# 【M22项目】VPNLITE特征提取 | ID | Creation Date | Assignee | Status | |----|----------------|----------|--------| | OSS-290 | 2024-06-17T13:04:09.000+0800 | 钮昌 | 完成 | --- 1、VPNLITE特征提取 2、可以使用BJ环境进行特征提取 3、https://docs.geedge.net/pages/viewpage.action?pageId=129101057 下载地址[https://apps.apple.com/us/app/vpn/id6473779563] 4、可以找王世杨配合**niuchang** commented on *2024-06-17T18:31:42.292+0800*: 抓包分析该软件使用两种方式连接节点,一种为Ping已获取节点后TCP协议直连,server_port均为18000;一种为TLS协议与域名连接,server_port均为443。目前server_ip特征74个,fqdn特征5个,初步实验免费版本实现阻断。[操作记录|https://docs.geedge.net/pages/viewpage.action?pageId=129102825] 钮昌完成工作:分析VPN通信方式,根据所属地址段信息筛选ping目标节点,提交server_ip特征32个。 王世杨完成工作:提交server_ip特征42个,分析并提交fqdn特征5个。 --- **niuchang** commented on *2024-06-18T19:01:08.045+0800*: 初步分析判断TCP直连节点更新频率较低,TLS连接域名为大量随机域名,应为向api.gameanalytics.com通信请求得到。 钮昌完成工作:IOS自动化方式学习及环境准备,分析获取连接节点域名方式。 王世杨完成工作:验证获取连接节点域名方式,提交server_ip特征31个,提交fqdn特征5个。 --- **niuchang** commented on *2024-06-19T19:03:52.304+0800*: TCP直连方式节点端口范围为[18000, 3320, 8099] 域名连接方式域名特征为 1.一级域名为['xyz', 'info']中一个 2.实际承载ip位于地址段[104.21.0.0/16, 172.67.0.0/16]中,且均为cloudfare云服务节点。 计划采用srcip+域名特征的方式自动添加fqdn特征fd 钮昌完成工作:IOS自动化方式实践,分析直连域名特征。 王世杨完成工作:提交server_ip特征42个,提交fqdn特征7个。 --- **niuchang** commented on *2024-06-20T18:30:46.483+0800*: 将域名特征直接作为app命中条件进行fd,BJ环境实验无误封。 钮昌完成工作:VPN域名特征调整,BJ环境误封验证。 王世杨完成工作:提交server_ip特征53个,BJ环境CT验证。 --- **niuchang** commented on *2024-06-21T18:11:40.441+0800*: 将域名特征直接作为FD条件方案,BJ环境验证有少量误封流量。 后续调整为筛选fqdn精确匹配方式,同时将域名连接方式的server_ip也加入ip对象。 钮昌完成工作:调整VPN域名特征,更新CM操作脚本,编写测试VPNLite对象筛选、更新脚本。 王世杨完成工作:BJ环境及M Demo环境误封验证,提交server_ip特征14个。 --- **niuchang** commented on *2024-06-24T17:57:50.386+0800*: 0621 19:00 M Demo环境IOS实机测试CT现象严重,推测为该软件在不同地区使用不同的节点。 由于M Demo环境本周暂时无法使用,该软件M地区节点提取等待环境恢复后进行。 BJ环境继续测试提取发现有新增TCP与TLS节点。 钮昌完成工作:新增ip对象40个,fqdn对象15个。 王世杨本日请假。 --- **niuchang** commented on *2024-06-25T18:12:07.532+0800*: BJ环境继续按0621方案添加TCP与TLS节点。 王世杨完成工作:新增IP对象37个,fqdn对象8个 --- **niuchang** commented on *2024-06-26T18:11:46.608+0800*: 钮昌完成工作:新增IP对象27个,fqdn对象11个。 王世杨完成工作:新增IP对象11个,fqdn对象11个。 --- **niuchang** commented on *2024-06-27T18:29:52.879+0800*: 钮昌完成工作:fqdn对象13个。 --- ## Attachments