Cloudflare开源能够检测HTTPS拦截的函数库MITMEngine

Cloudflare发布新安全检测工具,方便网站检查TLS链接是否遭到拦截,检测易受攻击的用户端,并在安全性受威胁或是降级时通知他们。新工具为检测HTTPS拦截(HTTPS interception)的开源函数库MITMEngine,以及Cloudflare使用MITMEngine打造,用来监控自家网络,显示HTTPS拦截统计数据的仪表板MALCOLM。

在最单纯的HTTPS链接情况下,客户端浏览器和服务器创建TLS链接,以发送请求和下载内容,但在互联网上,许多链接并非直接从浏览器链接到网站的服务器,而是经过许多中介,这些中介可能出于恶意或是良善的目的进行HTTPS拦截。

Cloudflare引用了2017年的研究指出,HTTPS拦截在互联网上普遍发生,而且62%的流量经过中介后安​​全性下降,因此现在Cloudflare提供HTTPS拦截侦测工具,让用户知道网站链接是否遭到拦截。 Cloudflare提到,检测HTTPS拦截可以帮助服务器识别,可疑或是易受攻击的客户端,服务器可以使用这些信息,通知用户他们的链接可能遭到降级或是存在风险。

另外,内容检查系统也会削弱TLS链接的安全性,当用户的链接通过较旧的中介,则其链接就可能被降级使用较旧的TLS版本,这样即便在浏览器端跟服务器端都支持较新版本,但当服务器端无从得知链接遭HTTPS拦截,就无法使用较新TLS版本的功能。

Cloudflare发布的MITMEngine工具,能够精确的侦测HTTPS拦截,还具有强健的TLS指纹识别能力。 Cloudflare提到。不少TLS客户端实例能被以唯一客户端Hello消息识别,因此要识别遭到截获的HTTPS请求,服务器可以查询与请求的HTTP用户代理相对应签章,并检查客户端Hello消息与该签章是否相符,签章不符就表示可以能是欺骗代理或是遭拦截的HTTPS。

MITMEngine是一个开源的HTTPS拦截侦测器,为Go语言撰写的函数库,可用取得用户代理和TLS客户端的指纹,并回传HTTPS拦截的可能性,以及用于识别拦截的要素。通过比较数据的差异,MITMEngine能够精确地侦测HTTPS拦截,还能判断拦截的时间以及可能使用的软件。

另一个可供大众访问的仪表板工具MALCOLM,则显示使用MITMEngine收集的HTTPS拦截统计数据,而这些数据来自Cloudflare的网络,Cloudflare将MITMEngine应用在他们的网络上,观察网络请求的HTTPS拦截。

Cloudflare表示,他们使用MITMEngine和MALCOLM两个工具,能够持续关注超过互联网10%流量的HTTPS拦截状态,以作为布署新的安全功能或是协议上的参考,也能密切关注可疑软件。

发表评论