工具用suricata和wireguard

可以搭建一个本地环境。在主机上安装 WireGuard 作为 VPN 服务端和客户端,同时安装 Suricata 作为入侵检测系统来抓取和分析流量。整个实验的核心思路是:同时抓取物理网卡(看加密的VPN流量)和WireGuard虚拟网卡(看解密后的流量),然后用Wireshark进行对比分析

桥接模式:将Kali虚拟机的网络设置为桥接模式,使其与Win主机在同一个局域网内。这是最简单的方法,让Suricata监听虚拟机的网卡就能捕获到Win主机发往整个网络的数据包,其中就包括WireGuard的UDP流量

安装WireGuard:从官网下载并安装WireGuard客户端。安装时务必注意,当安装程序弹出第三方安全软件(如TunSafe)的提示时,选择 Decline(拒绝),避免安装不必要的额外软件。

因为网络问题,导致安装程序无法下载它需要的核心组件。

直接安装MSI文件(最推荐)

这相当于安装程序的“离线包”,是绕过在线下载环节最直接有效的方法。

  1. 下载MSI文件:用浏览器打开官方MSI仓库:https://download.wireguard.com/windows-client/。这里列出了所有版本,找到最新的 wireguard-amd64-{版本号}.msi 文件(通常 amd64 就是64位系统),点击下载。
  2. 运行安装:下载完成后,直接双击这个 .msi 文件,就能像安装普通软件一样开始安装了。
    • (可选)命令行静默安装:如果你熟悉命令行,可以用 /qn /norestart 参数实现静默安装。
    • (可选)禁用自启:在企业部署或需要精细控制时,可以通过MSI属性禁止安装后自动启动。

在 Kali 虚拟机中执行 apt install suricata 时遇到的 Temporary failure resolving 'http.kali.org' 错误,是典型的 DNS 解析失败 问题。这通常意味着虚拟机无法将域名 http.kali.org 转换为 IP 地址。

Kali 默认的 DNS 服务器有时会因为网络环境变化(如切换桥接/NAT模式)失效。

时间太长记错了,我是在Ubuntu上配的suricata

1
2
sudo apt update
sudo apt install wireguard -y
1
2
3
E: Could not get lock /var/lib/apt/lists/lock. It is held by process 1640 (packagekitd)
N: Be aware that removing the lock file is not a solution and may break your system.
E: Unable to lock directory /var/lib/apt/lists/

真服了哪来这么多奇奇怪怪的问题

这个错误是因为系统里的 packagekitd 进程(通常是 GNOME 软件中心的后台服务)正在使用 APT 的锁文件,导致你无法同时运行 apt 命令。这是为了保护包数据库不被多个进程同时修改。

1
sudo systemctl stop packagekit

桥接模式让 Ubuntu 虚拟机与宿主机在同一个局域网内,那么 Ubuntu 的 IP 地址必须与宿主机在同一网段,即 10.163.xxx.xxx,子网掩码 255.255.128.0,网关 10.163.255.254,DNS 可以用网关或公共 DNS。

/etc/netplan/ 下有多个配置文件,且其中存在冲突的网关设置(一个要求 10.163.255.254,另一个要求 192.168.219.2)。Netplan 合并了这些配置,导致断言失败。

1
sudo netplan apply
1
2
3
4
5
6
7
yulian@ubuntu:/etc/netplan$ sudo netplan apply
WARNING:root:Cannot call Open vSwitch: ovsdb-server.service is not running.
WARNING: systemd-networkd is not running, output will be incomplete.

Failed to reload network settings: No such file or directory
WARNING:root:Falling back to a hard restart of systemd-networkd.service
yulian@ubuntu:/etc/netplan$

systemd-networkd 未运行,导致 netplan 无法应用配置。这可能是因为之前的配置错误导致服务被禁用或崩溃。需要先修复 systemd-networkd 服务。

1
2
3
4
5
6
7
iface eth0 inet static 

address 10.166.178.199

gateway 10.166.178.3

netmask 255.255.255.0

生成密钥对:

1
2
3
cd /etc/wireguard
sudo umask 077
sudo wg genkey | sudo tee server.key | sudo wg pubkey | sudo tee server.pub

创建配置文件 /etc/wireguard/wg0.conf

1
sudo nano /etc/wireguard/wg0.conf
1
2
3
[Interface]
PrivateKey = 4JEfO81mUrbm0X6OcI6aBHrBHtKj2XswbjCJBQ9K4FQ=
publicKey = d20+OTBcBR8x/Tjs7/wsenHn0C7Y6mb52Chy0zaXJQ4=
1
2
3
4
5
6
7
8
9
10
[Interface]
PrivateKey = YJJx1laxiEqMFsCs3hAhTY1MRX+kMr5mpApD0PWaVns=
Address = 10.0.0.2/24

[Peer]
PublicKey = UdaPmNwFlH9cRcURFMqSMeJbwPqY+NSVBFo97Rb6PiQ=
Endpoint = 127.0.0.1:51820
AllowedIPs = 0.0.0.0/0
PersistentKeepalive = 25

1
2
ip.src == 127.0.0.1 && ip.dst == 127.0.0.1 && tcp.dstport == 8580

1
2
3
4
5
6
7
8
9
TCP 窗口大小几乎不调整

   要求:窗口值保持恒定,不随拥塞控制变化。

   实际截图:

       每个连接的第一个包 Win=255,第二个包 Win=134,模式固定,没有动态调整。

   结论: 符合(但窗口值极小,且无变化)。
1
2
3
4
5
6
7
8
9
10
11
连接行为异常

   要求:连接模式反常,如频繁建连、重置、空闲等。

   实际截图:

       30 个不同的源端口(46999 → 46970)在极短时间内(约 0.00027 秒)依次发起连接,每个连接仅传 1 字节后迅速结束。

       这种模式对于正常应用(如 Web 浏览、文件传输)极不寻常,更像是某种心跳、隧道控制或端口探测。

   结论: 符合(连接行为明显异常)。
1
pip install scapy -i https://pypi.tuna.tsinghua.edu.cn/simple
1
python pcapng_behavior_analyzer.py 123.pcapng
特征 描述要求 实际输出情况 是否符合
高熵持续流 负载熵值接近 8.0,且流量持续 所有流平均熵值最高仅 6.8(流#29),且标记为“低熵”;无任何流达到 7.5 以上 不符合
非对称流量比 上行/下行流量比例显著(>2 或 <0.5) 存在非对称流(如流#28 比 8.28,流#29 比 13.87) 部分符合
TCP窗口几乎不调整 窗口值变异系数 <0.05 多个流窗口变异系数很小(流#6、7、8、15、19 等均 <0.05) 部分符合
无固定魔数,依赖行为指纹 负载无明显固定字节序列,识别靠行为模式 大量流(如流#1、3、6、7、9-12、14、16-18、20-25、28、29)均显示“无固定魔数” 部分符合
规律性时间间隔(心跳) 可选,但常见于此类工具 所有流均“否”,未发现规律间隔 不符合(非必须) 
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
173
174
175
176
177
178
179
180
181
182
183
184
185
186
187
188
189
190
191
192
193
194
195
196
197
198
199
200
201
202
203
204
205
206
207
208
209
210
211
212
213
214
215
216
217
218
219
220
221
222
223
224
225
226
227
228
229
230
231
232
233
234
235
236
237
238
239
240
241
242
243
244
245
246
247
248
249
250
251
252
253
254
255
256
257
258
259
260
261
262
263
264
265
266
267
268
269
270
流 #1: 127.0.0.1:7897 <-> 127.0.0.1:62496
  数据包数量: 66
  总字节数: 3663
  非对称流量比: 1.09 (对称)
  平均负载熵值: 3.075 / 8.0 (低熵)
  TCP窗口变异系数: 0.0966 (有调整)
  负载前8字节唯一值数量: 23 (无固定魔数)
  包间隔规律: 否,平均间隔 2314.51 ms

流 #2: 127.0.0.1:49699 <-> 127.0.0.1:49700
  数据包数量: 1626
  总字节数: 72357
  非对称流量比: 1.02 (对称)
  平均负载熵值: 0.000 / 8.0 (低熵)
  TCP窗口变异系数: 0.2950 (有调整)
  负载前8字节唯一值数量: 1 (有固定魔数)
  包间隔规律: 否,平均间隔 93.32 ms

流 #3: 127.0.0.1:49704 <-> 127.0.0.1:49705
  数据包数量: 1622
  总字节数: 72181
  非对称流量比: 1.02 (对称)
  平均负载熵值: 0.000 / 8.0 (低熵)
  TCP窗口变异系数: 0.2642 (有调整)
  负载前8字节唯一值数量: 2 (无固定魔数)
  包间隔规律: 否,平均间隔 93.55 ms

流 #4: 127.0.0.1:64454 <-> 127.0.0.1:64455
  数据包数量: 1581
  总字节数: 70355
  非对称流量比: 1.02 (对称)
  平均负载熵值: 0.000 / 8.0 (低熵)
  TCP窗口变异系数: 0.2565 (有调整)
  负载前8字节唯一值数量: 1 (有固定魔数)
  包间隔规律: 否,平均间隔 95.85 ms

流 #5: 127.0.0.1:35600 <-> 127.0.0.1:52215
  数据包数量: 124
  总字节数: 5952
  非对称流量比: 1.00 (对称)
  平均负载熵值: 2.406 / 8.0 (低熵)
  TCP窗口变异系数: 0.4378 (有调整)
  负载前8字节唯一值数量: 1 (有固定魔数)
  包间隔规律: 否,平均间隔 1219.43 ms

流 #6: 127.0.0.1:7897 <-> 127.0.0.1:54365
  数据包数量: 30
  总字节数: 1645
  非对称流量比: 1.09 (对称)
  平均负载熵值: 2.985 / 8.0 (低熵)
  TCP窗口变异系数: 0.0243 (几乎不变)
  负载前8字节唯一值数量: 11 (无固定魔数)
  包间隔规律: 否,平均间隔 4660.35 ms

流 #7: 127.0.0.1:7897 <-> 127.0.0.1:54351
  数据包数量: 32
  总字节数: 1746
  非对称流量比: 1.10 (对称)
  平均负载熵值: 2.803 / 8.0 (低熵)
  TCP窗口变异系数: 0.0093 (几乎不变)
  负载前8字节唯一值数量: 11 (无固定魔数)
  包间隔规律: 否,平均间隔 4360.53 ms

流 #8: 127.0.0.1:7897 <-> 127.0.0.1:56535
  数据包数量: 28
  总字节数: 1414
  非对称流量比: 1.10 (对称)
  平均负载熵值: 0.000 / 8.0 (低熵)
  TCP窗口变异系数: 0.0331 (几乎不变)
  负载前8字节唯一值数量: 1 (有固定魔数)
  包间隔规律: 否,平均间隔 5044.81 ms

流 #9: 127.0.0.1:8580 <-> 127.0.0.1:57307
  数据包数量: 11
  总字节数: 824
  非对称流量比: 1.48 (对称)
  平均负载熵值: 5.083 / 8.0 (低熵)
  TCP窗口变异系数: 2.0767 (有调整)
  负载前8字节唯一值数量: 2 (无固定魔数)
  包间隔规律: 否,平均间隔 0.17 ms

流 #10: 127.0.0.1:8580 <-> 127.0.0.1:57322
  数据包数量: 11
  总字节数: 824
  非对称流量比: 1.48 (对称)
  平均负载熵值: 5.089 / 8.0 (低熵)
  TCP窗口变异系数: 2.0767 (有调整)
  负载前8字节唯一值数量: 2 (无固定魔数)
  包间隔规律: 否,平均间隔 0.72 ms

流 #11: 127.0.0.1:8580 <-> 127.0.0.1:57323
  数据包数量: 11
  总字节数: 832
  非对称流量比: 1.51 (对称)
  平均负载熵值: 5.115 / 8.0 (低熵)
  TCP窗口变异系数: 2.0767 (有调整)
  负载前8字节唯一值数量: 2 (无固定魔数)
  包间隔规律: 否,平均间隔 0.12 ms

流 #12: 127.0.0.1:8580 <-> 127.0.0.1:57324
  数据包数量: 11
  总字节数: 824
  非对称流量比: 1.48 (对称)
  平均负载熵值: 5.089 / 8.0 (低熵)
  TCP窗口变异系数: 2.0767 (有调整)
  负载前8字节唯一值数量: 2 (无固定魔数)
  包间隔规律: 否,平均间隔 0.27 ms

流 #13: 127.0.0.1:7897 <-> 127.0.0.1:63110
  数据包数量: 18
  总字节数: 883
  非对称流量比: 1.08 (对称)
  平均负载熵值: 0.000 / 8.0 (低熵)
  TCP窗口变异系数: 0.0876 (有调整)
  负载前8字节唯一值数量: 1 (有固定魔数)
  包间隔规律: 否,平均间隔 4411.37 ms

流 #14: 127.0.0.1:7897 <-> 127.0.0.1:57283
  数据包数量: 16
  总字节数: 819
  非对称流量比: 1.10 (对称)
  平均负载熵值: 1.592 / 8.0 (低熵)
  TCP窗口变异系数: 0.0582 (有调整)
  负载前8字节唯一值数量: 3 (无固定魔数)
  包间隔规律: 否,平均间隔 2999.21 ms

流 #15: 127.0.0.1:49853 <-> 127.0.0.1:49983
  数据包数量: 8
  总字节数: 404
  非对称流量比: 1.24 (对称)
  平均负载熵值: 0.000 / 8.0 (低熵)
  TCP窗口变异系数: 0.0020 (几乎不变)
  负载前8字节唯一值数量: 1 (无固定魔数)
  包间隔规律: 否,平均间隔 19289.07 ms

流 #16: 127.0.0.1:8580 <-> 127.0.0.1:57328
  数据包数量: 11
  总字节数: 826
  非对称流量比: 1.49 (对称)
  平均负载熵值: 5.105 / 8.0 (低熵)
  TCP窗口变异系数: 2.0767 (有调整)
  负载前8字节唯一值数量: 2 (无固定魔数)
  包间隔规律: 否,平均间隔 0.13 ms

流 #17: 127.0.0.1:8580 <-> 127.0.0.1:57329
  数据包数量: 11
  总字节数: 824
  非对称流量比: 1.48 (对称)
  平均负载熵值: 5.099 / 8.0 (低熵)
  TCP窗口变异系数: 2.0767 (有调整)
  负载前8字节唯一值数量: 2 (无固定魔数)
  包间隔规律: 否,平均间隔 0.32 ms

流 #18: 127.0.0.1:8580 <-> 127.0.0.1:57331
  数据包数量: 11
  总字节数: 837
  非对称流量比: 1.52 (对称)
  平均负载熵值: 5.174 / 8.0 (低熵)
  TCP窗口变异系数: 2.0767 (有调整)
  负载前8字节唯一值数量: 2 (无固定魔数)
  包间隔规律: 否,平均间隔 0.07 ms

流 #19: 127.0.0.1:49853 <-> 127.0.0.1:59588
  数据包数量: 6
  总字节数: 303
  非对称流量比: 1.24 (对称)
  平均负载熵值: 0.000 / 8.0 (低熵)
  TCP窗口变异系数: 0.0020 (几乎不变)
  负载前8字节唯一值数量: 1 (无固定魔数)
  包间隔规律: 否,平均间隔 18004.42 ms

流 #20: 127.0.0.1:8580 <-> 127.0.0.1:57350
  数据包数量: 11
  总字节数: 826
  非对称流量比: 1.49 (对称)
  平均负载熵值: 5.098 / 8.0 (低熵)
  TCP窗口变异系数: 2.0767 (有调整)
  负载前8字节唯一值数量: 2 (无固定魔数)
  包间隔规律: 否,平均间隔 0.12 ms

流 #21: 127.0.0.1:8580 <-> 127.0.0.1:57351
  数据包数量: 11
  总字节数: 826
  非对称流量比: 1.49 (对称)
  平均负载熵值: 5.107 / 8.0 (低熵)
  TCP窗口变异系数: 2.0767 (有调整)
  负载前8字节唯一值数量: 2 (无固定魔数)
  包间隔规律: 否,平均间隔 0.10 ms

流 #22: 127.0.0.1:8580 <-> 127.0.0.1:57352
  数据包数量: 11
  总字节数: 824
  非对称流量比: 1.48 (对称)
  平均负载熵值: 5.091 / 8.0 (低熵)
  TCP窗口变异系数: 2.0767 (有调整)
  负载前8字节唯一值数量: 2 (无固定魔数)
  包间隔规律: 否,平均间隔 0.39 ms

流 #23: 127.0.0.1:8580 <-> 127.0.0.1:57353
  数据包数量: 11
  总字节数: 824
  非对称流量比: 1.48 (对称)
  平均负载熵值: 5.091 / 8.0 (低熵)
  TCP窗口变异系数: 2.0767 (有调整)
  负载前8字节唯一值数量: 2 (无固定魔数)
  包间隔规律: 否,平均间隔 0.08 ms

流 #24: 127.0.0.1:8580 <-> 127.0.0.1:57354
  数据包数量: 11
  总字节数: 824
  非对称流量比: 1.48 (对称)
  平均负载熵值: 5.095 / 8.0 (低熵)
  TCP窗口变异系数: 2.0767 (有调整)
  负载前8字节唯一值数量: 2 (无固定魔数)
  包间隔规律: 否,平均间隔 0.24 ms

流 #25: 127.0.0.1:8580 <-> 127.0.0.1:57355
  数据包数量: 11
  总字节数: 826
  非对称流量比: 1.49 (对称)
  平均负载熵值: 5.121 / 8.0 (低熵)
  TCP窗口变异系数: 2.0767 (有调整)
  负载前8字节唯一值数量: 2 (无固定魔数)
  包间隔规律: 否,平均间隔 0.08 ms

流 #26: 127.0.0.1:8080 <-> 127.0.0.1:49562
  数据包数量: 10
  总字节数: 500
  非对称流量比: 1.27 (对称)
  平均负载熵值: 0.000 / 8.0 (低熵)
  TCP窗口变异系数: 1.0000 (有调整)
  负载前8字节唯一值数量: 0 (无固定魔数)
  包间隔规律: 否,平均间隔 226.02 ms

流 #27: 127.0.0.1:8080 <-> 127.0.0.1:57401
  数据包数量: 10
  总字节数: 500
  非对称流量比: 1.27 (对称)
  平均负载熵值: 0.000 / 8.0 (低熵)
  TCP窗口变异系数: 1.0000 (有调整)
  负载前8字节唯一值数量: 0 (无固定魔数)
  包间隔规律: 否,平均间隔 223.86 ms

流 #28: 127.0.0.1:7897 <-> 127.0.0.1:56047
  数据包数量: 13
  总字节数: 2931
  非对称流量比: 8.28 (不对称)
  平均负载熵值: 5.870 / 8.0 (低熵)
  TCP窗口变异系数: 2.2877 (有调整)
  负载前8字节唯一值数量: 3 (无固定魔数)
  包间隔规律: 否,平均间隔 416.86 ms

流 #29: 127.0.0.1:7897 <-> 127.0.0.1:51142
  数据包数量: 97
  总字节数: 87441
  非对称流量比: 13.87 (不对称)
  平均负载熵值: 6.800 / 8.0 (低熵)
  TCP窗口变异系数: 5.9006 (有调整)
  负载前8字节唯一值数量: 44 (无固定魔数)
  包间隔规律: 否,平均间隔 473.89 ms

================================================================================
综合判断(基于所有流)
================================================================================
✗ 未发现高熵持续流
✓ 存在非对称流量比
✓ 存在TCP窗口几乎不调整的流
✓ 存在无固定魔数的流(依赖行为指纹)
✗ 未发现规律性时间间隔
PS E:\桌面\web工具\新建文件夹> 
1
tcp.flags.syn==1 and tcp.flags.ack==0
  • image-20260415141347204
  • 从 3521 到 3546 号包(94.44124.38),跨度约 30 秒,共有 26 个包,平均约 0.86 个包/秒,远低于“几十个每秒”。

如果看到相邻 SYN 间隔 < 0.05 秒(即 20 个/秒以上),则可视为高频。

1
tcp.flags.reset==1

image-20260415141406398

大量连接以 RST 结束而不是 FIN → 异常。

Statistics → TCP Stream Graph → Time-Sequence (Stevens)

正常流应是平滑上升的阶梯;异常流可能出现长时间平坦(无数据传输)后突然跳跃,或频繁的零窗口。

image-20260415141710733

Conversations 统计

  • 菜单 Statistics → Conversations,选择 IPv4TCP 标签。
  • 找到目标流,查看 Bytes A→BBytes B→A 两列。
  • 计算比值:较大值 / 较小值。若 > 2 或 < 0.5 → 非对称。

image-20260415142208110

用 Wireshark 验证“卡在哪一步”(关键)

你现在应该做的不是盲调,而是抓包。

在 Windows 上开 Wireshark,过滤:

1
tcp or tls

Ultrasurf 的本质(决定流量特征)

Ultrasurf 不是简单 HTTP 代理,它本质是:

1
加密隧道 + 动态代理网络 + 流量混淆

因此它的流量特征一定表现为:

1
“看起来像 HTTPS,但行为不像正常 HTTPS”

Previous segment not captured → 丢包
Out-of-Order → 包乱序

image-20260425111801421

网络链路被干扰(核心结论)

常见原因:

1
2
3
4
1. 网络限速 / QoS
2. DPI(深度检测)
3. VPN/代理流量被干扰
4. 校园网 / 公司网策略

image-20260425112742869

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
条件一:tls.handshake.type == 1

    作用:匹配 TLS 握手协议中的 Client Hello 消息。

    原理:在 TLS 记录层中,握手消息类型由 Handshake Type 字段标识:

        1 = client_hello

        2 = server_hello

        等等。

    为什么需要:把范围缩小到 TLS 握手阶段的 Client Hello,避免匹配到其他 TLS 消息(如 Server Hello、Certificate 等)。

3. 条件二:tls.handshake.extensions_server_name == "www.lamer.com.sg"

    作用:检查 Client Hello 中的 SNI(Server Name Indication)扩展,要求其值为 www.lamer.com.sg。

    字段路径:
    tls.handshake.extensions_server_name 是 Wireshark 为 SNI 扩展提供的友好名称,对应扩展类型 server_name(值 0)。

    为什么需要:
    普通的 tls.handshake.type == 1 会匹配所有 Client Hello,加上 SNI 过滤就能锁定访问特定网站的会话。

    注意:SNI 字段在 TLSv1.3 中是明文传输,因此可以直接过滤;TLSv1.2 同样支持该字段,所以仅凭前两个条件不能区分 TLS 版本。

这里有:

1
TLSv1.3 Client Hello (SNI=www.lamer.com.sg)

👉 这非常不正常

原因:

1
2
3
Ultrasurf 通常:
- 不暴露真实目标
- 或 SNI 异常/伪装

👉 说明它在做“流量伪装”

这正是你后面写 Suricata 规则的切入点

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
一、TLS 是什么

**TLS(Transport Layer Security)**是一种加密协议,用来保护网络通信。

本质
把原本明文的数据(HTTP)加密 → 变成 HTTPS
工作过程(简化)
1. Client Hello(客户端发起)
2. Server Hello(服务器响应)
3. 协商加密算法
4. 建立加密通道
5. 后续全是 Application Data(加密数据)
在你实验中的意义

你看到:

TLSv1.2 / TLSv1.3 Application Data

说明:

✔ 数据已经完全加密
✔ 无法直接看到内容
✔ 只能做“流量特征分析”
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
SNI 是什么

**SNI(Server Name Indication)**是 TLS 握手中的一个字段。

本质
告诉服务器:“我要访问哪个网站”
举例
访问 https://www.baidu.com
→ SNI = www.baidu.com




抓到:

SNI = www.lamer.com.sg

但你并没有访问这个网站 → 说明:

✔ SNI 被伪装
✔ 是代理/隧道行为

👉 SNI 是检测代理工具的核心特征



JA3 是什么

JA3 是 TLS 指纹(Fingerprint)

本质
用 TLS 握手参数生成一个“唯一标识”

基于这些字段:

- TLS版本
- Cipher Suites
- Extensions
- Elliptic Curves

生成一个 hash,例如:

769,49195-49196-49199,... → MD5 → JA3


作用
识别“客户端是谁”

例如:

Chrome → 一种JA3
Python脚本 → 另一种JA3
Ultrasurf → 又一种
在你实验中的意义
✔ Ultrasurf JA3 ≠ 浏览器 JA3
✔ 可以用来写 Suricata 规则
1
2
3
4
5
6
7
8
流式传输(Streaming)是什么
本质
数据持续不断发送,没有明确“请求-响应结构”
对比
正常 HTTP:
请求 → 响应 → 结束
流式传输:
持续发送数据(像水流)
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
CDN 是什么

CDN(Content Delivery Network)内容分发网络

本质
把网站部署到全球多个服务器
例子

访问百度:

北京用户 → 北京服务器
上海用户 → 上海服务器
特点
✔ IP稳定(同一服务商)
✔ 延迟低
✔ 连接规律
1
2
3
4
5
6
7
8
9
10
正常 HTTPS(CDN)
✔ IP稳定
✔ SNI一致
✔ 行为规律
Ultrasurf
❌ IP乱跳
❌ SNI异常
❌ 行为混乱

👉 这就是你报告里“对比分析”的关键点

wireshark学习

「单机情况」下,Wireshark直接抓取本机网卡的网络流量;
「交换机情况」下,Wireshark通过端口镜像、ARP欺骗等方式获取局域网中的网络流量。

端口镜像:利用交换机的接口,将局域网的网络流量转发到指定电脑的网卡上。
ARP欺骗:交换机根据MAC地址转发数据,伪装其他终端的MAC地址,从而获取局域网的网络流量。

按 Ctrl + M 也可以实现同样的效果,按两次可以取消标记

不能把“临时源端口”继续交给内核,还指定成 8580。你要做的是显式绑定本地端口:

1
2
3
4
5
6
7
8
import socket

sock = socket.create_connection(
    ("julien.net.cn", 443),
    source_address=("10.163.138.212", 8580),  # 换成你本机网卡 IP
)
print(sock.getsockname())

如有错误,多多指教

valine