3.6 KiB
【M22项目】VPNLITE特征提取
| ID | Creation Date | Assignee | Status |
|---|---|---|---|
| OSS-290 | 2024-06-17T13:04:09.000+0800 | 钮昌 | 完成 |
1、VPNLITE特征提取
2、可以使用BJ环境进行特征提取
3、https://docs.geedge.net/pages/viewpage.action?pageId=129101057
下载地址[https://apps.apple.com/us/app/vpn/id6473779563]
4、可以找王世杨配合niuchang commented on 2024-06-17T18:31:42.292+0800:
抓包分析该软件使用两种方式连接节点,一种为Ping已获取节点后TCP协议直连,server_port均为18000;一种为TLS协议与域名连接,server_port均为443。目前server_ip特征74个,fqdn特征5个,初步实验免费版本实现阻断。[操作记录|https://docs.geedge.net/pages/viewpage.action?pageId=129102825] 钮昌完成工作:分析VPN通信方式,根据所属地址段信息筛选ping目标节点,提交server_ip特征32个。 王世杨完成工作:提交server_ip特征42个,分析并提交fqdn特征5个。
niuchang commented on 2024-06-18T19:01:08.045+0800:
初步分析判断TCP直连节点更新频率较低,TLS连接域名为大量随机域名,应为向api.gameanalytics.com通信请求得到。 钮昌完成工作:IOS自动化方式学习及环境准备,分析获取连接节点域名方式。 王世杨完成工作:验证获取连接节点域名方式,提交server_ip特征31个,提交fqdn特征5个。
niuchang commented on 2024-06-19T19:03:52.304+0800:
TCP直连方式节点端口范围为[18000, 3320, 8099] 域名连接方式域名特征为 1.一级域名为['xyz', 'info']中一个 2.实际承载ip位于地址段[104.21.0.0/16, 172.67.0.0/16]中,且均为cloudfare云服务节点。 计划采用srcip+域名特征的方式自动添加fqdn特征fd 钮昌完成工作:IOS自动化方式实践,分析直连域名特征。 王世杨完成工作:提交server_ip特征42个,提交fqdn特征7个。
niuchang commented on 2024-06-20T18:30:46.483+0800:
将域名特征直接作为app命中条件进行fd,BJ环境实验无误封。 钮昌完成工作:VPN域名特征调整,BJ环境误封验证。 王世杨完成工作:提交server_ip特征53个,BJ环境CT验证。
niuchang commented on 2024-06-21T18:11:40.441+0800:
将域名特征直接作为FD条件方案,BJ环境验证有少量误封流量。 后续调整为筛选fqdn精确匹配方式,同时将域名连接方式的server_ip也加入ip对象。 钮昌完成工作:调整VPN域名特征,更新CM操作脚本,编写测试VPNLite对象筛选、更新脚本。 王世杨完成工作:BJ环境及M Demo环境误封验证,提交server_ip特征14个。
niuchang commented on 2024-06-24T17:57:50.386+0800:
0621 19:00 M Demo环境IOS实机测试CT现象严重,推测为该软件在不同地区使用不同的节点。 由于M Demo环境本周暂时无法使用,该软件M地区节点提取等待环境恢复后进行。 BJ环境继续测试提取发现有新增TCP与TLS节点。 钮昌完成工作:新增ip对象40个,fqdn对象15个。 王世杨本日请假。
niuchang commented on 2024-06-25T18:12:07.532+0800:
BJ环境继续按0621方案添加TCP与TLS节点。 王世杨完成工作:新增IP对象37个,fqdn对象8个
niuchang commented on 2024-06-26T18:11:46.608+0800:
钮昌完成工作:新增IP对象27个,fqdn对象11个。 王世杨完成工作:新增IP对象11个,fqdn对象11个。
niuchang commented on 2024-06-27T18:29:52.879+0800:
钮昌完成工作:fqdn对象13个。