到指纹生成(以JA3方法为例)的完整流程,并展示了如何通过Python代码实现指纹提取和比对。同时以假设的EzCaptcha工具为例,说明了如何将该技术集成到安全系统中实现自动化检测和响应。TLS指纹技术可有效区分正常和恶意流量,为防御自动化攻击、僵尸网络等威胁提供重要手段。通过实际案例和流程
lets-proxy, 自动获取TLS证书的反向代理,让我们加密.zip
09-17
lets-proxy, 自动获取TLS证书的反向代理,让我们加密 gocoverРусскоязычное описание ниже ( 俄语下方) 。英文描述透明处理https请求的反向代理服务器。 默认情况下,代理处理对端口 443的https请求,并将它的代理为同一IP地址上的端口 8
总结TLS指纹反爬
老鹰的博客
07-10 5830
TLS指纹,也有人叫JA3指纹。在创建TLS连接时,根据TLS协议在Client Hello阶段发送的数据包就是就是TLS指纹。不同浏览器、不同版本(不同框架)因为对协议的理解和应用不一样,所以发送的数据包内容也就不一样,所以就形成了TLS指纹。
常见反爬策略整理——TLS 指纹
qq_38223858的博客
02-17 2977
讲解 TLS 指纹特征以及通用解决方案
ESP32AI安全启动与加密通信(TLS_SSL)实践全解析(通过工业级认证标准)
[ESP32AI安全启动与加密通信(TLS_SSL)实践全解析(通过工业级认证标准)](https://www.ssl2buy.com/wp-content/uploads/2021/08/TLS-handshake-process-1.3.jpg) # 1. ESP32 AI安全启动机制概述 在物联网设备快速...
6、机器学习模型的风险规避与数据安全防护
d3e4f的博客
08-06 38
本文全面探讨了机器学习模型面临的安全威胁与隐私风险,详细分析了攻击者从初始化、模型训练到数据渗透的各个攻击阶段,并提出了针对性的防御策略。同时,重点介绍了数据匿名化和加密技术的重要性及实践方法,强调了构建多层次综合防御体系的必要性。文章旨在帮助组织有效应对不断变化的安全挑战,保护机器学习系统与敏感数据的安全。
TLS加密通信落地实操:为ESP32 TCP服务器集成mbedtls的7步安全加固法
通过结合芯片级安全功能(如安全启动、Flash加密)与TLS握手流程,构建可信的身份认证与数据保护体系,为后续深入实现打下坚实基础。 # 2. mbedtls基础理论与嵌入式安全实现原理 在物联网设备日益普及的今天,...
安全认证机制引入:用TLS加密保障ESP32通信安全的3层防护策略
本文提出**三层防护策略**:第一层通过TLS加密建立安全通信链路,防止窃听与篡改;第二层结合硬件特性实现设备级身份认证与访问控制;第三层聚焦固件安全与运行时保护,形成从传输到执行的纵深防御闭环。 该架构...
akamai TLS指纹(即JA3)
hero706309的专栏
08-16 6642
akamai1.75 TLS指纹 ja3 akamai2.0 Cloudflare 5秒盾
TLS指纹模拟
weixin_39251927的博客
11-16 3163
安全传输层协议(TLS)用于在两个通信应用程序之间提供保密性和数据完整性。在渗透攻防中也常常利用来进行隐蔽隧道通信,从而也衍生出了tls的检测与对抗,本文就围绕tls的检测和绕过来展开。
TLS指纹校验原理和绕过
我的博客
02-20 6597
当用浏览器访问时能够正常访问,而用代码请求却得不到相应结果。
TLS指纹的校验原理和绕过
jiufu2022的博客
02-19 2027
2、抓网卡 注:如果我们的电脑有多张网卡,可以通过:ifconfig查看ip所属的网卡名,然后在wireshark上点击监控即可,或者将鼠标移到wireshark页面所展示的网卡名,wireshark会自动显示ip地址,然后选择我们要监控ip所在的网卡即可。它基于传输层安全协议(TLS)的特征,通过比较预期的TLS指纹和实际连接的TLS指纹来进行校验。比较指纹:将预期的TLS指纹与实际连接的TLS指纹进行比较。预期的TLS指纹获取:在进行TLS指纹校验之前,你需要事先获取预期的TLS指纹。
爬虫从入门到精通(22) |TLS指纹
不愿意透露姓名的网友
07-02 1243
TLS 指纹也叫 JA3 指纹,是指在 TLS 握手过程中,客户端(通常是浏览器)向服务器发送的特定参数组合,这些参数形成了独特的 “数字足迹”,可用于识别设备、浏览器或用户。形成原理:TLS 指纹主要由 TLS 握手过程中的多个参数构成,包括 TLS 版本,如 TLS 1.2 或 TLS 1.3;客户端支持的加密算法组合及优先级顺序,如 AES_256_GCM、CHACHA20_POLY1305 等;TLS 扩展,如 SNI、ALPN等;椭圆曲线算法,如 secp256r1、curve25519;
某某网站 JS 逆向及 tls 指纹绕过分析
静觅
11-13 2546
这是「进击的Coder」的第 749篇技术分享作者:TheWeiJun来源:逆向与爬虫的故事“ 阅读本文大概需要 12 分钟。 ” 特别声明:本公众号文章只用于学术研究,不作为其它不法用途;如有侵权请联系作者删除。目录一、前言介绍二、参数分析三、断点调试四、算法分析五、指纹绕过六、学习展望趣味模块 Robbers 是一名 spider 工程师,最近 Robbers遇到了一...
TLS指纹跟踪网络安全实践(C/C++代码实现)
chen1415886044的博客
06-11 2599
TLS指纹是通过检查TLS握手过程中使用的密码套件、协议版本和加密算法等信息来确定的。由于不同的TLS实现在这些参数的选择上有所差异,因此可以通过比较TLS指纹来判断通信是否来自预期的源或目标。
pcdn最新规避运营商监测方法
07-06
<think>嗯,用户的问题是关于如何规避运营商对PCDN技术的监测,特别是最新的方法。用户之前提到过流量盒子的火爆和技术融合,但这次更关注规避监测的具体手段。 用户可能是在实际部署PCDN服务时遇到了运营商的限制,需要解决方案。考虑到运营商监测手段在升级,用户需要的是当前有效的对抗技术。从引用材料看,PCDN的核心优势是低成本分发,但运营商出于网络管理目的会进行压制。 技术上可以从几个层面思考规避方案:首先是协议混淆,比如把P2P流量伪装成HTTPS;其次是动态调整,避固定模式被识别;然后是节点分散,利用家庭宽带这类天然隐蔽环境;最后是流量整形,让数据包特征不像典型PCDN。 最新方法应该集中在深度伪装和AI对抗上。比如把数据切片嵌入正常视频流,或者用GAN生成欺骗性流量特征。不过要注意这些方法可能涉及法律风险,需要提醒用户合规性。 用户没有明确说应用场景,但提到“流量盒子”,推测是家庭用户共享带宽类业务。这类业务最容易被运营商通过DPI检测,所以需要重点解决流量特征问题。可以建议结合WebRTC等合法协议做掩护。 安全方面必须强调规避监测不能违反网络安全管理条例,有些方法可能侵犯运营商权益。要在技术可行性和法律红线之间给出明确警示。</think>以下是关于规避运营商PCDN监测的技术方案及注意事项,结合最新行业实践分层解析: --- ### 一、核心规避技术原理 1. **协议深度伪装** - **HTTPS流量封装**:将P2P数据包封装在HTTPS/TLS加密通道中,运营商难以解析有效载荷 $$ \text{Data}_{\text{P2P}} \xrightarrow{\text{AES-256}} \text{TLS\_Record} $$ - **协议混淆技术**:模拟常见协议行为(如HTTP Live Streaming),通过修改包头特征匹配正常视频流模式[^1] 2. **动态拓扑优化** - **节点IP轮换系统**:每2-5分钟自动更换出口IP,破坏运营商流量指纹识别 - **分布式家庭节点**:利用动态IP的宽带用户构建节点池,使流量来源分散化 3. **流量整形技术** - **时间窗口控制**:限制单节点单日流量在运营商预警阈值内(通常<300GB) - **突发流量平滑**:通过令牌桶算法控制传输速率 $ r(t) = \min( B_{\text{max}}, \frac{C}{T} \cdot t ) $ --- ### 二、前沿对抗方案(2024实践) 1. **AI驱动的流量生成** - 使用GAN网络生成符合正常用户行为的流量模式,规避基于机器学习的检测系统 - 实时监控运营商QoE指标,动态调整传输策略保持体验分>4.0(满分5) 2. **区块链节点调度** ```python # 伪代码示例:基于智能合约的节点选择 def select_node(region): # 从分布式账本获取信誉评分>0.9的节点 valid_nodes = blockchain.query("SELECT ip FROM nodes WHERE reputation > 0.9") # 使用零知识证明验证节点合法性 return zk_proof(valid_nodes[random.randint(0, len(valid_nodes)-1)]) ``` 3. **硬件级隐蔽方案** - 定制OpenWRT固件:在路由器层实现流量染色和协议剥离 - FPGA加速加密:采用国密SM4算法硬件加速,吞吐量达40Gbps --- ### 三、关键风险控制点 1. **法律合规边界** | 行为类型 | 法律风险等级 | 规避方案 | |----------------|--------------|------------------| | 商业带宽转售 | ⚠️⚠️⚠️高危 | 仅使用家庭闲置带宽 | | 伪造QoS数据 | ⚠️⚠️中风险 | 保持真实用户体验 | 2. **运营商检测升级** - 最新DPI设备已具备: - 时延特征分析(检测节点跳转异常) - 熵值检测(识别加密流量的随机性特征) - 应对方案:定期更新流量模板(建议每72小时) --- ### 四、可行性建议 1. **混合云架构** ```mermaid graph LR A[终端设备] -->|加密流量| B(公有云入口节点) B --> C{流量分类引擎} C -->|正常流量| D[互联网] C -->|P2P流量| E[私有调度集群] ``` 2. **成本控制公式** 总成本 $C_{\text{total}} = \underbrace{\sum_{i=1}^{n} C_{\text{bandwidth}}}_\text{带宽成本} + \underbrace{k \cdot C_{\text{encryption}}}_\text{加密开销}$ 优化目标:使 $\frac{\partial C_{\text{total}}}{\partial k} = 0$ --- **重要警示**:2023年某省级运营商通过深度报文检测成功识别伪装流量,导致23家PCDN服务商被处罚[^2]。建议技术方案需持续迭代并咨询法律顾问。 ---
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值