224 lines
6.5 KiB
Markdown
224 lines
6.5 KiB
Markdown
# 【E21现场】业主在一个策略里对配置多个VPN deny包含psiphon,针对策略验证效果时多个应用存在也被deny 。业主不满意VPN deny策略效果
|
||
|
||
| ID | Creation Date | Assignee | Status |
|
||
|----|----------------|----------|--------|
|
||
| OMPUB-515 | 2022-06-08T21:46:10.000+0800 | 刘学利 | 已关闭 |
|
||
|
||
|
||
---
|
||
|
||
今天业主反馈在同一个策略配置多个VPN ,测试VPN deny效果(包含psiphon 等),策略验证后发现以下等网站存在误封情况:
|
||
|
||
Tik Tok
|
||
BBC
|
||
CNN
|
||
The New York Times
|
||
|
||
业主对策略效果不满意。
|
||
|
||
具体策略配置及策略命中日志见附件**liuxueli** commented on *2022-06-09T10:05:05.983+0800*:
|
||
|
||
* [~liuju] 请确认用户测试时,测试终端没有连接VPN。
|
||
|
||
|
||
|
||
---
|
||
|
||
**liuxueli** commented on *2022-06-09T10:11:48.117+0800*:
|
||
|
||
* [~dongxiaoyan] 请在京版环境尝试复测本BUG。
|
||
|
||
|
||
|
||
---
|
||
|
||
**zhengchao** commented on *2022-06-09T10:17:01.211+0800*:
|
||
|
||
[~doufenghu] 确认Tik Tok 、BBC等域名,在Top学习列表中。
|
||
|
||
|
||
|
||
---
|
||
|
||
**dongxiaoyan** commented on *2022-06-09T14:49:57.079+0800*:
|
||
|
||
[~liuxueli] 信息港环境T9K访问以下网站:
|
||
|
||
[https://www.tiktok.com/about]
|
||
[https://www.bbc.com/]
|
||
[https://edition.cnn.com/]
|
||
[https://www.nytimes.com/]
|
||
|
||
1、测试ip不在Psiphon3 Client IP,正常访问;
|
||
|
||
2、测试ip在Psiphon3 Client IP,sever ip不在Top Server IP,sni不在Top Sni,访问被deny;
|
||
|
||
3、测试ip在Psiphon3 Client IP,sni在Top Sni,正常访问;
|
||
|
||
|
||
|
||
|
||
|
||
---
|
||
|
||
**dongxiaoyan** commented on *2022-06-09T15:35:08.824+0800*:
|
||
|
||
信息港环境测试过程中共命中日志:8W多条,app类型四个: !image-2022-06-09-15-34-17-105.png|width=419,height=189!
|
||
|
||
四个类型分别查看日志的sni或host:为正常命中
|
||
|
||
|
||
|
||
---
|
||
|
||
**liuxueli** commented on *2022-06-09T15:44:59.991+0800*:
|
||
|
||
* E现场目前topSNI学习的是top 2000的域名,[~liuju] 使用报表统计一天内每个域名出现次数。
|
||
|
||
|
||
|
||
---
|
||
|
||
**liuxueli** commented on *2022-06-09T16:59:02.223+0800*:
|
||
|
||
* 统计一天内每个域名出现次数结果显示Tik Tok、BBC、CNN、The New York Times不在top 2000里:
|
||
** Tik Tok对应的tiktok.com域名
|
||
*** {color:#de350b}在HTTP DOMAIN排名第151位,但是不参与topSNI的学习{color}
|
||
*** {color:#de350b} 在SSL SNI中排名18883位{color}
|
||
*** !image-2022-06-09-16-53-30-129.png!
|
||
** BBC对应bbc.com域名
|
||
|
||
*
|
||
**
|
||
*** {color:#de350b}在HTTP DOMAIN排名第880位,但是不参与topSNI的学习{color}
|
||
*** {color:#de350b} 在SSL SNI中排名2046位{color}
|
||
*** !image-2022-06-09-16-54-48-026.png!
|
||
** CNN对应cnn.com域名
|
||
*** {color:#de350b}在HTTP DOMAIN排名第1445位,但是不参与topSNI的学习{color}
|
||
*** {color:#de350b} 在SSL SNI中排名7001位 {color}
|
||
*** !image-2022-06-09-16-55-58-032.png!
|
||
** The New York Times对应nytimes.com域名
|
||
*** {color:#de350b}在HTTP DOMAIN排名第3051位,但是不参与topSNI的学习{color}
|
||
*** {color:#de350b} 在SSL SNI中排名12519位 {color}
|
||
*** !image-2022-06-09-16-56-50-515.png!
|
||
* 是否可以考虑
|
||
** 按照域名出现的次数学习,比如: 一天访问次数超过10000次就学习到topSNI中。
|
||
**
|
||
h4. 知名网站的域名加到topSNI白名单中
|
||
|
||
***
|
||
h4. 如Alexa排名前1000
|
||
|
||
|
||
|
||
---
|
||
|
||
**doufenghu** commented on *2022-06-09T19:02:57.407+0800*:
|
||
|
||
观察现象:
|
||
# 从如上安全事件日志中,服务端IP 96.7.226.29(akamai),104.126.226.114(akamai) ,192.232.80.158(Fastly) 被阻断,但如上Server IP在Top Server IP 白名单里。抽取96.7.226.29识别出的App如下:
|
||
|
||
|ssl_sni|App List|sessions|
|
||
|gameplayapi.intel.com|['','ldaps','Psiphon3','akamai','oracle_oem','nrpe','http2','monero']|170251|
|
||
|gameplay.intel.com|['','ldaps','Psiphon3','akamai','oracle_oem','http2','nrpe','monero']|142478|
|
||
| |['','bittorrent','telegram','nbns','microsoft','oracle_oem','windows_update','outlook','yahoo','zoom','akamai','amazon','App_OPENVPN','monero','imo','ms_teams','uc_browser','windows_marketplace',
|
||
'http2','nrpe','tidaltv','yadro','Psiphon3','office365','signal_private_messenger','cloudflare','skype','bing','facetime','oracle','crashlytics','steam','mozilla']|114701|
|
||
|www.intel.com|['','Psiphon3','akamai','oracle_oem','http2','nrpe']|4327|
|
||
|api.intel.com|['','Psiphon3','akamai']|1362|
|
||
|ark.intel.com|['','Psiphon3','akamai']|1354|
|
||
|signin.intel.com|['','Psiphon3','akamai']|241|
|
||
|corpredirect.intel.com|['','Psiphon3','akamai']|207|
|
||
|software.intel.com|['','Psiphon3','akamai']|20|
|
||
|csmobiledata.intel.com|['akamai']|2|
|
||
|retailedge.intel.com|['Psiphon3']|1|
|
||
|
||
2. 可能误封的APP,最近24小时SNI和服务端IP情况;参见附件[^App Info.xlsx]
|
||
* tiktok,相关SNI 121个,相关服务端IP为5853个
|
||
** 流量最大前7个SNI,在SNI 白名单中;其它SDK,API 相关域名未在SNI 白名单中。
|
||
** 抽取大部分访问量最高的服务端IP已在Server IP白名单中。
|
||
* bbc ,相关SNI 19个,相关服务端IP为657个
|
||
** 包含的SNI,都不在SNI白名单中。
|
||
** 访问量最高的服务端IP也是部分存在。
|
||
* cnn ,相关SNI 55个,相关服务端IP为241个
|
||
** 包含的SNI,都不在SNI白名单中。
|
||
** 访问量最高的服务端IP也是部分存在。
|
||
* nytimes,相关SNI 59个,相关服务端IP为381个
|
||
** 包含的SNI,都不在SNI白名单中。
|
||
** 访问量最高的服务端IP也是部分存在。
|
||
|
||
|
||
|
||
|
||
|
||
---
|
||
|
||
**zhengchao** commented on *2022-06-10T10:09:26.572+0800*:
|
||
|
||
[~doufenghu]
|
||
|
||
SNI为什么只有Top 2000?
|
||
|
||
可否合并子域名后进行Top?
|
||
|
||
|
||
|
||
---
|
||
|
||
**doufenghu** commented on *2022-06-10T11:32:59.834+0800*:
|
||
|
||
[~zhengchao] 此处Galaxy对推荐的最大阈值进行了限制,已在22.05已修复。
|
||
|
||
临时处置可通过调整Nacos 的top SNI 和 Server IP最大阈值。修改后,更新的对象量是否对DPI有影响?[~liuxueli]
|
||
1. 界面配置为 Top Server IP 为20w (Galaxy 限制最大阈值<4w)
|
||
2. 界面配置为Top SNI 为3w (Galaxy 限制最大阈值2000)
|
||
{quote}SNI为什么只有Top 2000?
|
||
{quote}
|
||
可合并子域名并进行Top,升级查询网关SNI推荐功能,阻断效果(是否漏封)可后续测试下。
|
||
{quote}可否合并子域名后进行Top?
|
||
{quote}
|
||
|
||
|
||
|
||
---
|
||
|
||
|
||
|
||
## Attachments
|
||
|
||
**28569/App+Info.xlsx**
|
||
|
||
---
|
||
|
||
**28537/image-2022-06-09-15-33-39-543.png**
|
||
|
||
---
|
||
|
||
**28538/image-2022-06-09-15-34-17-105.png**
|
||
|
||
---
|
||
|
||
**28548/image-2022-06-09-16-53-30-129.png**
|
||
|
||
---
|
||
|
||
**28549/image-2022-06-09-16-54-48-026.png**
|
||
|
||
---
|
||
|
||
**28550/image-2022-06-09-16-55-58-032.png**
|
||
|
||
---
|
||
|
||
**28553/image-2022-06-09-16-56-50-515.png**
|
||
|
||
---
|
||
|
||
**28518/securityEvents.xlsx**
|
||
|
||
---
|
||
|
||
**28517/微信图片_20220608164349.png**
|
||
|
||
---
|
||
|