54 lines
2.1 KiB
Markdown
54 lines
2.1 KiB
Markdown
# 【M22项目】Betternet VPN特征提取
|
||
|
||
| ID | Creation Date | Assignee | Status |
|
||
|----|----------------|----------|--------|
|
||
| OSS-316 | 2024-07-16T09:31:15.000+0800 | 钮昌 | 完成 |
|
||
|
||
|
||
---
|
||
|
||
1、Betternet VPN特征提取
|
||
|
||
2、可以使用44.228环境进行特征提取,BJ环境进行误封测试
|
||
|
||
3、[https://docs.geedge.net/pages/viewpage.action?pageId=129101971]
|
||
|
||
4、[~niuchang] 和[~wangshiyang] 一起进行这个软件的特征提取**niuchang** commented on *2024-07-16T18:01:33.320+0800*:
|
||
|
||
使用fiddler解密,发现4个获取节点通信域名,但返回为加密内容,使用协议为wireguard,Hydra(自有协议,使用tls1.2且伪造域名),IKEv2,Hydra可使用ja3完全阻断,且阻断后会不断连接新节点,因此先使用这种方案提取Hydra节点,已有3400余个。
|
||
钮昌完成工作:VPN通信方式分析,节点提取方案研究与验证,提取fqdn特征4个,serverip特征1100余个。
|
||
王世杨完成工作:VPN Android端、IOS端、PC端抓包与协议分析,系统内置wireguard协议阻断该VPN验证,提取serverip特征2300余个。
|
||
|
||
|
||
|
||
---
|
||
|
||
**wangshiyang** commented on *2024-07-17T18:36:18.491+0800*:
|
||
|
||
继续使用ja3阻断Hydra协议,提取server ip 8078个(包含昨日3400个),发现window版本IKEv2协议穿透,抓包发现使用源端口与目的端口为500、4500端口通信,使用源地址+500、4500端口和任何地址+500、4500端口下策略阻断,提取server ip 269个;
|
||
|
||
钮昌完成工作:编写window自动化脚本,不断点击VPN连接按钮,且阻断后会不断连接新节点,提取serverip特征2400余个。
|
||
|
||
王世杨完成工作:VPN PC端IKEv2协议分析,系统内置isakmp协议阻断该VPN验证,提取serverip特征2400余个。
|
||
|
||
|
||
|
||
---
|
||
|
||
**wangshiyang** commented on *2024-07-18T18:23:55.904+0800*:
|
||
|
||
继续使用ja3阻断Hydra协议,提取server ip 9000余个;
|
||
|
||
钮昌完成工作:编写脚本从会话日志中筛选serverip追加到IP列表中,提取serverip特征500余个。
|
||
|
||
王世杨完成工作:编写自动化脚本,测试特征效果,提取serverip特征500余个。
|
||
|
||
|
||
|
||
---
|
||
|
||
|
||
|
||
# Attachments
|
||
|