魔改frp隐藏/修改流量特征

置顶 已于 2024-10-18 12:18:59 修改
阅读量5.8k 收藏 4
点赞数 2
分类专栏: 网络 文章标签: frp 流量特征 特征隐藏 go
于 2021-01-19 16:08:27 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/uiop_uiop_uiop/article/details/110897561
版权

安装go,配置环境等不再赘述。

切换到master分支,克隆源代码

https://github.com/fatedier/frp/tree/master

设置GOPROXY,从国内走的话。https://goproxy.io

查看frp源代码发现用的是yamux实现的多路复用,而进一步查看yamux的代码之后发现依旧是采用的go官方提供的net包进行的网络请求收发。

所以直接修改系统的net包代码。

定位到核心的conn对象的Read, Write代码。直接在这里就可以针对每一次收发的数据进行处理。这里为了节约性能,直接采用异或的方案修改流量特征 

如果想对流量数据进行加密的话,可以在net包这个位置使用对不带有AES指令集的硬件友好的chacha20加密算法,这是谷歌开发用来替代RC4的加密算法。如果面向的设备(如ARM v8)等带有硬件AES,则可以尝试直接跑一个AES128。

    for i, v := range b{
                b[i] = v ^ 0xac;
        }

原来: 非常明显的明文流量特征。另外查阅资料好像还有加密算法的KEY_EXCHANGE SALT也有一个特征 

 

修改后:

 

uiop_uiop_uiop
关注
专栏目录
frp 流量特征
飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘
04-23 1945
非常明显的明文流量特征
FRP编译并去除流量特征
悠亦悠的博客
01-13 1334
在网上搜索很多关于从源码修改FRP流量特征教程,但是这些文章都是基于比较老的版本修改,无法适用于最新版本。
Frp,穿透工具流量特征
最新发布
qq_41672971的博客
08-19 142
1
frp(高性能反向代理)内网穿透
m0_68394388的博客
07-19 3463
FRP由客户端(frps)和服务器端(frpc)两部分组成,客户端部署在需要被代理的服务器上,服务器端部署在公网可访问的服务器上。总的来说,将FTP集成到FRP中可以提供更多的灵活性和功能,特别是在需要内网穿透、安全性增强、负载均衡和高级管理功能的场景中。9. 高可用性:通过FRP,可以设置多个FTP服务器作为后端,并在其中一个服务器失败时自动切换到其他服务器,提高服务的可用性。10. 社区支持:FRP是一个开源项目,拥有活跃的社区,用户可以从社区获得帮助和支持,包括FTP相关的配置和问题解决。
内网穿透-FRP流量改造
A526847的博客
06-01 1403
在拿下一台机器作为入口时,内网代理就变得尤为重要。他是我们进行横向渗透一个中间人,没了代理在内网中就寸步难行。而内网穿透的工具有很多,比如frp,reGeorg等等非常优秀的代理工具。使用方法不在赘述,这篇文章主要记录下在FRP内网代理时的流量改造。FRP作为一个开源的项目,它的特征早已被各大厂商掌握了,不进行流量上的改变我们就无法成功的建立连接,如果直接使用github编译后的EXE直接会被360等杀软直接判定为黑客行为,流量改造也是为了能够达到一定程度上的免杀效果。
frpModify:修改frp支持域初步与配置文件自删除
03-19
frp修改 域初步与自删除 详情: 注:无论frpc用websocket还是wss,某云配置都为回源http。 帧率 [common] bind_port = 23333 token = uknowsec frpc [common] server_addr = test.com.w.cdngslb.com server_port = 443 token = uknowsec protocol = wss #protocol = websocket tls_enable = true del_enable = true websocket_domain = test.com [http_proxy] type = tcp remote_port = 10002 plugin = socks5 指定参数 >frpc.exe -t 1.1.1.1 -p 2333 Modify by Ukno
frps-038 魔改Linux版(防远程桌面暴力破解)
11-29
这是基于0.38最新版修改,在管理界面增加了插件(白名单授权)功能。 此版本默认拒绝所有链接到frps端口的远程IP,除非通过管理界面进行IP授权! 让那些喜欢破解的辣鸡人撞墙吧!
FrpProPlugin:frp0.33修改版,过流量检测,免杀,支持加载远程配置文件可用于cs直接使用的插件
03-04
FrpPro插件 frp0.33修改版,过流量检测,免杀,支持加载远程配置文件可用于c直接使用的插件。需要服务端适应,可以在realease下载对应平台的服务端。 更新时间线 2021.2.19免杀更新+缩小体积 功能介绍 主要包括上载,指定frpc的位置,这里需要注意观察一下,先要确保frpc.exe完整上传了 一般要1-2分钟,需要耐心等待下 然后配置文件的URL: 最后执行完成删除frpc(自动查找进程,然后删除掉文件): 应用效果
免杀对抗&Go魔改二开&Fscan扫描&FRP代理
qq_45087791的博客
04-09 2645
在渗透测试过程中,有后渗透需求时,需要进行反向代理,最早接触的是frp工具,但是在使用过程当中会有配置文件落地,如果忘记删除的情况下容易被溯源C2地址。官方版本的frp在默认配置传输过程中有一些明显的特征,在如今多种安全设备防护的内网会遭受到识别和拦截,如果不进行去除特征或者进行加密传输的话很可能会被设备拦截掉。在落地使用过程中流量及文件不修改的情况下基本被检测查杀,针对这种情况,我们要进行了一些基本的参数测试和特征去除外加功能拓展。=>>直接编译(匹配hash值)=>>功能添加扫描项。
frp工具魔改后的流量特征
06-22
当对FRP进行魔改或优化后,流量特征可能会有所变化,具体可能包括: 1. **性能提升**:魔改后的FRP可能提供更快的连接建立速度、更低的延迟,或者是更高效的传输协议,导致流量在数据包大小、传输速率上有所调整。 ...
frp代理工具流量分析
热爱学习,喜欢折腾!
09-26 1511
frp主要由客户端(frpc)和服务端(frps)组成,服务端通常部署在具有公网 IP 的机器上,客户端通常部署在需要穿透的内网服务所在的机器上。内网服务由于没有公网IP,不能被非局域网内的其他用户访问。用户通过访问服务端的 frps,由 frp负责根据请求的端口或其他信息将请求路由到对应的内网机器,从而实现通信。
frp任你改FRP直接编辑
06-25
frp任你改FRP直接编辑frp任你改FRP直接编辑frp任你改FRP直接编辑
frp报表修改工具
06-05
frp报表修改工具可对frp文件进行编辑、增加、删除内容、并保存或打印!
frpc.exe修改版(适用非静态ip)
02-23
用最新版本frpc修改的版本, 此版本适用于frps服务端的ip为非静态ip的情况下, frpc.ini的server_addr改变后, frpc自动会重新根据frpc.ini里面最新的ip重新连接而无需重启frpc . (注:frps所在服务器最新的ip请自行用其他工具定时更新到frpc.ini中)
使用Supervisor实现FRP客户端/服务端的开机自动启动
初学者的专栏
05-10 348
使用Supervisor实现FRP客户端/服务端的开机自动启动
frp内网穿透流量特征
05-22
FRP是一种内网穿透工具,用于将内网中的服务暴露给公网。其流量特征包括以下几点: 1. FRP使用TCP或UDP进行通信,TCP默认使用7000端口,UDP默认使用6000...6. FRP流量特征不易被识别,因为其采用加密方式进行传输。
某安全设备frp流量告警分析
蚁景网安学院
08-16 2344
第一次使用某商设备,不同厂商的规则库不一样,总的来说流量监控很大一部分是基于规则库来实现的,所以在进行内网穿透的时候就要考虑如何bypass设备告警。
frp新版本frp_0.52.3设置
qq_24768591的博客
11-18 2530
auth.token 需修改frps部署服务器配置中的auth.token一致。serverAddr 修改frps部署服务器ip。
frp隧道(流量代理)
weixin_58954236的博客
10-14 1171
查看frp服务端的配置文件,当启动frp服务端的时候默认开启7000端口和客户端连接。frp服务(vps)的4444端口会主动转发(通过7000端口)给客户端设定接收流量的端口。失陷主机运行木马后将流量数据包发送给vps的4444端口,但是vps没有开放4444端口。frp存在客户端和服务端,frp服务运行起来后服务端会自行开放7000端口。frps和frpc做好链接后内网IP和vps7.7.7.7就建立了一个隧道。进入frp_0.33.0_linux_amd64目录查看客户端配置信息。
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值