2.0 KiB
2.0 KiB
【E21现场】客户反馈目前youtube和Facebook存在穿透情况
| ID | Creation Date | Assignee | Status |
|---|---|---|---|
| OMPUB-919 | 2023-05-11T18:22:14.000+0800 | 杨威 | 已关闭 |
client ip :196.188.157.5
客户在该环境测试psiphon3效果时,顺便测试了youtube和Facebook、telegram的封堵效果,测试发现该环境下youtube和Facebook穿透。
排查需要的数据包和相关数据直接提交给了研发。yangwei commented on 2023-05-15T18:37:21.498+0800:
根据现场提供的信息(存储在京版服务器192.168.40.82:/home/admin/youtube_facebook目录),捕获到两个位置分别访问YouTube和Facebook的pcap数据
用户拨测客户端(公网IP 196.188.157.5)
Bole-IGW站点5块NPB上使用功能端捕包工具,以 host 196.188.157.5为过滤条件捕获的数据包
分析结果
使用”tls.handshake.extensions_server_name contains "facebook" and ip.addr==157.240.195.35“作为过滤条件
在客户端数据包中{}过滤出8个tcp会话{}
在NPB04的数据包中{}过滤出4个tcp会话{},{}均为c2s单向流,缺失一半会话{}
使用”tls.handshake.session_id == xx“作为过滤条件,对比两个位置过滤出的tcp会话数据
NPB04上的4个会话,全部包含在客户端数据包中,传输过程符合在发送Client hello后,触发功能端drop的行为
另外4个未在NPB04找到的会话,传输过程完整,符合客户端可以成功访问的行为
YouTube的数据包分析过程类似,客户端包含youtube.com的ssl会话,约有{}一半没有在NPB上找到{}
结论:对于YouTube和Facebook的穿透情况,根据前方发回的数据包分析,{}原因为部分会话(约50%)未经过TSG的流量处理节点{}
yangwei commented on 2023-07-06T11:24:21.366+0800:
[~songlongkun] 麻烦更新下现场跟本issue相关的情况,如果有新情况,建议开新的issue记录,暂时关闭本issue