98 lines
2.5 KiB
Markdown
98 lines
2.5 KiB
Markdown
# 【E21现场】客户反馈测试psiphon3时部分节点穿透
|
||
|
||
| ID | Creation Date | Assignee | Status |
|
||
|----|----------------|----------|--------|
|
||
| OMPUB-918 | 2023-05-11T18:18:54.000+0800 | 刘洋 | 已关闭 |
|
||
|
||
|
||
---
|
||
|
||
client ip :196.188.157.5
|
||
|
||
测试出的穿透的节点IP如下:
|
||
|
||
79.142.71.59
|
||
|
||
192.46.233.233
|
||
|
||
82.196.13.218
|
||
|
||
数据包及其他信息已提交给姜谊**yinjiangyi** commented on *2023-05-15T11:23:21.297+0800*:
|
||
|
||
79.142.71.59:查询会话日志,穿透会话为s2c单向流,策略仅对c2s侧生效 。
|
||
|
||
192.46.233.233:未查询到对应时段日志。
|
||
|
||
82.196.13.218:能够命中程序自动学习IP object,查询相关会话日志,部分会话未成功标注为Psiphon-Server-APP。82.223.55.87上出现类似情况 OMPUB-923
|
||
|
||
|
||
|
||
---
|
||
|
||
**yinjiangyi** commented on *2023-05-15T16:24:07.264+0800*:
|
||
|
||
上述节点均为业主办公室常规测试环境中出现穿透的节点
|
||
|
||
|
||
|
||
---
|
||
|
||
**yangwei** commented on *2023-05-24T17:27:27.673+0800*:
|
||
|
||
当前配置的psiphon App 特征:
|
||
* IP == slok_ip && Not ssl.SNI==xxx.com
|
||
|
||
功能端执行过程
|
||
* stage 1(packet stage):扫描IP
|
||
* stage 2(session stage):扫描, protocol, SNI ...
|
||
* stage N (第8个包):显式执行Not,识别结束
|
||
|
||
现象分析
|
||
* 对于issue中描述的会话,承载的协议是SSH,扫描的条件包括IP、SSH
|
||
* 但是会话生命周期内传输的包数量<8,因此不会执行到Not条件,因此,也就不会命中前述的App特征
|
||
* 从结果看,对于这种传输包数小于8的会话,原则上不会影响psiphon的效果
|
||
* 如果传输的SSH会话包数超过8,则在第8个包时,显式执行Not,满足特征
|
||
|
||
|
||
|
||
扩展
|
||
* 对于前述的特征,实际的语义应该为以下两条特征
|
||
** IP==slok_ip && Not SNI==xxx.com && Protocol in (HTTP, SSL)
|
||
|
||
IP==slok_ip && Not Protocol in (HTTP,SSL )
|
||
|
||
* 受限于执行Not的时机(一个会话只能执行一次Not),上述特征的第二条,需要更新为:
|
||
** IP==slok_ip && Protocol in (DNS、BGP、SSH。。。)
|
||
* 如果能够列举psiphon3可能的承载协议,上述更新后的特征,更符合实际的意图
|
||
|
||
|
||
|
||
结论
|
||
* 当前特征受描述能力限制,对于小于8个包的会话,无法有效执行带Not条件的psiphon3特征
|
||
* 从实际应用角度,小于8个包的会话,是否被识别为psiphon3,不影响管控效果
|
||
|
||
|
||
|
||
|
||
|
||
|
||
|
||
---
|
||
|
||
|
||
|
||
## Attachments
|
||
|
||
**37966/192.46.233.233.png**
|
||
|
||
---
|
||
|
||
**37965/79.142.71.59.png**
|
||
|
||
---
|
||
|
||
**37801/微信图片_20230511131735.png**
|
||
|
||
---
|
||
|