手机ip代理太金手指六六14
rakshasa是一个使用Go语言编写的多级代理工具,可以用来实现多级代理,也可能被攻击者利用作为内网穿透工具。它可以部署多节点群,并且在任意两个节点之间转发TCP请求和响应。rakshasa除了TCP,也支持socks5代理,http代理。节点之间还支持使用内置证书的TLS加密协议,应用载荷通过自定义秘钥的AES加密,利用双层加密隐藏通信内容。
在常用的网络攻防环境中,由于防火墙的限制,部分端口和网络协议被限制使用,需要通过内网可以访问的设备进行流量的代理中转。如下示意图,攻击者无法直接访问目标的ssh或者rdp远程服务。此时就可以通过一台设备建立TLS的代理通信,将流量转发进内网。防火墙不会直接对TLS协议进行拦截,TLS协议又是加密的,可以隐蔽通过边界,不触发流量监测设备的告警。
该代理工具还支持使用第三方工具生成的证书,要求符合“RSA PKCS1-V1.5”。我们用openssl来制作一个自签名证书。
为了防止代理节点泄露被接管,该工具还支持密码AES加密。工具执行增加参数“--password”。密码将用于AES生成密钥并调用AesCtrEncrypt()函数来加密数据。
如图11所示,该工具将自行设置的password值拼接证书中的RSA私钥得到一个字符串,再对字符串进行MD5计算得到Hash值作为AES密钥。
在流量通信上,经过AES加密后的数据会作为应用层载荷,再次通过TLS加密协议进行传输,做到双层加密。
代理工具在节点联通上会通过传递ID来认证双方,在TLS加密流量的交互上会存在有一定的规律。如请求和响应都通过两个相同的数据包来传输,长度为1203字节和425字节。
代理通信使用长连接方式通信,在通信上为了保持长久的连接,使用TCP的Keep-Alive机制来维持通信,每5秒一次心跳。
通过对Rakshasa这款代理工具的TLS加密通信分析,可以看到工具作者在流量加密上采取了TLS加密的方式来避免流量检测手机ip代理太金手指六六14,同时还提供了证书自生成参数和支持证书替换编译等功能。目前,观成科技瞰云ENS已支持该工具的加密通信检测。