TLS检测

最新推荐文章于 2024-06-15 14:19:29 发布
最新推荐文章于 2024-06-15 14:19:29 发布
阅读量1.9k 收藏
点赞数 1
分类专栏: TLS 网络安全 网络 文章标签: tls 网络安全 网络协议 http https
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_18643341/article/details/118391306
版权
网络 同时被 3 个专栏收录
7 篇文章 0 订阅
订阅专栏
网络安全
5 篇文章 0 订阅
订阅专栏
TLS
4 篇文章 0 订阅
订阅专栏

Thank Zhihao Tao for your hard work. The document spent countless nights and weekends, using his hard work to make it convenient for everyone.
If you have any questions, please send a email to zhihao.tao@outlook.com

文章目录

1. 概述

TLS/SSL用于加密常见应用程序的通信,以确保数据安全和预防恶意软件,因此它可以隐藏在噪音中。要启动TLS/SSL会话:

  • 客户端将在TCP3次握手后发送TLS/SSL客户端Hello数据包。此数据包及其生成方式取决于构建客户端应用程序时使用的包和方式。
  • 服务器如果接受TLS/SSL连接,将使用基于服务器端库和配置以及Client Hello中的详细信息制定的SSL Server Hello数据包进行响应。

2. 检测方式

2.1 证书检测

  • TLS/SSL证书主题字段
    在这里插入图片描述

  • TLS/SSL证书颁发者字段
    在这里插入图片描述

  • TLS/SSL证书序列号

  • TLS/SSL证书sha-1指纹

  • TLS/SSL证书服务器名称指示字段

  • TLS/SSL证书的notbefore字段

  • TLS/SSL证书的notafter字段

  • TLS/SSL证书有效日期
    在这里插入图片描述

  • TLS/SSL证书链中的证书

  • TLS/SSL版本

2.2 JA3

JA3是一种TLS/SSL指纹识别方法,其灵感来自Lee Brotherston的研究和工作以及他的TLS/SSL指纹识别工具:FingerprinTLS

JA3的创始人
John Althouse
Jeff Atkinson
Josh Atkins

2.2.1 JA3

由于TLS/SSL协商以明文形式传输,因此可以使用SSL Client Hello数据包中的详细信息对客户端应用程序进行指纹识别。

JA3Client Hello数据包中的以下字段收集十进制字节值:

  • TLS/SSL版本
  • 可接受的密码
  • 扩展列表
  • 椭圆曲线和椭圆曲线格式
    然后按顺序将这些值连接在一起,使用","分隔每个字段,使用"-"分隔每个字段中的每个值。

字段顺序如下:

SSLVersion,Cipher,SSLExtension,EllipticCurve,EllipticCurvePointFormat

例子:

769,47-53-5-10-49161-49162-49171-49172-50-56-19-4,0-10-11,23-24-25,0

如果Client Hello中没有TLS/SSL扩展,则字段留空。

例子:

769,4-5-10-9-100-98-3-6-19-18-99,,,

然后对这些字符串进行MD5散列以生成易于使用和共享的32个字符指纹。这是JA3``TLS/SSL客户端指纹。

769,47-53-5-10-49161-49162-49171-49172-50-56-19-4,0-10-11,23-24-25,0 --> ada70206e40642a3e4461f35503241d5
769,4-5-10-9-100-98-3-6-19-18-99,,, --> de350869b8c85de67a350c8d186f11e6

我们还需要引进一些代码,Google’s GREASE(生成随机扩展并保持可扩展性)。https://datatracker.ietf.org/doc/html/draft-davidben-tls-grease-01

2.2.2 JA3S

JA3S是用于SSL/TLS通信的服务器端的JA3, 服务器对特定客户机响应的指纹。

同一台服务器会根据Client Hello消息及其内容以不同的方式创建其Server Hello消息。因此,这里不能像客户端和JA3那样,仅仅根据服务器的Hello消息来对其进行指纹识别。尽管服务器对不同客户端的响应不同,但它们对同一客户端的响应总是一致的。

JA3S使用以下字段顺序:

SSLVersion,Cipher,SSLExtension

通过结合JA3 + JA3S对客户端与其服务器之间的整个加密协商进行指纹识别。那是因为服务器会对不同的客户端做出不同的响应,但对同一个客户端的响应总是相同的。

对于 Trickbot 示例:

JA3 = 6734f37431670b3ab4292b8f60f29984 ( Fingerprint of Trickbot )
JA3S = 623de93db17d313345d7ea481e7443cf ( Fingerprint of Command and Control Server Response )

对于 Emotet 示例:

JA3 = 4d7a28d6f2263ed61de88ca66eb011e3 ( Fingerprint of Emotet )
JA3S = 80b3a14bccc8598a1f3bbe83e71f735f ( Fingerprint of Command and Control Server Response )

在这些恶意软件示例中,命令和控制服务器始终以完全相同的方式响应恶意软件客户端,不会偏离。因此,即使流量被加密并且人们可能不知道命令和控制服务器的IP或域,因为它们在不断变化,但我们仍然可以通过对客户端和服务器之间的TLS协商进行指纹识别,以合理的信心来识别恶意通信。

2.2.3 优势

由于JA3会检测客户端应用程序,因此无论恶意软件是否使用 DGA(域生成算法)或每个C2主机的不同IP,或者即使恶意软件使用Twitter进行C2JA3都可以根据它如何检测恶意软件本身沟通而不是它沟通的对象。

在只允许安装少数特定应用程序的锁定环境中,JA3也是一种出色的检测机制。在这些类型的环境中,您可以构建预期应用程序的白名单,然后对任何其他JA3命中发出警报。

phantasms
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
TLS/SSl相关的攻击漏洞及检测方法大杂烩!
qq_50854662的博客
08-15 4038
TLS/SSl相关的攻击漏洞及检测方法大杂烩!
检查网站的TLS版本
weixin_44093655的博客
06-09 3171
以上分别检查了,和``tls1`。如果握手失败的话,那么就是不支持了。依赖于 结果如下: PowerShell 可以用如下的函数,来源:Test web server SSL/TLS protocol support with PowerShell - PKI Extensions
sslyze一键检查服务器检查服务器的 SSL/TLS 安全性(KALI工具系列二十五)
最新发布
LNN0212的博客
06-15 634
SSLyze 是一个用于分析 SSL/TLS 配置的工具,可以检查服务器的 SSL/TLS 安全性。在 Kali Linux 中,你可以使用 SSLyze 来检查目标服务器的 SSL 配置。使用sslyze进行IP或者域名扫描,可以收集目标服务器的SSL/TLS信息,可以进一步测试服务器的安全性。
TLS/SSL Sweet32 attack 、TLS/SSL Weak Cipher Suites漏洞检测及修复
qq274575499的博客
04-03 2252
TLS/SSL Sweet32 attack 、TLS/SSL Weak Cipher Suites漏洞
网站 TLS 检测工具
sayyy的专栏
12-27 709
TLS/SSL测试神器:testssl.sh安装使用说明
热门推荐
HowieXue 薛永浩的博客
04-02 2万+
TLS/SSL测试神器:testssl.sh 是一款好用的TLS/SSL命令行测试工具,且完全免费开源。 >testssl.sh可以对TLS/SSL Server端Cipher、Protocol进行检测,还可以进行CCS注入(CCS injection)、heartbleed等安全漏洞测试,功能全面丰富,可运行在Linux/BSD端,目前可以说是TLS Server端首选的测试工具。。
突破tls校验常用方法
Cocktail_py的博客
03-02 2206
写爬虫的时候,觉得只要自己每次请求都使用不同的代理 IP,每次请求的 Headers 都写得跟浏览器的一模一样,就不会被网站发现。但实际上,还有一个东西,叫做浏览器指纹,它是不会随着你更换 IP 或者 User-Agent 而改变的。而且即使你不使用模拟浏览器,你直接使用 Golang、使用 Python,它们也有自己各自的指纹,并且他们的指纹每次请求也是固定的。只要网站发现某个拥有特定指纹的客户端持续高频率请求网站,它就可以把你封掉。检测算法,叫做JA3算法。
SSL/TLS 检测工具以及 tomcat 正向加密配置例子
01-12
本资源包含一个 openssl 工具安装包 Win32OpenSSL-...关于tomcat 进行配置 ssl 证书、完全 TLS v1.2、完全正向加密的具体步骤可以参考博客《为通过 ATS 检测 Tomcat 完全 TLS v1.2、完全正向加密及其结果检验》,地址:...
tls.rar_TLS
09-23
描述中提到的“Checks whether host supports TLS, and sets tls_min according to the value valid on the host.”意味着该程序或脚本旨在检测主机是否支持TLS,并根据主机的有效TLS版本设置最小TLS版本(tls_min)...
tls
02-16
7. **扩展**:TLS允许定义各种扩展,如服务器名称指示(SNI)用于在单个IP地址上支持多个域名的HTTPS,心跳扩展用于检测连接的活性等。源码中会涵盖这些扩展的处理。 8. **错误处理**:源码中还会包含错误处理机制...
SVD-TLS_std-tls_
10-02
可能的内容可能涵盖如何使用SVD优化TLS的密钥协商过程、提高加密效率,或者在面对数据包被篡改时,利用SVD进行错误检测和恢复。 文件名"SVD-TLS"暗示了这个压缩包的内容可能包括关于SVD和TLS结合使用的代码示例、...
SSL TLS安全评估报告 | 谷歌(Chrome)浏览器插件
03-03
MySSL的Chrome插件,是一款用来检测页面内部链接了哪些域名的检测工具,通过插件可以查看该网页内部链接了的域名的评级、签发者、过期时间及IP地址信息,同时可以点击任意一条内部链接去详细查看该域名的SSL-TLS部署...
多种方法在Linux上检查tls版本
nb1253587023的博客
07-25 7626
在这个例子中,我们连接到example.com的443端口,并指定使用TLS 1.2版本。无论使用哪种方法,检查TLS版本是确保系统安全和加密通信的重要步骤。确保系统上使用的TLS版本是最新且安全的,以保护你的数据和隐私。这个Python脚本使用socket和ssl模块来连接到example.com的443端口,并输出所使用的TLS版本。这将扫描example.com的443端口,并列出支持的TLS版本。在输出中,你可以看到连接信息,其中包括所使用的TLS版本。
NSQ详细教程4 证书及TLS功能测试
zhangxm_qz的博客
05-12 1257
文章目录生成证书测试tls-cert 和tls-key 参数测试tls-required参数tls-client-auth-policy 参数验证总结 可以为nsqd服务配置证书增加安全性,这里我们对该功能进行测试 生成证书 通过openssl 如下命令可以生成证书私钥对 [root@localhost ~]# openssl req -x509 -newkey rsa:2048 -keyout key.pem -out cert.pem -days 365 -nodes Generating a 204
SSL/TLS协议详解以及配置实战
swadian2008的博客
04-17 9187
SSL/TLS协议是一种安全通信协议,用于在计算机网络上保护数据传输的机密性、完整性和身份验证。SSL代表安全套接字层(Secure Socket Layer)TLS代表传输层安全性(Transport Layer Security),它是SSL的继任者。// 实际上还是非对称加密的算法客户端发送一个SSL/TLS连接请求到服务器。服务器发送一个数字证书给客户端。数字证书包含服务器的公钥和其他信息。客户端验证数字证书,以确保证书来自可信的证书颁发机构,没有被篡改。
tls指纹之到底怎么判断是否有tls、到底怎么对抗tls
app安全逆向、移动开发、tls/ja3、爬虫、反爬
03-13 2760
其实自从大概一年前,发了tls/ja3那篇文章之后开始 ,就时不时有朋友找我私聊,让我帮忙看看某某平台,“怎么回事啊?”,“怎么python请求不到?”,“到底是不是tls?”,“怎么过tls?”,等等...真的还挺多的所以,这篇文章,我把我想的写出来,还不太懂的,请仔细看,一个字一个字的看,因为有的朋友问的问题,之前的文章其实都有的,所以我希望各位朋友,这篇文章请认真看如果看完我这篇文章,还是无法确定是否是tls的话,也可以继续问我,但我希望你是经过自己思考还是没搞定的情况下再来的。
802.1x之EAP-TLS测试方法
写作是为了更好的思考
09-12 925
CA证书一般是由权威的认证机构发出,用来验证该机构签名的证书,持有CA证书的设备可以验证对端的证书是否由自己信任的机构颁发的。在我们内部使用证书时,我没可以自己充当CA认证机构,管理私钥和CA证书,使用他们签名服务器、客户端证书。2、使用证书请求文件server_csr.pem、CA私钥、CA公钥生成服务器证书(正常情况下自己不拥有CA私钥,是把证书请求文件发给认证机构,由认证机构返回证书)进行802.1x EAP-TLS认证时需要IPC、服务器分别存储CA证书、设备证书、私钥,通过交换证书实现身份验证。
基于流谱理论的SSL/TLS协议攻击检测方法
weixin_70923796的博客
08-15 583
摘要网络攻击检测网络安全中扮演着重要角色。网络攻击检测的对象主要为僵尸网络、SQL 注入等攻击行为。随着安全套接层/安全传输层(SSL/TLS)加密协议的广泛使用,针对 SSL/TLS 协议本身发起的SSL/TLS攻击日益增多,因此通过搭建网络流采集环境,构建了包含4种SSL/TLS攻击网络流与正常网络流的网络流数据集。针对当前网络攻击流检测的可观测性有限、网络流原始时空域分离性有限等问题,提出流谱理论,将网络空间中的威胁行为通过“势变”过程从原始时空域空间映射到变换域空间,具象为“势变谱”,形成可分离、
TLS协议的兼容性测试
weixin_46512598的博客
02-25 4078
0导言 工作中遇到,系统服务内部调用增加对TLSv1.2协议的支持,因此做了兼容测试 1测试结果 如表,TLS有一个内置机制来协商是使用那个版本的协议,客户端发送一个高版本协议,其中包含低版本协议,如果服务器不支持此高版本协议,他们将协议使用低版本协议。 2测试环境 jdk版本: ​ 1.8,默认支持:[SSLv2Hello,SSLv3,TLSv1,TLS1.1,TLS1.2] ​ 浏览器: ​ 谷歌, 其版本80.0.3987.132(正式版本)(64位) 31以上就默认支持TLS
TLS 1.1 版协议检测
06-06
对于 TLS 1.1 版本协议的检测,可以使用以下方法: 1. 客户端支持检测:可以通过测试目标服务器是否支持 TLS 1.1 版本协议来检测客户端是否支持该协议。测试方法可以使用不同的工具,例如 OpenSSL、Nmap 等。 2. ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

phantasms

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值