admin/geedge-jira
1
0
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases Wiki Activity
Files
master
geedge-jira/md/OMPUB-918.md
hello 795018e8e5 attachment link
2025-09-14 22:27:11 +00:00

2.9 KiB
Raw Permalink Blame History

【E21现场】客户反馈测试psiphon3时部分节点穿透

ID Creation Date Assignee Status
OMPUB-918 2023-05-11T18:18:54.000+0800 刘洋 已关闭

client ip :196.188.157.5

测试出的穿透的节点IP如下

79.142.71.59

192.46.233.233

82.196.13.218

数据包及其他信息已提交给姜谊yinjiangyi commented on 2023-05-15T11:23:21.297+0800:

79.142.71.59查询会话日志穿透会话为s2c单向流策略仅对c2s侧生效 。

192.46.233.233:未查询到对应时段日志。

82.196.13.218能够命中程序自动学习IP object查询相关会话日志部分会话未成功标注为Psiphon-Server-APP。82.223.55.87上出现类似情况  OMPUB-923

yinjiangyi commented on 2023-05-15T16:24:07.264+0800:

上述节点均为业主办公室常规测试环境中出现穿透的节点

yangwei commented on 2023-05-24T17:27:27.673+0800:

当前配置的psiphon App 特征:

  • IP == slok_ip && Not ssl.SNI==xxx.com

功能端执行过程

  • stage 1packet stage扫描IP
  • stage 2session stage扫描 protocol SNI ...
  • stage N 第8个包显式执行Not识别结束

现象分析

  • 对于issue中描述的会话承载的协议是SSH扫描的条件包括IP、SSH
  • 但是会话生命周期内传输的包数量<8因此不会执行到Not条件因此也就不会命中前述的App特征
  • 从结果看对于这种传输包数小于8的会话原则上不会影响psiphon的效果
  • 如果传输的SSH会话包数超过8则在第8个包时显式执行Not满足特征

 

扩展

  • 对于前述的特征,实际的语义应该为以下两条特征 ** IP==slok_ip && Not SNI==xxx.com && Protocol in (HTTP, SSL)

IP==slok_ip && Not Protocol in (HTTPSSL )

  • 受限于执行Not的时机一个会话只能执行一次Not上述特征的第二条需要更新为 ** IP==slok_ip && Protocol in (DNS、BGP、SSH。。。)
  • 如果能够列举psiphon3可能的承载协议上述更新后的特征更符合实际的意图

 

结论

  • 当前特征受描述能力限制对于小于8个包的会话无法有效执行带Not条件的psiphon3特征
  • 从实际应用角度小于8个包的会话是否被识别为psiphon3不影响管控效果

       

 

Attachments

Attachment: 192.46.233.233.png

192.46.233.233.png

Attachment: 79.142.71.59.png

79.142.71.59.png

Attachment: 微信图片_20230511131735.png

微信图片_20230511131735.png