公司的网络使用网络接入控制系统可以查到代理么？

@luoyide2010 域控下发根证书，结合内部 DNS 服务，试问阁下如何应对 😛

学校组织在我们在某公司上课，公司的网不让用阿里云盘，我开全局代理上传文件会被发现😂

你们有 it 部门，直接问啊，尽量不要尝试用公司的网络做些出格的事情。

@ik #13 没有客户端，只是连上 Wi-Fi 后弹出来的

@lifekevin #17 不是客户端，是连上 Wi-Fi 后弹出来的，说了不让用🪜，但是没🪜的话工作确实不方便了

@GeekGao 虚心请教下目前有什么办法能分析出他在用代理？（ PPTP 这类没考虑过隐藏特征除外）
我一开始也想限制公司使用代理，拿公司的几十万的奇安信管控和分析设备，识别不了，也手动抓过包，没解密只能拿到的就 IP 域名 端口号 加密协商的信息，解密了很多协议也是带混淆和加密的，后面想想国家想搞都搞不好，就放弃了，听你这么说我好奇心就来了，求教下你的思路

@luoyide2010 #26 证书解码 https, dns 判断目标地址, 这个思路不是关注流量的内容, 只关注有没有进行代理, 一般来说逆向这些协议拿到的也只有消息头. 功夫网并不关心你流量内容, 因为看一眼你访问的网站就知道你在干嘛了, 真想知道你的流量具体内容的时候就请走喝茶了.

@luoyide2010 IP 情报库+流量行为啊。 “识别” 与 “解密流量” 不是一个概念啊，不要混淆。

国家不这么细致的搞，是因为国际出口路由需要允许国际流量且需要允许各种标准协议和非标准协议啊。所以无法解密、DPI 分析不出、黑名单也没命中，自然要放行了。

但是企业没那么大的流量，就可以很精细化的做 sniffer 。比如我公司一般员工如果没有国际通讯的需求，如果我发现他的 dns 解析异常（比如有 youtube.com 的记录） 我就知道，大概率是翻墙了（ dns 泄露导致）。

当然你也可以说你用落地机。比如你连接到某机场 xxxx.yyyyyyy.com:69001 ，又不是标准的 443 端口，流量占比比较大（例如每 10 分钟，通过这个连接你要传输 100MB ），持续时间也较长（每天都有这类行为），我有理由的认为这就是机场啊（或者你的终端中毒了）。

@israinbow 你是以公司有能力搞中间人为前提，大部分公司都不会这样搞，如果你解密不了你怎么知道我访问的真实网站是什么，DNS 解析走翻墙隧道的，你能看到我 DNS 解析的内容？

@GeekGao
我了解也不深入，之前公司提供这个需求，稍微研究下，说的不一定全对，讨论讨论
我认为不解密能拿到比较直观的信息就 IP/域名/端口号，就这些基础信息你怎么识别，还是绕不开的解密
IP 情报库接触不多，只接触过威胁情报，IP 还能有什么情报？
DNS 可以走隧道的，不好获取？
用常见端口搭的翻墙也很多，你说的方法可以筛选出部分可以流量，但不全面，最重要的是我接触的管控设备奇安信，深信服都实现不了你说的功能，手搓一个不现实，而且分析这个需要大量情报支持，动动嘴是一回事，实际操作又是另外一回事
结论：普通公司基本没能力识别出翻墙行为

@luoyide2010 对于你的结论：普通公司基本没能力识别出翻墙行为 。
我是认同的。

我的回复只是想说明： 如果公司内有专职安全 team 要是硬去做的话，还是可以做到八九不离十的。

关于“奇安信，深信服都实现不了你说的功能” 你忽略了一个事实： 国内行为管控设备，并不想做代理检测这种耗费计算资源的事情（甲方老板也不关心，毕竟还可以客户端上部署 DLP ）。 这并不意味着厂商在局域网内没有技术可以实现它。例如我可以强行 SNI 识别+DPI+白名单啊，你可疑流量的 IP 一律被通报出来。 当然如果你想说 DNS 不在本地解析，那是无法获知 SNI 了，但是你的翻墙 IP （或国内的落地鸡 IP+固定端口）网管也可以拉黑了。


补充你的疑问：IP 还能有什么情报？ 15 分钟内 ipv4 全网代理端口扫描检测不是什么新鲜事儿了。公共 vpn 服务的 ip 已经被扫的（画像）八九不离十了。 5 年前我们就做过类似的风险数据业务了。

@GeekGao 学习了

没特征就是特征啊，gfw 最近一次升级就是看信息熵，无特征的信息熵太高，直接封掉也不会有很高的误封率。同理公司网络里排除掉已知协议，长连接的未知协议很容易就看到是翻墙的了。

这其实不是什么技术问题，问题是楼主被告知不许翻墙还是没商量就做了，公司后面可以拿这个搞事情。公司内部这么做事情可大可小，但是涉及到外部如果还这么做了视客户性质和难缠程度，是有可能被捕的