admin/geedge-jira
1
0
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases Wiki Activity
Files
6a8bfef5778fc7ddd06fa05776bf1ecd0f61d4c4
geedge-jira/md/OMPUB-515.md

224 lines
6.5 KiB
Markdown
Raw Normal View History

first
2025-09-14 21:52:36 +00:00
# 【E21现场】业主在一个策略里对配置多个VPN deny包含psiphon针对策略验证效果时多个应用存在也被deny 。业主不满意VPN deny策略效果
| ID | Creation Date | Assignee | Status |
|----|----------------|----------|--------|
| OMPUB-515 | 2022-06-08T21:46:10.000+0800 | 刘学利 | 已关闭 |
---
今天业主反馈在同一个策略配置多个VPN 测试VPN deny效果包含psiphon 等),策略验证后发现以下等网站存在误封情况:
Tik Tok 
BBC
CNN
The  New York Times
业主对策略效果不满意。
具体策略配置及策略命中日志见附件**liuxueli** commented on *2022-06-09T10:05:05.983+0800*:
* [~liuju] 请确认用户测试时测试终端没有连接VPN。
---
**liuxueli** commented on *2022-06-09T10:11:48.117+0800*:
* [~dongxiaoyan] 请在京版环境尝试复测本BUG。
---
**zhengchao** commented on *2022-06-09T10:17:01.211+0800*:
[~doufenghu]  确认Tik Tok 、BBC等域名在Top学习列表中。
---
**dongxiaoyan** commented on *2022-06-09T14:49:57.079+0800*:
[~liuxueli] 信息港环境T9K访问以下网站
[https://www.tiktok.com/about]
[https://www.bbc.com/]
[https://edition.cnn.com/]
[https://www.nytimes.com/]
1、测试ip不在Psiphon3 Client IP正常访问
2、测试ip在Psiphon3 Client IPsever ip不在Top Server IPsni不在Top Sni访问被deny
3、测试ip在Psiphon3 Client IPsni在Top Sni正常访问
 
---
**dongxiaoyan** commented on *2022-06-09T15:35:08.824+0800*:
信息港环境测试过程中共命中日志8W多条app类型四个 !image-2022-06-09-15-34-17-105.png|width=419,height=189!
四个类型分别查看日志的sni或host为正常命中
---
**liuxueli** commented on *2022-06-09T15:44:59.991+0800*:
* E现场目前topSNI学习的是top 2000的域名[~liuju] 使用报表统计一天内每个域名出现次数。
---
**liuxueli** commented on *2022-06-09T16:59:02.223+0800*:
* 统计一天内每个域名出现次数结果显示Tik Tok、BBC、CNN、The  New York Times不在top 2000里
** Tik Tok对应的tiktok.com域名
*** {color:#de350b}在HTTP DOMAIN排名第151位但是不参与topSNI的学习{color}
*** {color:#de350b} 在SSL SNI中排名18883位{color}
*** !image-2022-06-09-16-53-30-129.png!
** BBC对应bbc.com域名
*
**
*** {color:#de350b}在HTTP DOMAIN排名第880位但是不参与topSNI的学习{color}
*** {color:#de350b} 在SSL SNI中排名2046位{color}
*** !image-2022-06-09-16-54-48-026.png!
** CNN对应cnn.com域名
*** {color:#de350b}在HTTP DOMAIN排名第1445位但是不参与topSNI的学习{color}
*** {color:#de350b} 在SSL SNI中排名7001位 {color}
*** !image-2022-06-09-16-55-58-032.png!
** The  New York Times对应nytimes.com域名
*** {color:#de350b}在HTTP DOMAIN排名第3051位但是不参与topSNI的学习{color}
*** {color:#de350b} 在SSL SNI中排名12519位  {color}
*** !image-2022-06-09-16-56-50-515.png!
* 是否可以考虑
** 按照域名出现的次数学习,比如: 一天访问次数超过10000次就学习到topSNI中。
**
h4. 知名网站的域名加到topSNI白名单中
***
h4. 如Alexa排名前1000
---
**doufenghu** commented on *2022-06-09T19:02:57.407+0800*:
观察现象:
# 从如上安全事件日志中服务端IP 96.7.226.29(akamai)104.126.226.114(akamai) 192.232.80.158(Fastly) 被阻断但如上Server IP在Top Server IP 白名单里。抽取96.7.226.29识别出的App如下
|ssl_sni|App List|sessions|
|gameplayapi.intel.com|['','ldaps','Psiphon3','akamai','oracle_oem','nrpe','http2','monero']|170251|
|gameplay.intel.com|['','ldaps','Psiphon3','akamai','oracle_oem','http2','nrpe','monero']|142478|
| |['','bittorrent','telegram','nbns','microsoft','oracle_oem','windows_update','outlook','yahoo','zoom','akamai','amazon','App_OPENVPN','monero','imo','ms_teams','uc_browser','windows_marketplace',
'http2','nrpe','tidaltv','yadro','Psiphon3','office365','signal_private_messenger','cloudflare','skype','bing','facetime','oracle','crashlytics','steam','mozilla']|114701|
|www.intel.com|['','Psiphon3','akamai','oracle_oem','http2','nrpe']|4327|
|api.intel.com|['','Psiphon3','akamai']|1362|
|ark.intel.com|['','Psiphon3','akamai']|1354|
|signin.intel.com|['','Psiphon3','akamai']|241|
|corpredirect.intel.com|['','Psiphon3','akamai']|207|
|software.intel.com|['','Psiphon3','akamai']|20|
|csmobiledata.intel.com|['akamai']|2|
|retailedge.intel.com|['Psiphon3']|1|
2. 可能误封的APP最近24小时SNI和服务端IP情况参见附件[^App Info.xlsx]
* tiktok相关SNI 121个相关服务端IP为5853个
** 流量最大前7个SNI在SNI 白名单中其它SDKAPI 相关域名未在SNI 白名单中。
** 抽取大部分访问量最高的服务端IP已在Server IP白名单中。
* bbc 相关SNI 19个相关服务端IP为657个
** 包含的SNI都不在SNI白名单中。
** 访问量最高的服务端IP也是部分存在。
* cnn 相关SNI 55个相关服务端IP为241个
** 包含的SNI都不在SNI白名单中。
** 访问量最高的服务端IP也是部分存在。
* nytimes相关SNI 59个相关服务端IP为381个
** 包含的SNI都不在SNI白名单中。
** 访问量最高的服务端IP也是部分存在。
 
---
**zhengchao** commented on *2022-06-10T10:09:26.572+0800*:
[~doufenghu] 
SNI为什么只有Top 2000
可否合并子域名后进行Top
---
**doufenghu** commented on *2022-06-10T11:32:59.834+0800*:
[~zhengchao]  此处Galaxy对推荐的最大阈值进行了限制已在22.05已修复。
临时处置可通过调整Nacos 的top SNI 和 Server IP最大阈值。修改后更新的对象量是否对DPI有影响[~liuxueli] 
1. 界面配置为 Top Server IP 为20w Galaxy 限制最大阈值<4w) 
2. 界面配置为Top SNI 为3w (Galaxy 限制最大阈值2000
{quote}SNI为什么只有Top 2000
{quote}
可合并子域名并进行Top升级查询网关SNI推荐功能阻断效果(是否漏封)可后续测试下。
{quote}可否合并子域名后进行Top
{quote}
---
## Attachments
**28569/App+Info.xlsx**
---
**28537/image-2022-06-09-15-33-39-543.png**
---
**28538/image-2022-06-09-15-34-17-105.png**
---
**28548/image-2022-06-09-16-53-30-129.png**
---
**28549/image-2022-06-09-16-54-48-026.png**
---
**28550/image-2022-06-09-16-55-58-032.png**
---
**28553/image-2022-06-09-16-56-50-515.png**
---
**28518/securityEvents.xlsx**
---
**28517/微信图片_20220608164349.png**
---
Reference in New Issue Copy Permalink