全球主机交流论坛

标题: 分享一种另类的代理上网的方式 [打印本页]

作者: ddc 时间: 2019-11-23 21:47
标题: 分享一种另类的代理上网的方式

HTTPS报文转发的代理上网方式

实现原理：
利用MITM 服务器拦截解析浏览器HTTP(S)请求，发往自建的HTTPS服务器解析，在外部看来其上网流量与普通HTTPS上网流量无异

项目地址:
magent: github.com/DNetL/magent#readme

cf-agent: github.com/free-gx/cf-agent#readme

除了部署在VPS上，还可以实现cf worker(serverless)代理上网, ASP/PHP空间代理上网, 动手能力强的MJJ请自由发挥

作者: hcyme 时间: 2019-11-23 21:48
不错，谢谢分享，速度如何

作者: 寒夜方舟 时间: 2019-11-23 21:58
这和反代有区别吗

作者: 菊花帅比 时间: 2019-11-23 22:06
不懂，观望下

作者: 感谢6686大佬 时间: 2019-11-23 22:10
请问楼主搭建代码是？想搭一个试试看

作者: igger 时间: 2019-11-23 22:15
相当于黑客截取并伪造报文~~~但这里的黑客截取变成了跳板截取,而且动作比较简单,就是截取转发是吧?
这也不属于正常上网行为啊,中间人攻击了啊.

这还有个现成的:https://www.mitmproxy.org/
我感觉这个非常不保险,节点太多,第一次被谁截取还未可知.

作者: ddc 时间: 2019-11-23 22:30

igger 发表于 2019-11-23 22:15
相当于黑客截取并伪造报文~~~但这里的黑客截取变成了跳板截取,而且动作比较简单,就是截取转发是吧?
这也不 ...

不存在你所说的情况，精简的开源代码，MITM是本地自建，远端代理服务也是自己建的，从何攻击，中间人服务器不过是为了解出HTTPS请求

作者: igger 时间: 2019-11-23 22:36

ddc 发表于 2019-11-23 22:30
不存在你所说的情况，精简的开源代码，MITM是本地自建，远端代理服务也是自己建的，从何攻击，中间人服务 ...

没阅读文档啊,也属于自己臆断的推测,MITM后还要转发吧,在再转发到远端跳板这个进程是怎样的? 会不会被中间的路由或者节点识别啊?

作者: [email protected] 时间: 2019-11-23 22:36
提示: 作者被禁止或删除内容自动屏蔽

作者: ddc 时间: 2019-11-23 22:40

igger 发表于 2019-11-23 22:36
没阅读文档啊,也属于自己臆断的推测,MITM后还要转发吧,在再转发到远端跳板这个进程是怎样的 ...

这个和普通https请求没什么两样，至于服务器上也就是个代理服务，如果你自己服务器线路不安全那我没话说

作者: shijinqiang 时间: 2019-11-23 22:41
mjj神通广大 nb

作者: 西方记者 时间: 2019-11-23 22:43
GoAgent 好像就是这样的原理

作者: qiqi13245 时间: 2019-11-23 22:50

现在已经有https阻断了，用途不大。
其实还有个更简单的方法，用sniproxy然后dnsmasq做劫持就好了。

作者: hang6 时间: 2019-11-23 22:54
这种方法其实并不实用首先dns污染要自己改hosts不方便解决
其次大墙会识别http请求内的host 如果host是被墙域名且走了多次服务器也会被阻断端口

作者: wuting0122 时间: 2019-11-23 23:39
还不如用ssl tunnel 转发正向代理请求。或者直接搭建 https proxy。

作者: ddc 时间: 2019-11-23 23:40

hang6 发表于 2019-11-23 22:54
这种方法其实并不实用首先dns污染要自己改hosts不方便解决
其次大墙会识别http请求内的host 如果host是被 ...

dns污染影响不到，你也可以直接用IP连接，还有这个里面连接远程是HTTPS请求，和普通的请求没什么两样，证书版本是最新的tls1.3，大墙查不到任何数据，不是HTTP好吧，甚至拿不到你的host

作者: ddc 时间: 2019-11-23 23:42

wuting0122 发表于 2019-11-23 23:39
还不如用ssl tunnel 转发正向代理请求。或者直接搭建 https proxy。

分享一种方式，按需使用喽，这个和https proxy 是有区别的

作者: ddc 时间: 2019-11-24 01:00

qiqi13245 发表于 2019-11-23 22:50
现在已经有https阻断了，用途不大。
其实还有个更简单的方法，用sniproxy然后dnsmasq做劫持就好了。 ...

只支持tls1.3的网站不支持这种方式，这不生成证书的实现起来也不麻烦，有些场景就没能用了，比如worker那种不能用tcp的

作者: 岁月去堂堂 时间: 2019-11-24 09:56
已经安装了生成的证书，但是网站全部打不开，提示证书无效

作者: ddc 时间: 2019-11-24 14:25

岁月去堂堂发表于 2019-11-24 09:56
已经安装了生成的证书，但是网站全部打不开，提示证书无效

用的啥浏览器，版本太老可能不支持tls1.3，用火狐，支持DoH，但是火狐不用操作系统的证书，要在浏览器里面设置导入

作者: ddc 时间: 2019-11-24 14:40

qiqi13245 发表于 2019-11-23 22:50
现在已经有https阻断了，用途不大。
其实还有个更简单的方法，用sniproxy然后dnsmasq做劫持就好了。 ...

不是tls1.3不稳了，容易IP黑名单

作者: 岁月去堂堂 时间: 2019-11-24 16:30

ddc 发表于 2019-11-24 14:25
用的啥浏览器，版本太老可能不支持tls1.3，用火狐，支持DoH，但是火狐不用操作系统的证书，要在浏览器里 ...

用的最新版的chrome，系统证书导入后在火狐的证书管理里也导入了一份可以打开了，但是速度太慢了，基本加载不出来

作者: ddc 时间: 2019-11-24 21:27

岁月去堂堂发表于 2019-11-24 16:30
用的最新版的chrome，系统证书导入后在火狐的证书管理里也导入了一份可以打开了，但是速度太慢了，基本加 ...

最近特殊时期网络可能不好

欢迎光临全球主机交流论坛 (https://443502.xyz/)