传说中的南邮 SS 嗅探算法

这就是传说中的南邮 SS 嗅探算法:

一种针对特定网站类别的网页指纹识别方法 CN 105281973 A(谷歌专利检索)

为了照顾没有梯子的同学,将其保存到内网一份:

PDF 格式下载

目前没有 GFW 何时更新的消息,并且这个算法也不一定被使用,不过防患于未然总是好的。

我简单扫了一眼:

[0047]在实际环境下应用该方法时,由于存在大量商业匿名通信工具和浏览器,本发明 选取shadowocks翻墙软件以及chrome浏览器进行说明。如图3所示,首先目标通过使用 shadowsocks翻墙工具访问浏览境外网站,shadowsocks工具连接到远端SOCKS代理服务 器,并使用chrome浏览器,此时shadowsocks工具在目标用户和远端代理服务器之间建立 了一个匿名加密通信信道,该信道通过某个监控者可控的交换设备,该交换设备被配置有 镜像端口,可由监控者抓取目标用户的流量数据,监控者通过从流量数据中提取出相应的 网页加载数据,并对其进行分析。其中,监控者与目标用户处于相同的通信链路环境,目标 所产生的流量数据可被监控方获取,流量数据载荷部分被加密。本发明基于该环境依据如 图1所示的方法流程进行工作,具体的分析步骤包括:

[0048] 步骤1:监控者通过利用可控交换设备使用数据采集工具进行数据收集,包括目 标数据收集和训练数据收集。目标数据收集主要是通过数据采集工具对目标浏览网站的流 量数据进行收集,并从流量中提取出网页加载流量。训练数据收集主要是监控者使用浏览 器访问目标可能会浏览的网站并在通信链路上收集并提取出相应网站的网页加载流量,其 中每个网站分别使用4种不同的浏览器操作方式对其进行访问,每种浏览器操作方式分别 收集10次指纹数据。指纹数据由数据采集工具导入至CSV文件中,在每个指纹数据记录了 一次网页加载过程中浏览器与远端Web服务器间所有的流量活动,这些指纹数据由一些系 列TCP数据包构成,由于加密技术的影响无法得到TCP数据包载荷部分的信息,其余TCP数 据包信息的数据结构包括:数据包序号、数据包传输时间、源IP地址、目的IP地址、数据包 大小以及数据包描述。

[0049] 步骤2:收集完指纹数据后,需要对其进行数据预处理操作。指纹数据中的TCP数 据中含有大量的协议控制数据,这些协议控制数据主要用于控制TCP数据的建立和断开, 除此之外原始的指纹数据中还包含有其它的冗余和噪音数据,包括:TCP重传数据包以及 TCP坏包。本案例将shadowsocks指纹数据中数据包大小小于70的数据包视为协议控制数 据包予以清除,并将数据包描述中含有”Retransmission”,”Dup”,”0ut-〇f-〇rder”描述字 段的数据包视为坏包和重传数据包予以清除。

可以看到它简单将包长度作为特征进行提取,这个在特征工程中是相当不可靠的,可以用混淆轻易绕过。

进一步的发现,以及反制措施,我研究透彻之后就会发布。

sublime text 3 3143 license

1
2
3
4
5
6
7
8
9
10
11
12
13
—– BEGIN LICENSE —–
TwitterInc
200 User License
EA7E-890007
1D77F72E 390CDD93 4DCBA022 FAF60790
61AA12C0 A37081C5 D0316412 4584D136
94D7F7D4 95BC8C1C 527DA828 560BB037
D1EDDD8C AE7B379F 50C9D69D B35179EF
2FE898C4 8E4277A8 555CE714 E1FB0E43
D5D52613 C3D12E98 BC49967F 7652EED2
9D2D2E61 67610860 6D338B72 5CF95C69
E36B85CC 84991F19 7575D828 470A92AB
—— END LICENSE ——

关于国内厂商的国际版杀毒软件

很多国内软件公司的杀毒软件都分为国内版和国际版,这二者有什么区别呢?

首先,这两个的团队是不一样的。国际版的团队大多收购,国内版为自研。例如百度杀毒的国际版就是原超级巡警的团队做的,而国内版是自己另起炉灶。

其次,由于国外良好的用户环境和监管,国际版的软件体验良好,没有流氓或者窃取隐私的行为。

然而它们都是免费的。所以推荐大家使用这些国际版的杀软。不用国内版的软件,也算是为净化国内的互联网环境出了一份力。如果你之前拉黑了国内版的证书也没有关系,二者的证书是不一样的。

互联网安全观察

2012 年移动互联网浪潮开始,新出现的应用很少有 XSS 和 SQL 注入漏洞。越权和绕过漏洞明显增多,甚至占到主要比重。(大概是因为互联网公司加班和缺乏充分测试所致。)而更糟糕的是,后者没有可用的形式化防范和测试方法(SQL可以预编译,XSS可以使用开启引擎的默认转义),漏洞挖掘比起前者更加依赖经验。

对新兴事物重视不足,比如最新流行的 NoSQL,可能出现未授权访问、注入,以及竞态条件(Race Condition)等漏洞。(因为大家普遍认为新兴事物是“默认安全”的,并且对NoSQL 的隔离级别不了解而没有意识到使用事务。)在 Redis 未授权访问一周年之际,Mongo和Hadoop(?)也爆出了此类漏洞。近几年后端的演变向着服务化和容器化的方向进行,此类服务只会多不会少,而大部分服务都是没有“默认安全”的。

过多重视 PHP,导致过度重视 PHP 独有的漏洞,比如文件包含,以及文件上传(由于PHP 的默认不安全的路由机制导致)。现在 Web 应用基本都使用自定义的动态路由,很难执行路由之外的页面。

过度重视 Web 而忽视了二进制。XSS 需要结合 JS 引擎的攻击和溢出,否则你连计算器都弹不了,只能收集一下用户的 Cookie。服务器方面,最终的提权也需要内核漏洞的配合。

浙江省 2017 高中信息技术改革

相关讨论:如何评价即将开始使用的浙江省新高中信息技术教材,将围绕Python进行并增加编程相关知识点?

浙江省信息技术新教材,即将在2017级(2017年9月入学)高中新生中开始使用。

新教材的改动如下:

  • 《信息技术基础》:excel/access => numpy/pandas/matplotlib

  • 《多媒体技术应用》:取消

  • 《算法与程序设计》:vb => python,并添加线性结构和树的知识点

值得一提的是,考查形式还是笔试。想当年我读高中的时候,北京虽然还在使用 vb,但是考查形式是机试,浙江还是要学习一个。

matplotlib 这个东西,不仅仅可用于编程,对于学生学习数学也是有帮助的。

另外,各位大佬们,到时候组个团开培训班可好?

2016 年捐赠名单

感谢以下童鞋的捐助,你们的慷慨是我继续的动力:

dornor date value project site
Cytosine 2016.12.31 20.17 其它 支付宝
郭燕芳 2016.12.29 6.66 其它 支付宝
飞飞 2016.12.14 10.00 支付宝
心城白首 2016.12.07 10.00 支付宝
佳鸣 2016.11.27 20.00 Kali 支付宝
朋林 2016.11.25 5.00 看云
伯_安 2016.11.22 1.00 Atom 飞行手册 支付宝
李贯忠 2016.11.17 1.00 支付宝
夜神无月 2016.11.15 50.00 支付宝
胡博 2016.10.24 8.88 操作系统思考 支付宝
小明 2016.10.17 3.21 操作系统思考 支付宝
kyblogdoc 2016.10.12 5.00 看云
denFunction 2016.10.07 2.00 Kali Linux 秘籍 简书
清华川薄 2016.09.18 6.00 笨办法学 C 支付宝
海彦 2016.09.13 5.00 SICP Python 中文版 支付宝
张三 2016.09.12 20.00 SICP Python 中文版 支付宝
2016.08.12 20.00 支付宝
Michael翔 2016.07.15 1.88 操作系统思考 支付宝
justjavac 2016.07.12 50.00 操作系统思考 支付宝
jxdwinter 2016.06.26 6.00 笨办法学 C 支付宝
贾晓辉@悠云.com 2016.06.25 20.00 笨办法学 C 支付宝
Mr.Moon 2016.06.25 2.00 笨办法学 C 支付宝
??? 2016.02.24 2.00 Django 中文文档 简书
gecko 2016.02.26 5.00 看云
枯哒哒 2016.02.24 5.00 其它 简书

2017 规划

  1. 认识 100 个妹子。

    之前经过试验,平均投 10 次简历就能得到一个 offer,对于程序员来说,想要脱单的话,我掐指一算,差不多就是这个数值x10,所以是 100 个。

  2. 安全方面:

    • 翻译完成《Web Hacking 101》

    • 看完看雪的绿书

    • 出一套安卓逆向的教程

    老夫玩逆向就是一把梭,OD、IDA,拿起键盘就是干!

  3. 利用空闲时间编写几个自绘控件。

  4. 弹琴。

  5. 英语

    • 上 Quora 阅读和编写答案。

    • 练习听力,争取不带字幕听懂美剧。

我知道以上这些规划很可能不会在一年之内完成,如果是这样那就明年继续。大家猜一猜我能完成几个呢?