geedge-jira/md/OMPUB-918.md

# 【E21现场】客户反馈测试psiphon3时部分节点穿透

| ID | Creation Date | Assignee | Status |
|----|----------------|----------|--------|
| OMPUB-918 | 2023-05-11T18:18:54.000+0800 | 刘洋 | 已关闭 |


---

client ip :196.188.157.5

测试出的穿透的节点IP如下：

79.142.71.59

192.46.233.233

82.196.13.218

数据包及其他信息已提交给姜谊**yinjiangyi** commented on *2023-05-15T11:23:21.297+0800*:

79.142.71.59：查询会话日志，穿透会话为s2c单向流，策略仅对c2s侧生效 。

192.46.233.233：未查询到对应时段日志。

82.196.13.218：能够命中程序自动学习IP object，查询相关会话日志，部分会话未成功标注为Psiphon-Server-APP。82.223.55.87上出现类似情况  OMPUB-923



---

**yinjiangyi** commented on *2023-05-15T16:24:07.264+0800*:

上述节点均为业主办公室常规测试环境中出现穿透的节点



---

**yangwei** commented on *2023-05-24T17:27:27.673+0800*:

当前配置的psiphon App 特征：
 * IP == slok_ip && Not ssl.SNI==xxx.com

功能端执行过程
 * stage 1（packet stage）：扫描IP
 * stage 2（session stage）：扫描， protocol， SNI ...
 * stage N （第8个包）：显式执行Not，识别结束

现象分析
 * 对于issue中描述的会话，承载的协议是SSH，扫描的条件包括IP、SSH
 * 但是会话生命周期内传输的包数量<8，因此不会执行到Not条件，因此，也就不会命中前述的App特征
 * 从结果看，对于这种传输包数小于8的会话，原则上不会影响psiphon的效果
 * 如果传输的SSH会话包数超过8，则在第8个包时，显式执行Not，满足特征

 

扩展
 * 对于前述的特征，实际的语义应该为以下两条特征
 ** IP==slok_ip && Not SNI==xxx.com && Protocol in (HTTP, SSL)

IP==slok_ip && Not Protocol in (HTTP，SSL )

 * 受限于执行Not的时机（一个会话只能执行一次Not），上述特征的第二条，需要更新为：
 ** IP==slok_ip && Protocol in (DNS、BGP、SSH。。。)
 * 如果能够列举psiphon3可能的承载协议，上述更新后的特征，更符合实际的意图

 

结论
 * 当前特征受描述能力限制，对于小于8个包的会话，无法有效执行带Not条件的psiphon3特征
 * 从实际应用角度，小于8个包的会话，是否被识别为psiphon3，不影响管控效果

       

 



---



# Attachments

Attachment: 192.46.233.233.png

![192.46.233.233.png](https://gfwleak.exec.li/admin/geedge-jira/raw/branch/master/attachment/37966/192.46.233.233.png)



Attachment: 79.142.71.59.png

![79.142.71.59.png](https://gfwleak.exec.li/admin/geedge-jira/raw/branch/master/attachment/37965/79.142.71.59.png)



Attachment: 微信图片_20230511131735.png

![微信图片_20230511131735.png](https://gfwleak.exec.li/admin/geedge-jira/raw/branch/master/attachment/37801/微信图片_20230511131735.png)