中间人攻击是怎么被识别出来的?

146 天前
 HarrisIce

今天自签发了个 CA ,导入到 BurpSuite ,然后系统信任这个 CA ,再给浏览器配置代理走 BurpSuite ,就可以解密出来 HTTPS 的流量了。 本意是想看看阿里云的登录逻辑是什么做的,好学习学习 2333 ,但是刚登录没 5 分钟就发邮件告诉我安全原因冻结了,而且只能打客服电话解冻。想到之前拿 BurpSuite 辅助前后端开发时也是,刚调没一会,公司的安全中心就来找我问我这边在干啥,有疑似安全攻击。

想来问问,这种形式的中间人攻击是怎么被识别出来的? BurpSuite 使用了自签发的 CA 为每个 host 生成证书并且代替客户端向服务器发起 TLS 连接,这种在应用层之下的活动,是怎么会被服务器端或者公司的防火墙识别出来的?

1520 次点击
所在节点    信息安全
11 条回复
qrobot
146 天前
没研究阿里云, 但是 BurpSuite 的特征很明显啊
tool2d
146 天前
是不是 BurpSuite 自己修改了 UA ,加了被检测的特性。

正常浏览器发起访问,就算是代理自签名 CA ,也并不会发到服务器才对。
google2020
146 天前
可以通过 TLS 握手参数判断客户端。没用过 BurpSuite ,盲猜它的 TLS 握手有特征。
yyf1234
146 天前
> 再给浏览器配置代理走 BurpSuite ,就可以解密出来 HTTPS 的流量了

没明白,浏览器也需要 mitm 吗?
proxytoworld
146 天前
实测阿里云使用 burp suite 拦截请求,扫码登录 没有触发你说的
nothingistrue
146 天前
如果是纯浏览器的 https 登录,按下浏览器的 F12 就有各项数据,压根不需要再通过抓包工具。所以楼主要么没说好,要么就可以隐藏了些东西。这种复现信息严重不足的问题,让人怎么回答。
nothingistrue
146 天前
简单搜索了一下,Burp suite 不是抓包工具,而是网络安全测试工具,当然另一方面它也是网络入侵工具。楼主的行为,只能说:找抽。
991547436
146 天前
BurpSuite 不知道 postman 默认会自己添加 UA
HarrisIce
146 天前
@nothingistrue 一言难尽,主要是在调接口,就顺带在调接口的浏览器上一起登录了阿里云,就给 ban 了,打客服电话说等一天就从小黑屋拉出来了
hanyuwei70
77 天前
有可能是有一些 HPKP 的链接无法访问导致的。
impdx
58 天前
burpsuite 特征很明显,github 有去特征。最简单一个特征,你本机的 http://burp 可访问。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/1002632

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX