14、DissecTLS：可扩展的TLS服务器主动扫描工具

DissecTLS：可扩展的TLS服务器主动扫描工具

1. 引言

传输层安全协议（TLS）如今已成为互联网加密通信的事实标准，为分析、比较和关联服务器提供了良好的基础。TLS协议受库、硬件能力、自定义配置以及上层应用的影响，使得每个服务器都有特定的TLS配置。在TLS初始握手阶段，客户端和服务器会交换能力信息，因此可以收集大量相关元数据。

目前收集这些元数据主要有两种方式：
- 资源密集型扫描 ：像testssl.sh或SSLyze这类TLS服务器调试工具，能动态适应服务器并重建出人类可读的表示，但资源消耗大。
- 轻量级指纹识别 ：如JARM或主动TLS栈指纹识别（ATSF），使用少量固定请求来区分TLS服务器配置，适合大规模互联网扫描。

收集和分析大量TLS服务器配置能带来诸多应用，如监控应用服务器集群、检测恶意命令与控制（C&C）服务器等。然而，固定请求集可能导致数据冗余和有用信息遗漏，而全面扫描服务器目前工具效率又不够。因此，本文提出了DissecTLS，一种轻量级且能重建TLS栈配置和能力的主动TLS扫描器。

1.1 主要贡献

• 提出服务器TLS栈模型，可解释其对不同请求的行为，并用于为每个服务器定制TLS客户端问候（CH）以重建底层配置。
• 比较了五种流行的TLS扫描器在检测不同配置和扫描成本方面的能力，在本地测试床和顶级列表目标上进行了实验。
• 对一个顶级列表和两个黑名单进行了为期九周的测量研究，比较了使用指纹识别工具和DissecTLS检测C&C服务器的效