65 lines
2.3 KiB
Markdown
65 lines
2.3 KiB
Markdown
# 【E21现场】命中Psiphon Object的会话未按预期标注为Psiphon-Server-APP
|
||
|
||
| ID | Creation Date | Assignee | Status |
|
||
|----|----------------|----------|--------|
|
||
| OMPUB-923 | 2023-05-12T16:37:51.000+0800 | 刘学利 | 处理中 |
|
||
|
||
|
||
---
|
||
|
||
5.11日业主反馈 *办公室环境* 出现由82.223.55.87导致的穿透,现象如下:
|
||
* 业主提供的pcap包中,对应会话为SSH协议,会话发生时间为15:04-15:06
|
||
* 查询14:00-16:00的session record,查询条件为用户端IP、服务端IP和服务端端口,仅在15:40左右查询到两条会话记录,与pcap包中记录时间相差较大
|
||
* 会话日志中查询到的两条会话均为测试设备的公网IP访问82.223.55.87、且端口为22的SSH协议会话,预期应命中Psiphon-Server-APP - signature1:Psiphon-Server-Signature,但只有一条会话被标记为Psiphon-Server-APP,另一条未识别(红框内Psiphon3 APP为旧版本内置APP,非deny对象)
|
||
** 预期命中的Signature条件配置如下:命中ip.dst,且满足ssl.sni非条件
|
||
|
||
!image-2023-05-12-16-34-51-971.png|width=805,height=323!!image-2023-05-15-16-13-51-750.png|width=384,height=318!
|
||
|
||
|
||
|
||
**yangwei** commented on *2024-03-25T17:16:34.662+0800*:
|
||
|
||
经与[~yinjiangyi] 讨论,已配置的特征”dst.ip AND 非ssl.sni“(ssl.sni已经被common.server_fqdn包含),预期匹配如下情况:
|
||
# ssl,http,quic协议请求中不包含FQDN字段(对应ssl.sni,http.host,quic.sni)的会话
|
||
# 非ssl,http,quic协议的会话
|
||
|
||
上述条件仅使用单一条件(例如common.server_fqdn==empty),无论是功能端实现还是用户使用都容易造成困扰。
|
||
* 例如对于http,ssl,quic会话s2c侧的单向流量,满足server_fqdn==empty的条件,但是不符合用户意图
|
||
|
||
|
||
|
||
针对24.02版本,建议app signature更新为:
|
||
* dst.ip AND negate (app==HTTP or app==SSL or app==QUIC)
|
||
* dst.ip AND ssl.sni_absent
|
||
|
||
HTTP和QUIC协议目前不支持显式的指定类似的fqdn_absent语义,有需要的话功能端可以增加
|
||
|
||
|
||
|
||
---
|
||
|
||
**liuxueli** commented on *2024-05-13T15:07:43.505+0800*:
|
||
|
||
* 上述方案是否满足需求,请验证。[~yinjiangyi]
|
||
|
||
|
||
|
||
---
|
||
|
||
|
||
|
||
## Attachments
|
||
|
||
**37898/82.223.55.87.pcapng**
|
||
|
||
---
|
||
|
||
**37899/image-2023-05-12-16-34-51-971.png**
|
||
|
||
---
|
||
|
||
**38043/image-2023-05-15-16-13-51-750.png**
|
||
|
||
---
|
||
|