利用Gost 将HTTPs代理转成HTTp

689次阅读
没有评论

共计 1483 个字符,预计需要花费 4 分钟才能阅读完成。

本文旨在实现一个带有“探测防御“的HTTP/HTTPS隧道。此处的”探测防御“指,在建立HTTPS隧道时,会在隧道的末端建立一个对外的HTTPS代理服务,而探测防御能避免HTTPS代理服务进程被主动探测识别,其对外表现与正常的HTTPS网页服务器无异。

本文使用Gost网络调试工具作为示例。

带探测防御的HTTPS隧道

由于有了TLS的保护,该方法可以施展魔法。

在隧道转发端设置:

gost -L tcp://:1111/123.4.4.4:6789 -F https://username:password@123.4.4.4:443

 

-L这里的tcp表示本地TCP端口转发,即将本地的端口映射到指定远程目标的端口。整个-L项表示在本机(0.0.0.0)的1111端口监听TCP流量,并转发到远程位置123.4.4.4:6789。当然了,这种转发并不是简单的TCP转发,那就毫无意义了,我们的目的是使得流量通过HTTP隧道传输,所以我们要指定-F项,也就是转发的途径。

-F的配置表示,将流量转发至远程位置123.4.4.4:443,同时设置用于验证的用户名密码(用户名密码必须设置)。

整个语句的意义即为:在本机的1111端口上监听TCP流量,将接收到的流量包装成HTTPS,转发至123.4.4.4:80处的HTTPS代理,该HTTPS代理把流量解密,去掉HTTP头部,转发至位置123.4.4.4:6789

在隧道代理端设置:

gost -L="https://username:password@:443?cert=/etc/cert/my.crt&key=/etc/cert/my.key&probe_resist=file:/etc/www/my_site/index.html"

 

这里的意思是,在本机443端口设置一个带基础用户验证的HTTPS代理(用户名密码必须设置),同时设置探测防御,对于非法流量不给予HTTP代理相应,而是返回HTTP 200状态码,同时发送特定路径的文件,我这里设置的是一个html文件,故而有任何人在对本机443端口进行主动探测时,都只会发现这是一个普通的网页服务器,而不是代理服务器

同时别忘了,要在6789端口部署你自己的服务,毕竟那是隧道流量转发的最终目的地。

这里URL中的参数,cert代表SSL证书,key是SSL证书密钥,probe_resist是探测防御。

参数probe_resist有多种玩法,例如可以固定返回一种HTTP状态码:

probe_resist=code:403

例如可以返回固定的静态HTML网页:

probe_resist=file:/etc/www/index.html

 

又例如可以做一个简单的反代:

probe_resist=host:example.com:80

 

同时,最好再安装一个网页服务器(NGINX/Apache)实现HSTS(强制安全传输),表现地最像一个完整的TLS加密网页服务。

这里以NGINX为例,假设解析的域名是my.site,创建一个在80端口监听的虚拟主机:

server{
listen 80;
server_name my.site;

if ($host != 'my.site'){
return 403;
}

return 301 https://my.site$request_uri;
}

 

这样一来,直接访问https://my.site的主动探测者会看到一个伪装的网页,而访问http://my.site的主动探测者也会被301重定向到https://my.site,这也是很多真正的网站常见的做法(例如本站)。

正文完
 
admin
版权声明:本站原创文章,由 admin 2022-11-26发表,共计1483字。
转载说明:除特殊说明外本站文章皆由CC-4.0协议发布,转载请注明出处。
评论(没有评论)
验证码