115 lines
3.6 KiB
Markdown
115 lines
3.6 KiB
Markdown
# 【M22项目】VPNLITE特征提取
|
||
|
||
| ID | Creation Date | Assignee | Status |
|
||
|----|----------------|----------|--------|
|
||
| OSS-290 | 2024-06-17T13:04:09.000+0800 | 钮昌 | 完成 |
|
||
|
||
|
||
---
|
||
|
||
1、VPNLITE特征提取
|
||
|
||
2、可以使用BJ环境进行特征提取
|
||
|
||
3、https://docs.geedge.net/pages/viewpage.action?pageId=129101057
|
||
|
||
下载地址[https://apps.apple.com/us/app/vpn/id6473779563]
|
||
|
||
4、可以找王世杨配合**niuchang** commented on *2024-06-17T18:31:42.292+0800*:
|
||
|
||
抓包分析该软件使用两种方式连接节点,一种为Ping已获取节点后TCP协议直连,server_port均为18000;一种为TLS协议与域名连接,server_port均为443。目前server_ip特征74个,fqdn特征5个,初步实验免费版本实现阻断。[操作记录|https://docs.geedge.net/pages/viewpage.action?pageId=129102825]
|
||
钮昌完成工作:分析VPN通信方式,根据所属地址段信息筛选ping目标节点,提交server_ip特征32个。
|
||
王世杨完成工作:提交server_ip特征42个,分析并提交fqdn特征5个。
|
||
|
||
|
||
|
||
---
|
||
|
||
**niuchang** commented on *2024-06-18T19:01:08.045+0800*:
|
||
|
||
初步分析判断TCP直连节点更新频率较低,TLS连接域名为大量随机域名,应为向api.gameanalytics.com通信请求得到。
|
||
钮昌完成工作:IOS自动化方式学习及环境准备,分析获取连接节点域名方式。
|
||
王世杨完成工作:验证获取连接节点域名方式,提交server_ip特征31个,提交fqdn特征5个。
|
||
|
||
|
||
|
||
---
|
||
|
||
**niuchang** commented on *2024-06-19T19:03:52.304+0800*:
|
||
|
||
TCP直连方式节点端口范围为[18000, 3320, 8099]
|
||
域名连接方式域名特征为
|
||
1.一级域名为['xyz', 'info']中一个
|
||
2.实际承载ip位于地址段[104.21.0.0/16, 172.67.0.0/16]中,且均为cloudfare云服务节点。
|
||
计划采用srcip+域名特征的方式自动添加fqdn特征fd
|
||
钮昌完成工作:IOS自动化方式实践,分析直连域名特征。
|
||
王世杨完成工作:提交server_ip特征42个,提交fqdn特征7个。
|
||
|
||
|
||
|
||
---
|
||
|
||
**niuchang** commented on *2024-06-20T18:30:46.483+0800*:
|
||
|
||
将域名特征直接作为app命中条件进行fd,BJ环境实验无误封。
|
||
钮昌完成工作:VPN域名特征调整,BJ环境误封验证。
|
||
王世杨完成工作:提交server_ip特征53个,BJ环境CT验证。
|
||
|
||
|
||
|
||
---
|
||
|
||
**niuchang** commented on *2024-06-21T18:11:40.441+0800*:
|
||
|
||
将域名特征直接作为FD条件方案,BJ环境验证有少量误封流量。
|
||
后续调整为筛选fqdn精确匹配方式,同时将域名连接方式的server_ip也加入ip对象。
|
||
钮昌完成工作:调整VPN域名特征,更新CM操作脚本,编写测试VPNLite对象筛选、更新脚本。
|
||
王世杨完成工作:BJ环境及M Demo环境误封验证,提交server_ip特征14个。
|
||
|
||
|
||
|
||
---
|
||
|
||
**niuchang** commented on *2024-06-24T17:57:50.386+0800*:
|
||
|
||
0621 19:00 M Demo环境IOS实机测试CT现象严重,推测为该软件在不同地区使用不同的节点。
|
||
由于M Demo环境本周暂时无法使用,该软件M地区节点提取等待环境恢复后进行。
|
||
BJ环境继续测试提取发现有新增TCP与TLS节点。
|
||
钮昌完成工作:新增ip对象40个,fqdn对象15个。
|
||
王世杨本日请假。
|
||
|
||
|
||
|
||
---
|
||
|
||
**niuchang** commented on *2024-06-25T18:12:07.532+0800*:
|
||
|
||
BJ环境继续按0621方案添加TCP与TLS节点。
|
||
王世杨完成工作:新增IP对象37个,fqdn对象8个
|
||
|
||
|
||
|
||
---
|
||
|
||
**niuchang** commented on *2024-06-26T18:11:46.608+0800*:
|
||
|
||
钮昌完成工作:新增IP对象27个,fqdn对象11个。
|
||
王世杨完成工作:新增IP对象11个,fqdn对象11个。
|
||
|
||
|
||
|
||
---
|
||
|
||
**niuchang** commented on *2024-06-27T18:29:52.879+0800*:
|
||
|
||
钮昌完成工作:fqdn对象13个。
|
||
|
||
|
||
|
||
---
|
||
|
||
|
||
|
||
## Attachments
|
||
|