admin/geedge-jira
1
0
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases Wiki Activity
Files
6a8bfef5778fc7ddd06fa05776bf1ecd0f61d4c4
geedge-jira/md/OMPUB-923.md

65 lines
2.3 KiB
Markdown
Raw Normal View History

first
2025-09-14 21:52:36 +00:00
# 【E21现场】命中Psiphon Object的会话未按预期标注为Psiphon-Server-APP
| ID | Creation Date | Assignee | Status |
|----|----------------|----------|--------|
| OMPUB-923 | 2023-05-12T16:37:51.000+0800 | 刘学利 | 处理中 |
---
5.11日业主反馈 *办公室环境* 出现由82.223.55.87导致的穿透,现象如下:
* 业主提供的pcap包中对应会话为SSH协议会话发生时间为15:04-15:06
* 查询14:00-16:00的session record查询条件为用户端IP、服务端IP和服务端端口仅在15:40左右查询到两条会话记录与pcap包中记录时间相差较大
* 会话日志中查询到的两条会话均为测试设备的公网IP访问82.223.55.87、且端口为22的SSH协议会话预期应命中Psiphon-Server-APP - signature1Psiphon-Server-Signature但只有一条会话被标记为Psiphon-Server-APP另一条未识别红框内Psiphon3 APP为旧版本内置APP非deny对象
** 预期命中的Signature条件配置如下命中ip.dst且满足ssl.sni非条件
!image-2023-05-12-16-34-51-971.png|width=805,height=323!!image-2023-05-15-16-13-51-750.png|width=384,height=318!
 
 **yangwei** commented on *2024-03-25T17:16:34.662+0800*:
经与[~yinjiangyi] 讨论已配置的特征”dst.ip AND 非ssl.sni“ssl.sni已经被common.server_fqdn包含预期匹配如下情况
# sslhttpquic协议请求中不包含FQDN字段对应ssl.sni,http.host,quic.sni的会话
# 非sslhttpquic协议的会话
上述条件仅使用单一条件例如common.server_fqdn==empty无论是功能端实现还是用户使用都容易造成困扰。
* 例如对于http,ssl,quic会话s2c侧的单向流量满足server_fqdn==empty的条件但是不符合用户意图
 
针对24.02版本建议app signature更新为
* dst.ip AND negate (app==HTTP or app==SSL or app==QUIC)
* dst.ip AND ssl.sni_absent
HTTP和QUIC协议目前不支持显式的指定类似的fqdn_absent语义有需要的话功能端可以增加
---
**liuxueli** commented on *2024-05-13T15:07:43.505+0800*:
* 上述方案是否满足需求,请验证。[~yinjiangyi] 
---
## Attachments
**37898/82.223.55.87.pcapng**
---
**37899/image-2023-05-12-16-34-51-971.png**
---
**38043/image-2023-05-15-16-13-51-750.png**
---
Reference in New Issue Copy Permalink