admin/geedge-jira
1
0
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases Wiki Activity
Files
42e3a9ba59612ce57d31021350c437ed48bde35b
geedge-jira/md/OSS-239.md
hello 42e3a9ba59 attachment link
2025-09-14 22:26:17 +00:00

9.6 KiB
Raw Blame History

APP特征整理测试-安然

ID Creation Date Assignee Status
OSS-239 2022-06-17T12:22:19.000+0800 安然 完成

核实、整理目前咱们获得的APP特征系统192.168.44.72app ID8092-8172。如果系统里的APP和咱们最近提取新疆APP重复的进行整合一下。ID8092-8172范围内的APP均需要核实特征配置情况并测试结果填写测试记录表。

1、要求每一个环节都得做到严谨。

2、同一个Signature中不允许跨协议类型使用Attributes作为ConditionTCP/IP/General Attributes除外。

3、参照数据包采集与特征提取 

4、根据APPid循序填写整理测试记录表 [https://docs.geedge.net/pages/viewpage.action?pageId=71797774]anran commented on 2022-06-20T18:08:12.064+0800:

总80个应用,今日整理了52个应用到confluence,

[https://docs.geedge.net/pages/viewpage.action?pageId=71797774]

计划明日将剩余28个应用整理好并下载

anran commented on 2022-06-21T18:03:55.838+0800:

测试了应用8092-8107

下载了8145-8152部分OA到windows

 

anran commented on 2022-06-22T18:09:25.287+0800:

应用特征已经全部检查一遍,待新建有阻断效果的特征并导出特征json配置

anran commented on 2022-06-24T16:51:08.828+0800:

2022年6月23日

1.整理72tsg平台应用的时候遇到不能导出内置ip的问题,暂时无法在288平台新建应用特征

2.重新捕获ios应用软件 QQ QQ邮箱 QQ音乐 QQ浏览器 腾讯会议 企业微信 微信 数据包并分析特征 .在分析数据包过程中发现问题“测试应用特征符合http.host和ssl.handshake.extensions_server_name匹配的阻断条件,但是从捕获的数据包来看,并未阻断,而是建立连接后有数据交互" 

!image-2022-06-24-16-50-41-444.png!

!image-2022-06-24-16-48-57-500.png!

 

anran commented on 2022-06-24T16:55:16.963+0800:

成功阻断ios 应用 QQ邮箱 QQ音乐

测试腾讯会议时候发现之前发现的问题依然存在,可以复现,已经将此问题上报给研发,待回复

 

anran commented on 2022-06-24T17:23:01.192+0800:

成功阻断 QQ浏览器

通过捕获数据包进行分析,添加tcp.payload 特征

User-Agent: mttlite

User-Agent: MQQBrowser

QQ-S-ZIP: gzip

 

anran commented on 2022-06-27T18:07:23.108+0800:

1.对应用QQ 进行抓包分析,添加tcp.payload 特征 

Q-Guid: Q-UA: Q-UA2: QQ-S-ZIP: gzip User-Agent: QQ Host: circlevideo2.photo.qq.com  

但还没有成功阻断

-2.上周提交的问题研发给出建议:配置tcp_payload特征条件,条件内容为: conn.wemeet.tencent.com-

-已经对应用tencentmeeting 特征作出修改,重新验证发现问题依然存在,已将重新捕获的数据包提交至研发,等待答复-

anran commented on 2022-06-28T17:11:08.063+0800:

1.对ios应用QQ进行抓包分析,添加tcp.payload 特征

486f73743a20737164642e6d796170702e636f6d    Host: sqdd.myapp.com 557365722d4167656e743a205151    User-Agent: QQ 486f73743a20712e716c6f676f2e636e    Host: q.qlogo.cn 486f73743a207775702e696d74742e71712e636f6d3a38303830    Host: wup.imtt.qq.com:8080 512d477569643a    Q-Guid: 512d55413a20    Q-UA:  512d5541323a20    Q-UA2:  51512d532d5a49503a20677a6970    QQ-S-ZIP: gzip 512d417574683a20    Q-Auth:  486f73743a2063646e696d672e33672e71712e636f6d    Host: cdnimg.3g.qq.com

但还没有阻断成功

2.验证研发给出建议:配置tcp_payload特征条件,条件内容为: conn.wemeet.tencent.com

已经对应用tencentmeeting 特征作出修改,重新验证,测试通过

3.成功阻断ios应用  58同城,知乎,腾讯会议,微信

anran commented on 2022-06-29T17:36:18.568+0800:

1、对ios 应用QQ进行抓包分析,添加tcp.payload特征

2a2e717069632e636e    *.qpic.cn 2a2e70686f746f2e71712e636f6d    *.photo.qq.com 2a2e70686f746f2e73746f72652e71712e636f6d    *.photo.store.qq.com 2a2e716c6f676f2e636e    *.qlogo.cn 2a2e73746f72652e71712e636f6d    *.store.qq.com 717069632e636e    qpic.cn 2a2e74656e63656e742e636f6d    *.tencent.com 74656e63656e742e636f6d    tencent.com

但还没有阻断成功

2、对ios应用 阿里巴巴Alibaba 进行抓包分析,添加tcp.payload特征 2a2e74616f62616f2e636f6d    *.taobao.com 6163732e6d2e74616f62616f2e636f6d acs.m.taobao.com 557365722d4167656e743a20416c6962616261    User-Agent: Alibaba 682d6164617368782e75742e74616f62616f2e636f6d    h-adashx.ut.taobao.com 676d2e6d6d737461742e636f6d    gm.mmstat.com 486f73743a20616d64632e6d2e74616f62616f2e636f6d    Host: amdc.m.taobao.com 2a2e6d6d737461742e636f6d    *.mmstat.com

但还没有阻断成功

另外发现将特征内容gm.mmstat.com配置到域名+tcp.payload后,抓包中可以看到会话没有被阻断,还可以继续会话,已经创建工单给研发 https://jira.geedge.net/browse/OMPUB-542,等待研发答复

3、成功阻断ios应用 美团,boss直聘,wifi万能钥匙

其中对boss直聘,添加了tcp.payload特征

557365722d4167656e743a20424f5353   User-Agent: BOSS 2a2e7a686970696e2e636f6d    *.zhipin.com

anran commented on 2022-06-30T17:51:48.574+0800:

1、对ios 应用全民K歌进行抓包分析,添加tcp.payload特征

2a2e61706463646e2e74632e71712e636f6d    *.apdcdn.tc.qq.com    61706463646e2e74632e71712e636f6d    apdcdn.tc.qq.com 2a2e717069632e636e    *.qpic.cn 2a2e70686f746f2e71712e636f6d    *.photo.qq.com 2a2e70686f746f2e73746f72652e71712e636f6d    *.photo.store.qq.com 2a2e716c6f676f2e636e    *.qlogo.cn 2a2e73746f72652e71712e636f6d    *.store.qq.com 7069632e636e    qpic.cn

但还没有阻断成功

2、验证研发的答复https://jira.geedge.net/browse/OMPUB-542,确认多个应用包含同一个特征最大上限不能超过8个,如果超过8个,后面应用引用的效果会无效

3、为阻断alibaba,筛选之前重复的域名配置

4、因平台不能删除域名问题,需要将原应用导出json,修改后重新导入平台才可以特殊删除域名(问题已经上报)

anran commented on 2022-07-01T17:58:57.051+0800:

1、为阻断ios应用alibaba,筛选之前重复域名的配置,下列域名在多个app中引用

acs.m.taobao.com .taobao.com gw.alicdn.com g.alicdn.com *.mmstat.com gm.mmstat.com

因需要一边测试一边导出json,修改后重新添加,还未完全筛选完

2、导出新疆app特征,每一个应用生成一个json文件,将文件标题,内容大写替换成小写,整理成列表

anran commented on 2022-07-04T18:01:23.108+0800:

1、对ios 应用企业微信进行抓包分析,添加tcp.payload特征

776f726b2e77656978696e2e71712e636f6d    work.weixin.qq.com 77776d656574696e672e77656978696e2e71712e636f6d    wwmeeting.weixin.qq.com 6b662e77656978696e2e71712e636f6d    kf.weixin.qq.com 696d706f72742e71712e636f6d    import.qq.com 2a2e71796170692e77656978696e2e71712e636f6d    *.qyapi.weixin.qq.com 2a2e7274786170702e636f6d    *.rtxapp.com 2a2e776f726b2e77656978696e2e636f6d    *.work.weixin.com 776f726b2e77656978696e2e636f6d     work.weixin.com 71796170692e77656978696e2e71712e636f6d    qyapi.weixin.qq.com 2a2e776f726b2e77656978696e2e71712e636f6d    *.work.weixin.qq.com 646f632e77656978696e2e71712e636f6d    doc.weixin.qq.com 6f70656e2e7765636f6d2e74656e63656e742e636f6d    open.wecom.tencent.com

但还没有阻断成功

2、对ios 应用QQ进行抓包分析但还没有阻断成功

 

anran commented on 2022-07-05T16:56:50.391+0800:

1、对ios 应用QQ进行抓包分析但还没有阻断成功

2、对ios 应用全民K歌进行抓包分析,添加

udp_dst.port 8000

tcp_dst.port 14000

tcp_dst.ip等特征

但还没有阻断成功

anran commented on 2022-07-06T17:57:35.954+0800:

1、对ios 应用QQ进行抓包分析但还没有阻断成功

尝试通过分析oicq协议获取特征

anran commented on 2022-07-07T18:00:33.798+0800:

编写python脚本提取数据包payload,进行比对分析(还未完成)

niuxiang commented on 2022-07-11T09:58:48.271+0800:

本周集中处理新疆部分有效果和无效果的APP需要提供特征json每天更新进度

https://docs.geedge.net/pages/viewpage.action?pageId=71801232

anran commented on 2022-07-11T17:49:37.128+0800:

QQ IOS 已经下载安装添加特征,但未完全阻断,android已经下载安装待测试

微信电话本 android已经下载安装待测试

千牛 IOS 已经下载安装添加特征,但未完全阻断,android已经下载安装待测试

派派 IOS 已经成功阻断,android已经下载安装待测试

YY语音 IOS 已经下载安装添加特征,但未完全阻断,android已经下载安装待测试

探探 IOS 已经成功阻断,android已经下载安装待测试

anran commented on 2022-07-12T17:46:32.203+0800:

QQ IOS 已经下载安装添加特征,但未完全阻断,android已经下载安装待测试

微信电话本 android已经下载安装待测试

千牛 IOS 已经下载安装添加特征,但未完全阻断,android已经下载安装待测试

派派 IOS 已经成功阻断,android已经成功阻断

YY语音 IOS 已经下载安装添加特征,但未完全阻断,android已经下载安装待测试

探探 IOS 已经成功阻断,android已经成功阻断

Attachments

Attachment: image-2022-06-24-16-48-57-500.png image-2022-06-24-16-48-57-500.png

Attachment: image-2022-06-24-16-50-41-444.png image-2022-06-24-16-50-41-444.png