admin/geedge-jira
1
0
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases Wiki Activity
Files
master
geedge-jira/md/OMPUB-515.md
hello 795018e8e5 attachment link
2025-09-14 22:27:11 +00:00

7.7 KiB
Raw Permalink Blame History

【E21现场】业主在一个策略里对配置多个VPN deny包含psiphon针对策略验证效果时多个应用存在也被deny 。业主不满意VPN deny策略效果

ID Creation Date Assignee Status
OMPUB-515 2022-06-08T21:46:10.000+0800 刘学利 已关闭

今天业主反馈在同一个策略配置多个VPN 测试VPN deny效果包含psiphon 等),策略验证后发现以下等网站存在误封情况:

Tik Tok  BBC CNN The  New York Times

业主对策略效果不满意。

具体策略配置及策略命中日志见附件liuxueli commented on 2022-06-09T10:05:05.983+0800:

  • [~liuju] 请确认用户测试时测试终端没有连接VPN。

liuxueli commented on 2022-06-09T10:11:48.117+0800:

  • [~dongxiaoyan] 请在京版环境尝试复测本BUG。

zhengchao commented on 2022-06-09T10:17:01.211+0800:

[~doufenghu]  确认Tik Tok 、BBC等域名在Top学习列表中。

dongxiaoyan commented on 2022-06-09T14:49:57.079+0800:

[~liuxueli] 信息港环境T9K访问以下网站

[https://www.tiktok.com/about] [https://www.bbc.com/] [https://edition.cnn.com/] [https://www.nytimes.com/]

1、测试ip不在Psiphon3 Client IP正常访问

2、测试ip在Psiphon3 Client IPsever ip不在Top Server IPsni不在Top Sni访问被deny

3、测试ip在Psiphon3 Client IPsni在Top Sni正常访问

 

dongxiaoyan commented on 2022-06-09T15:35:08.824+0800:

信息港环境测试过程中共命中日志8W多条app类型四个 !image-2022-06-09-15-34-17-105.png|width=419,height=189!

四个类型分别查看日志的sni或host为正常命中

liuxueli commented on 2022-06-09T15:44:59.991+0800:

  • E现场目前topSNI学习的是top 2000的域名[~liuju] 使用报表统计一天内每个域名出现次数。

liuxueli commented on 2022-06-09T16:59:02.223+0800:

  • 统计一天内每个域名出现次数结果显示Tik Tok、BBC、CNN、The  New York Times不在top 2000里 ** Tik Tok对应的tiktok.com域名 *** {color:#de350b}在HTTP DOMAIN排名第151位但是不参与topSNI的学习{color} *** {color:#de350b} 在SSL SNI中排名18883位{color} *** !image-2022-06-09-16-53-30-129.png! ** BBC对应bbc.com域名

** *** {color:#de350b}在HTTP DOMAIN排名第880位但是不参与topSNI的学习{color} *** {color:#de350b} 在SSL SNI中排名2046位{color} *** !image-2022-06-09-16-54-48-026.png! ** CNN对应cnn.com域名 *** {color:#de350b}在HTTP DOMAIN排名第1445位但是不参与topSNI的学习{color} *** {color:#de350b} 在SSL SNI中排名7001位 {color} *** !image-2022-06-09-16-55-58-032.png! ** The  New York Times对应nytimes.com域名 *** {color:#de350b}在HTTP DOMAIN排名第3051位但是不参与topSNI的学习{color} *** {color:#de350b} 在SSL SNI中排名12519位  {color} *** !image-2022-06-09-16-56-50-515.png!

  • 是否可以考虑 ** 按照域名出现的次数学习,比如: 一天访问次数超过10000次就学习到topSNI中。 ** h4. 知名网站的域名加到topSNI白名单中

h4. 如Alexa排名前1000

doufenghu commented on 2022-06-09T19:02:57.407+0800:

观察现象:

从如上安全事件日志中服务端IP 96.7.226.29(akamai)104.126.226.114(akamai) 192.232.80.158(Fastly) 被阻断但如上Server IP在Top Server IP 白名单里。抽取96.7.226.29识别出的App如下

|ssl_sni|App List|sessions| |gameplayapi.intel.com|['','ldaps','Psiphon3','akamai','oracle_oem','nrpe','http2','monero']|170251| |gameplay.intel.com|['','ldaps','Psiphon3','akamai','oracle_oem','http2','nrpe','monero']|142478| | |['','bittorrent','telegram','nbns','microsoft','oracle_oem','windows_update','outlook','yahoo','zoom','akamai','amazon','App_OPENVPN','monero','imo','ms_teams','uc_browser','windows_marketplace', 'http2','nrpe','tidaltv','yadro','Psiphon3','office365','signal_private_messenger','cloudflare','skype','bing','facetime','oracle','crashlytics','steam','mozilla']|114701| |www.intel.com|['','Psiphon3','akamai','oracle_oem','http2','nrpe']|4327| |api.intel.com|['','Psiphon3','akamai']|1362| |ark.intel.com|['','Psiphon3','akamai']|1354| |signin.intel.com|['','Psiphon3','akamai']|241| |corpredirect.intel.com|['','Psiphon3','akamai']|207| |software.intel.com|['','Psiphon3','akamai']|20| |csmobiledata.intel.com|['akamai']|2| |retailedge.intel.com|['Psiphon3']|1|

  1. 可能误封的APP最近24小时SNI和服务端IP情况参见附件[^App Info.xlsx]
  • tiktok相关SNI 121个相关服务端IP为5853个 ** 流量最大前7个SNI在SNI 白名单中其它SDKAPI 相关域名未在SNI 白名单中。 ** 抽取大部分访问量最高的服务端IP已在Server IP白名单中。
  • bbc 相关SNI 19个相关服务端IP为657个 ** 包含的SNI都不在SNI白名单中。 ** 访问量最高的服务端IP也是部分存在。
  • cnn 相关SNI 55个相关服务端IP为241个 ** 包含的SNI都不在SNI白名单中。 ** 访问量最高的服务端IP也是部分存在。
  • nytimes相关SNI 59个相关服务端IP为381个 ** 包含的SNI都不在SNI白名单中。 ** 访问量最高的服务端IP也是部分存在。

 

zhengchao commented on 2022-06-10T10:09:26.572+0800:

[~doufenghu] 

SNI为什么只有Top 2000

可否合并子域名后进行Top

doufenghu commented on 2022-06-10T11:32:59.834+0800:

[~zhengchao]  此处Galaxy对推荐的最大阈值进行了限制已在22.05已修复。

临时处置可通过调整Nacos 的top SNI 和 Server IP最大阈值。修改后更新的对象量是否对DPI有影响[~liuxueli] 

  1. 界面配置为 Top Server IP 为20w Galaxy 限制最大阈值<4w) 
  2. 界面配置为Top SNI 为3w (Galaxy 限制最大阈值2000 {quote}SNI为什么只有Top 2000 {quote} 可合并子域名并进行Top升级查询网关SNI推荐功能阻断效果(是否漏封)可后续测试下。 {quote}可否合并子域名后进行Top {quote}

Attachments

Attachment: App+Info.xlsx

App+Info.xlsx

Attachment: image-2022-06-09-15-33-39-543.png

image-2022-06-09-15-33-39-543.png

Attachment: image-2022-06-09-15-34-17-105.png

image-2022-06-09-15-34-17-105.png

Attachment: image-2022-06-09-16-53-30-129.png

image-2022-06-09-16-53-30-129.png

Attachment: image-2022-06-09-16-54-48-026.png

image-2022-06-09-16-54-48-026.png

Attachment: image-2022-06-09-16-55-58-032.png

image-2022-06-09-16-55-58-032.png

Attachment: image-2022-06-09-16-56-50-515.png

image-2022-06-09-16-56-50-515.png

Attachment: securityEvents.xlsx

securityEvents.xlsx

Attachment: 微信图片_20220608164349.png

微信图片_20220608164349.png