admin/geedge-jira
1
0
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases Wiki Activity
Files
46daec8ae4f23d69adb742d28491a4a3a7f6c63a
geedge-jira/md/OMPUB-923.md
hello 46daec8ae4 first
2025-09-14 21:52:36 +00:00

2.3 KiB
Raw Blame History

【E21现场】命中Psiphon Object的会话未按预期标注为Psiphon-Server-APP

ID Creation Date Assignee Status
OMPUB-923 2023-05-12T16:37:51.000+0800 刘学利 处理中

5.11日业主反馈 办公室环境 出现由82.223.55.87导致的穿透,现象如下:

  • 业主提供的pcap包中对应会话为SSH协议会话发生时间为15:04-15:06
  • 查询14:00-16:00的session record查询条件为用户端IP、服务端IP和服务端端口仅在15:40左右查询到两条会话记录与pcap包中记录时间相差较大
  • 会话日志中查询到的两条会话均为测试设备的公网IP访问82.223.55.87、且端口为22的SSH协议会话预期应命中Psiphon-Server-APP - signature1Psiphon-Server-Signature但只有一条会话被标记为Psiphon-Server-APP另一条未识别红框内Psiphon3 APP为旧版本内置APP非deny对象 ** 预期命中的Signature条件配置如下命中ip.dst且满足ssl.sni非条件

!image-2023-05-12-16-34-51-971.png|width=805,height=323!!image-2023-05-15-16-13-51-750.png|width=384,height=318!

 

 yangwei commented on 2024-03-25T17:16:34.662+0800:

经与[~yinjiangyi] 讨论已配置的特征”dst.ip AND 非ssl.sni“ssl.sni已经被common.server_fqdn包含预期匹配如下情况

sslhttpquic协议请求中不包含FQDN字段对应ssl.sni,http.host,quic.sni的会话

非sslhttpquic协议的会话

上述条件仅使用单一条件例如common.server_fqdn==empty无论是功能端实现还是用户使用都容易造成困扰。

  • 例如对于http,ssl,quic会话s2c侧的单向流量满足server_fqdn==empty的条件但是不符合用户意图

 

针对24.02版本建议app signature更新为

  • dst.ip AND negate (app==HTTP or app==SSL or app==QUIC)
  • dst.ip AND ssl.sni_absent

HTTP和QUIC协议目前不支持显式的指定类似的fqdn_absent语义有需要的话功能端可以增加

liuxueli commented on 2024-05-13T15:07:43.505+0800:

  • 上述方案是否满足需求,请验证。[~yinjiangyi] 

Attachments

37898/82.223.55.87.pcapng

37899/image-2023-05-12-16-34-51-971.png

38043/image-2023-05-15-16-13-51-750.png