rakshasa是一个使用Go语言编写的多级代理工具，可以用来实现多级代理，也可能被攻击者利用作为内网穿透工具。它可以部署多节点群，并且在任意两个节点之间转发TCP请求和响应。rakshasa除了TCP，也支持socks5代理，http代理。节点之间还支持使用内置证书的TLS加密协议，应用载荷通过自定义秘钥的AES加密，利用双层加密隐藏通信内容。

　　在常用的网络攻防环境中，由于防火墙的限制，部分端口和网络协议被限制使用，需要通过内网可以访问的设备进行流量的代理中转。如下示意图，攻击者无法直接访问目标的ssh或者rdp远程服务。此时就可以通过一台设备建立TLS的代理通信，将流量转发进内网。防火墙不会直接对TLS协议进行拦截，TLS协议又是加密的，可以隐蔽通过边界，不触发流量监测设备的告警。

　　该代理工具还支持使用第三方工具生成的证书，要求符合“RSA PKCS1-V1.5”。我们用openssl来制作一个自签名证书。

　　为了防止代理节点泄露被接管，该工具还支持密码AES加密。工具执行增加参数“--password”。密码将用于AES生成密钥并调用AesCtrEncrypt（）函数来加密数据。

　　如图11所示，该工具将自行设置的password值拼接证书中的RSA私钥得到一个字符串，再对字符串进行MD5计算得到Hash值作为AES密钥。

　　在流量通信上，经过AES加密后的数据会作为应用层载荷，再次通过TLS加密协议进行传输，做到双层加密。

　　代理工具在节点联通上会通过传递ID来认证双方，在TLS加密流量的交互上会存在有一定的规律。如请求和响应都通过两个相同的数据包来传输，长度为1203字节和425字节。

　　代理通信使用长连接方式通信，在通信上为了保持长久的连接，使用TCP的Keep-Alive机制来维持通信，每5秒一次心跳。

　　通过对Rakshasa这款代理工具的TLS加密通信分析，可以看到工具作者在流量加密上采取了TLS加密的方式来避免流量检测手机ip代理太金手指六六14，同时还提供了证书自生成参数和支持证书替换编译等功能。目前，观成科技瞰云ENS已支持该工具的加密通信检测。