TLS 1.3 પર આધારિત ડોમેન ફ્રન્ટિંગ. ભાગ 2

પરિચય

પ્રથમ ભાગમાં લેખ અમે એનક્રિપ્ટેડ SNI (eSNI) મિકેનિઝમનું સંક્ષિપ્ત વર્ણન આપ્યું છે. તેઓએ બતાવ્યું કે, તેના આધારે, આધુનિક ડીપીઆઈ સિસ્ટમ્સ (બીલાઈન ડીપીઆઈ અને પ્રતિબંધિત આરકેએન રૂટ ટ્રેકરના ઉદાહરણનો ઉપયોગ કરીને) દ્વારા શોધ કેવી રીતે ટાળવી શક્ય છે, અને આ પદ્ધતિના આધારે ડોમેન ફ્રન્ટિંગના નવા સંસ્કરણની પણ શોધ કરી.

લેખના બીજા ભાગમાં, અમે વધુ વ્યવહારુ બાબતો તરફ આગળ વધીશું જે RedTeam નિષ્ણાતોને તેમના મુશ્કેલ કામમાં ઉપયોગી થશે. અંતે, અમારો ધ્યેય અવરોધિત સંસાધનોની ઍક્સેસ મેળવવાનો નથી (આવી તુચ્છ બાબતો માટે અમારી પાસે સારા જૂના VPN છે). સદભાગ્યે, દરેક સ્વાદ, રંગ અને બજેટ માટે, તેઓ કહે છે તેમ, VPN પ્રદાતાઓની વિશાળ વિવિધતા છે.

અમે આધુનિક RedTeam ટૂલ્સ પર ડોમેન-ફ્રન્ટિંગ મિકેનિઝમ લાગુ કરવાનો પ્રયાસ કરીશું, ઉદાહરણ તરીકે, જેમ કે કોબાલ્ટ સ્ટ્રાઈક, એમ્પાયર, વગેરે, અને તેમને આધુનિક સામગ્રી ફિલ્ટરિંગ સિસ્ટમ્સની નકલ કરવા અને ટાળવા માટે વધારાની ક્ષમતાઓ આપીશું.

છેલ્લી વખતે અમે OpenSSL લાઇબ્રેરીમાં eSNI મિકેનિઝમનો અમલ કર્યો હતો અને પરિચિત કર્લ ઉપયોગિતામાં સફળતાપૂર્વક તેનો ઉપયોગ કર્યો હતો. પરંતુ, જેમ તેઓ કહે છે, તમે માત્ર એક ચિકનથી સંતુષ્ટ થશો નહીં. અલબત્ત, હું ઉચ્ચ-સ્તરની ભાષાઓમાં સમાન કંઈક અમલ કરવા માંગુ છું. પરંતુ, કમનસીબે, સમગ્ર ઈન્ટરનેટ પર એક ઝડપી શોધ અમને નિરાશ કરે છે, કારણ કે eSNI મિકેનિઝમ માટેનો સપોર્ટ ફક્ત GOLANGમાં જ સંપૂર્ણપણે અમલમાં છે. આમ, અમારી પાસે વધુ પસંદગી નથી: કાં તો અમે પેચ કરેલી OpenSSL લાઇબ્રેરીનો ઉપયોગ કરીને શુદ્ધ C અથવા C++ માં લખીએ છીએ, અથવા અમે CloudFlareમાંથી અલગ GOLANG ફોર્કનો ઉપયોગ કરીએ છીએ અને અમારા ટૂલ્સને ત્યાં પોર્ટ કરવાનો પ્રયાસ કરીએ છીએ. સૈદ્ધાંતિક રીતે, ત્યાં બીજો વિકલ્પ છે, વધુ ક્લાસિક, પરંતુ તે જ સમયે સમય માંગી લેતો - પાયથોન માટે eSNI સપોર્ટનો અમલ કરવો. છેવટે, પાયથોન https હેન્ડલ કરવા માટે OpenSSL નો પણ ઉપયોગ કરે છે. પરંતુ અમે આ વિકલ્પ બીજા કોઈના વિકાસ માટે છોડી દઈશું, અને અમે પોતે ગોલાંગમાં અમલીકરણથી સંતુષ્ટ થઈશું, ખાસ કરીને કારણ કે અમારી પ્રિય કોબાલ્ટ સ્ટ્રાઈક તૃતીય-પક્ષ સાધનો (બાહ્ય C2 ચેનલ) દ્વારા નિર્મિત સંચાર ચેનલ સાથે કામ કરવા માટે સંપૂર્ણ રીતે સક્ષમ છે. - અમે લેખના અંતે આ વિશે વાત કરીશું.

વધુ નક્કર પ્રયત્ન કરો...

Go માં અમલમાં મૂકાયેલ સાધનોમાંથી એક નેટવર્કમાં પિવટ કરવા માટેનો અમારો વિકાસ છે - એક ટનલર rsockstun, જે, માર્ગ દ્વારા, હવે વૈશ્વિક સ્થિરતાને વિક્ષેપિત કરવાના હેતુથી ખૂબ જ દૂષિત સોફ્ટવેર તરીકે Microsoft અને Symantec ના ટૂલ્સ દ્વારા શોધાયેલ છે...

આ કિસ્સામાં પણ અગાઉના વિકાસનો ઉપયોગ કરવો તે સરસ રહેશે. પરંતુ અહીં એક નાની સમસ્યા ઊભી થાય છે. હકીકત એ છે કે શરૂઆતમાં rsockstun સર્વર સાથે સિંક્રનસ SSL સંચાર ચેનલનો ઉપયોગ સૂચવે છે. આનો અર્થ એ છે કે જોડાણ એકવાર સ્થાપિત થાય છે અને ટનલની કામગીરીના સમગ્ર સમયગાળા માટે અસ્તિત્વમાં છે. અને, જેમ તમે સમજો છો, https પ્રોટોકોલ ઓપરેશનના આ મોડ માટે બનાવાયેલ નથી - તે વિનંતી-પ્રતિસાદ મોડમાં કાર્ય કરે છે, જ્યાં દરેક નવી HTTP વિનંતી નવા tcp કનેક્શનમાં અસ્તિત્વમાં છે.

આ સ્કીમનો મુખ્ય ગેરલાભ એ છે કે જ્યાં સુધી ક્લાયન્ટ નવી HTTP વિનંતી મોકલે નહીં ત્યાં સુધી સર્વર ક્લાયંટને ડેટા ટ્રાન્સફર કરી શકતું નથી. પરંતુ, સદભાગ્યે, આ સમસ્યાને હલ કરવા માટે ઘણા બધા વિકલ્પો છે - HTTP પ્રોટોકોલ દ્વારા ડેટા સ્ટ્રીમિંગ (છેવટે, અમે કોઈક રીતે અમારા મનપસંદ ટીવી શો જોવાનું અને https પર ચાલતા પોર્ટલમાંથી સંગીત સાંભળવાનું મેનેજ કરીએ છીએ, પરંતુ વિડિઓ અને ઑડિઓ ટ્રાન્સમિટ કરવું એ બીજું કંઈ નથી. સ્ટ્રીમિંગ ડેટા કરતાં). HTTP પ્રોટોકોલ પર સંપૂર્ણ સુવિધાયુક્ત TCP કનેક્શનનું અનુકરણ કરવા માટેની તકનીકોમાંની એક છે WebSockets ટેક્નોલોજી, જેનો મુખ્ય સાર ક્લાયંટ અને વેબ સર્વર વચ્ચે સંપૂર્ણ સુવિધાયુક્ત નેટવર્ક કનેક્શન ગોઠવવાનો છે.

સદભાગ્યે અમારા માટે (હુરે!!!), આ ટેક્નોલોજી ડિફોલ્ટ રૂપે તમામ CloudFlare ટેરિફ પ્લાનમાં સામેલ છે અને eSNI સાથે મળીને ઉત્તમ કામ કરે છે. અમે અમારા ટનલરને ડોમેન-ફ્રન્ટિંગનો ઉપયોગ કરવા અને આધુનિક DPIs થી છુપાવવાનું શીખવવા માટે આનો ઉપયોગ કરીશું.

WebSockets વિશે થોડું

સૌ પ્રથમ, અમે સંક્ષિપ્તમાં અને સરળ શબ્દોમાં વેબસોકેટ્સ વિશે વાત કરીશું જેથી દરેકને ખ્યાલ આવે કે આપણે શેની સાથે કામ કરીશું.

વેબસોકેટ ટેક્નોલોજી તમને સ્થાપિત TCP કનેક્શનને તોડ્યા વિના અસ્થાયી રૂપે HTTP કનેક્શનમાંથી પ્રમાણભૂત નેટવર્ક સોકેટ સ્ટ્રીમિંગ પર સ્વિચ કરવાની મંજૂરી આપે છે. જ્યારે ક્લાયંટ વેબસોકેટ પર સ્વિચ કરવા માંગે છે, ત્યારે તે તેની HTTP વિનંતીમાં ઘણા HTTP હેડરો સેટ કરે છે. બે જરૂરી હેડરો - કનેક્શન: અપગ્રેડ કરો и અપગ્રેડ કરો: વેબસોકેટ. તે વેબસોકેટ પ્રોટોકોલ સંસ્કરણને બળપૂર્વક સ્પષ્ટ પણ કરી શકે છે (સેક-વેબસોકસેટ-સંસ્કરણ: 13) અને બેઝ 64 વેબસોકેટ ઓળખકર્તા જેવું કંઈક (સેક-વેબસોકેટ-કી: DAGDJSiREI3+KjDfwxm1FA==). સર્વર તેને HTTP કોડ 101 સ્વિચિંગ પ્રોટોકોલ્સ સાથે જવાબ આપે છે અને હેડરો પણ સેટ કરે છે કનેક્શન, અપગ્રેડ и સેક-વેબસોકેટ-સ્વીકારો. સ્વિચિંગ પ્રક્રિયા નીચેના સ્ક્રીનશોટમાં સ્પષ્ટપણે દર્શાવવામાં આવી છે:

આ પછી, વેબસોકેટ કનેક્શનનું ઇન્સ્ટોલેશન પૂર્ણ ગણી શકાય. ક્લાયંટ અને સર્વર બંનેમાંથી કોઈપણ ડેટા હવે http સાથે નહીં, પરંતુ વેબસોકેટ હેડરો સાથે પૂરો પાડવામાં આવશે (તેઓ બાઈટ 0x82 થી શરૂ થાય છે). હવે સર્વરને ડેટા ટ્રાન્સફર કરવા માટે ક્લાયંટની વિનંતીની રાહ જોવાની જરૂર નથી, કારણ કે tcp કનેક્શન તૂટી ગયું નથી.

ગોલાંગ પાસે વેબસોકેટ્સ સાથે કામ કરવા માટે ઘણી લાઇબ્રેરીઓ છે. તેમાંથી સૌથી વધુ લોકપ્રિય છે ગોરિલા વેબસોકેટ અને ધોરણ વેબસોકેટ. અમે પછીનો ઉપયોગ કરીશું, કારણ કે ... તે સરળ, નાનું છે અને, જેમ તેઓ કહે છે, થોડું ઝડપી કાર્ય કરે છે.

rsockstun ક્લાયન્ટ કોડમાં, અમારે net.dial અથવા tls.dial કૉલ્સને સંબંધિત વેબસોકેટ કૉલ્સ સાથે બદલવાની જરૂર છે:

અમે અમારી ટનલનો ક્લાયન્ટ ભાગ સાર્વત્રિક બનાવવા માંગીએ છીએ અને ડાયરેક્ટ SSL કનેક્શન અને વેબસોકસેટ પ્રોટોકોલ દ્વારા બંને રીતે કામ કરવા માટે સક્ષમ છીએ. આ માટે આપણે એક અલગ ફંક્શન બનાવીશું func connectForWsSocks(એડ્રેસ સ્ટ્રિંગ, પ્રોક્સી સ્ટ્રિંગ) ભૂલ {…} સાથે સામ્યતા દ્વારા connectForSocks() અને અમે તેનો ઉપયોગ વેબ સોકેટ્સ સાથે કામ કરવા માટે કરીશું જો ક્લાયંટ શરૂ કરતી વખતે ઉલ્લેખિત સર્વર સરનામું ws: અથવા wss: (સિક્યોર વેબસોકેટના કિસ્સામાં) થી શરૂ થાય છે.

ટનલની સર્વર બાજુ માટે, અમે વેબ સોકેટ્સ સાથે કામ કરવા માટે એક અલગ ફંક્શન પણ બનાવીશું. તે http ક્લાસનો દાખલો બનાવશે અને HTTP કનેક્શન હેન્ડલર (wsHandler ફંક્શન) સેટ કરશે:

અને અમે વેબસોકેટ કનેક્શન હેન્ડલરમાં તમામ કનેક્શન પ્રોસેસિંગ લોજિક (પાસવર્ડનો ઉપયોગ કરીને ક્લાયન્ટ અધિકૃતતા, યામક્સ સત્ર સેટઅપ અને સમાપ્ત) મૂકીશું:

અમે પ્રોજેક્ટને કમ્પાઇલ કરીએ છીએ અને સર્વર ભાગ લોંચ કરીએ છીએ:

./rsockstun –listen ws:127.0.0.1:8080 –pass P@ssw0rd

અને પછી ગ્રાહક ભાગ:

./rsockstun -connect ws:127.0.0.1:8080 –pass P@ssw0rd

અને અમે સ્થાનિક હોસ્ટ પર કામ તપાસીએ છીએ:

ચાલો ડોમેન ફ્રન્ટિંગ તરફ આગળ વધીએ

અમે વેબસોકેટ્સ શોધી કાઢ્યા હોય તેવું લાગે છે. હવે ચાલો સીધા eSNI અને ડોમેન ફ્રન્ટિંગ પર જઈએ. અગાઉ જણાવ્યા મુજબ, DoH અને eSNI સાથે કામ કરવા માટે અમારે કંપની પાસેથી ખાસ ગોલાંગ શાખા લેવાની જરૂર છે મેઘફ્લેર. અમને eSNI સપોર્ટ (pwu/esni) સાથે શાખાની જરૂર છે.

અમે તેને સ્થાનિક રીતે ક્લોન કરીએ છીએ અથવા સંબંધિત ઝિપને ડાઉનલોડ અને અનકોમ્પ્રેસ કરીએ છીએ:

git clone -b pwu/esni https://github.com/cloudflare/tls-tris.git

પછી આપણે GOROOT ડિરેક્ટરીની નકલ કરવાની, ક્લોન કરેલી શાખામાંથી સંબંધિત ફાઇલોને બદલવાની અને તેને માસ્ટર તરીકે સેટ કરવાની જરૂર છે. વિકાસકર્તાને આ માથાનો દુખાવોમાંથી બચાવવા માટે, CloudFlare ના લોકોએ એક ખાસ સ્ક્રિપ્ટ તૈયાર કરી છે - _dev/go.sh. અમે હમણાં જ તેને લોન્ચ કરીએ છીએ. મેકફાઇલ સાથેની સ્ક્રિપ્ટ બધું જ જાતે કરશે. માત્ર મનોરંજન માટે, તમે વિગતો માટે મેકફાઈલની અંદર જોઈ શકો છો.

સ્ક્રિપ્ટ ચલાવ્યા પછી, પ્રોજેક્ટનું સંકલન કરતી વખતે, અમારે GOROOT તરીકે સ્ક્રિપ્ટ દ્વારા તૈયાર કરાયેલ સ્થાનિક ડિરેક્ટરીનો ઉલ્લેખ કરવાની જરૂર પડશે. અમારા કિસ્સામાં તે આના જેવું લાગે છે:

GOROOT="/opt/tls-tris/_dev/GOROOT/linux_amd64" go build ….

આગળ, આપણે ઇચ્છિત ડોમેન માટે સાર્વજનિક eSNI કીની વિનંતી અને પાર્સિંગની કાર્યક્ષમતાને ટનલમાં અમલમાં મૂકવાની જરૂર છે. અમારા કિસ્સામાં, આ CloudFlare ફ્રન્ટએન્ડ સર્વર્સની સાર્વજનિક eSNI કીઓ હશે. આ કરવા માટે, અમે ત્રણ કાર્યો બનાવીશું:

func makeDoTQuery(dnsName string) ([]byte, error)
func parseTXTResponse(buf []byte, wantName string) (string, error)
func QueryESNIKeysForHost(hostname string) ([]byte, error)

કાર્યોના નામ, સૈદ્ધાંતિક રીતે, પોતાને માટે બોલે છે. અમે esni_query.go ફાઇલમાંથી સામગ્રી લઈશું, જે tls-tris નો ભાગ છે. પ્રથમ કાર્ય DoH (DNS-over-HTTPS) પ્રોટોકોલનો ઉપયોગ કરીને CloudFlare DNS સર્વરને વિનંતી સાથે નેટવર્ક પેકેટ બનાવે છે, બીજું ક્વેરી પરિણામોને પાર્સ કરે છે અને ડોમેનની સાર્વજનિક કીના મૂલ્યો મેળવે છે, અને ત્રીજું એક છે. પ્રથમ બે માટે કન્ટેનર.

આગળ, અમે અમારા નવા બનાવેલા ફંક્શનમાં વેબ સોકેટ કનેક્શન ઉમેરીએ છીએ connectForWsSocks ડોમેન માટે eSNI કીની વિનંતી કરવા માટેની કાર્યક્ષમતા. જ્યાં સર્વરનો ભાગ કામ કરે છે, અમે TLS પેરામીટર સેટ કરીએ છીએ અને નકલી "કવર ડોમેન"નું નામ પણ સેટ કરીએ છીએ:

અહીં એ નોંધવું જોઈએ કે શરૂઆતમાં, tls-tris શાખા ડોમેન ફ્રન્ટિંગના ઉપયોગ માટે બનાવવામાં આવી ન હતી. તેથી, તે નકલી સર્વર નામ પર ધ્યાન આપતું નથી (એક ખાલી સર્વર નેમ ફીલ્ડ ક્લાયંટ-હેલો પેકેટના ભાગ રૂપે મોકલવામાં આવે છે). આને ઠીક કરવા માટે, અમારે TlsConfig સ્ટ્રક્ચરમાં અનુરૂપ FakeServerName ફીલ્ડ ઉમેરવું પડશે. અમે બંધારણના પ્રમાણભૂત સર્વરનામ ક્ષેત્રનો ઉપયોગ કરી શકતા નથી, કારણ કે તેનો ઉપયોગ આંતરિક tls મિકેનિઝમ્સ દ્વારા થાય છે અને જો તે મૂળ કરતાં અલગ હોય, તો tls હેન્ડશેક ભૂલ સાથે સમાપ્ત થશે. TlsConfig બંધારણનું વર્ણન ફાઇલમાં સમાયેલ છે tls/common.go - આપણે તેને ઠીક કરવું પડશે:

વધુમાં, અમારે ફાઇલમાં ફેરફાર કરવા પડશે tls/handshake_client.goTLS હેન્ડશેક બનાવતી વખતે અમારા FakeServerName ફીલ્ડનો ઉપયોગ કરવા માટે:

બસ એટલું જ! તમે પ્રોજેક્ટને કમ્પાઇલ કરી શકો છો અને કાર્ય તપાસી શકો છો. પરંતુ તમે સ્કેન ચલાવો તે પહેલાં, તમારે CloudFlare એકાઉન્ટ સેટ કરવાની જરૂર છે. સારું, હું કેવી રીતે કહી શકું કે તેને સેટ કરો - ફક્ત ક્લાઉડફ્લેર પર એક એકાઉન્ટ બનાવો અને તમારા ડોમેનને તેની સાથે લિંક કરો. DoH, WebSocket અને ESNI થી સંબંધિત તમામ સુવિધાઓ ડિફોલ્ટ રૂપે CloudFlare માં શામેલ છે. DNS રેકોર્ડ્સ અપડેટ થયા પછી, તમે eSNI કીને ક્વેરી કરીને ડોમેનની કામગીરી તપાસી શકો છો:

dig +short txt _esni.df13tester.info 

જો તમને તમારા ડોમેન માટે કંઈક સમાન દેખાય છે, તો તેનો અર્થ એ છે કે બધું તમારા માટે કામ કરી રહ્યું છે અને તમે પરીક્ષણ માટે આગળ વધી શકો છો.

લોંચ કરો Ubuntu ઉદાહરણ તરીકે, ડિજિટલઓશન પર VPS. પીએસ: અમારા કિસ્સામાં, અમારા પ્રદાતા તરફથી અમને મળેલ VPS IP સરનામું રોસ્કોમનાડઝોરની બ્લેકલિસ્ટમાં સમાપ્ત થયું. તેથી જો તમારી સાથે પણ આવું જ કંઈક થાય તો આશ્ચર્ય પામશો નહીં. મારા VPS ને ઍક્સેસ કરવા માટે મારે VPN નો ઉપયોગ કરવો પડ્યો.

અમે પહેલાથી જ કમ્પાઇલ કરેલ rsockstun ને VPS પર કૉપિ કરીએ છીએ (આ રીતે, ગોલાંગની બીજી સુંદરતા છે - તમે તમારા પોતાના પર પ્રોજેક્ટને કમ્પાઇલ કરી શકો છો અને તેને કોઈપણ Linux પર ચલાવી શકો છો, ફક્ત સિસ્ટમની બીટ ક્ષમતાનું અવલોકન કરીને) અને સર્વર ભાગ લોંચ કરો:

અને પછી ગ્રાહક ભાગ:

જેમ આપણે જોઈ શકીએ છીએ, ક્લાયન્ટ વેબસોકેટનો ઉપયોગ કરીને CloudFlare ફ્રન્ટએન્ડ સર્વર દ્વારા સર્વર સાથે સફળતાપૂર્વક કનેક્ટ થયું છે. ટનલ ટનલની જેમ બરાબર કામ કરે છે કે નહીં તે તપાસવા માટે, તમે સર્વર પર ખોલીને, સ્થાનિક સૉક્સ 5 દ્વારા કર્લ વિનંતી કરી શકો છો:

હવે ચાલો જોઈએ કે DPI સંચાર ચેનલમાં શું જુએ છે:

પ્રથમ, ટનલર, DoH મિકેનિઝમનો ઉપયોગ કરીને, ગંતવ્ય ડોમેન (પેકેટો નંબર 1-19) માટે eSNI કી માટે Cloudflare DNS સર્વરનો સંપર્ક કરે છે, અને પછી ફ્રન્ટએન્ડ સર્વરનો સંપર્ક કરે છે અને ડોમેનની પાછળ છુપાઈને TLS કનેક્શન સ્થાપિત કરે છે. www.google.com (આ ડિફૉલ્ટ મૂલ્ય છે જ્યારે ક્લાયંટ શરૂ થાય ત્યારે કોઈ નકલી ડોમેનનો ઉલ્લેખ કરવામાં આવતો નથી). તમારા નકલી ડોમેનનો ઉલ્લેખ કરવા માટે, તમારે -fronfDomain પરિમાણનો ઉપયોગ કરવો આવશ્યક છે:

હવે એક બીજી વાત. મૂળભૂત રીતે, CloudFalre એકાઉન્ટ સેટિંગ્સ લવચીક SSL પર સેટ કરેલ છે. આનો અર્થ એ છે કે ક્લાઈન્ટો તરફથી ક્લાઉડફ્લેર ફ્રન્ટએન્ડ સર્વર્સને https વિનંતીઓ અમારા સર્વર પર અનએન્ક્રિપ્ટેડ (http) ફોરવર્ડ કરવામાં આવશે. એટલા માટે અમે ટનલનો સર્વર ભાગ નોન-ssl મોડમાં લોન્ચ કર્યો ( ​​-listen ws:0.0.0.0), અને નહીં ( -listen wss:0.0.0.0).

સંપૂર્ણ એન્ક્રિપ્શન મોડ પર સ્વિચ કરવા માટે, તમારે પસંદ કરવું આવશ્યક છે પૂર્ણ, અથવા સંપૂર્ણ (કડક) જો સર્વર પર વાસ્તવિક પ્રમાણપત્ર છે. મોડને સ્વિચ કર્યા પછી, અમે https પ્રોટોકોલનો ઉપયોગ કરીને CloudFlare માંથી કનેક્શન સ્વીકારી શકીશું. ટનલની સર્વર બાજુ માટે સ્વ-હસ્તાક્ષરિત પ્રમાણપત્ર જનરેટ કરવાનું ભૂલશો નહીં.

જિજ્ઞાસુ વાચક પૂછશે: “ક્લાયન્ટ વિશે શું? Windows"છેવટે, ટનલરનો મુખ્ય ઉપયોગ કદાચ કોર્પોરેટ મશીનો અને સર્વર્સથી બેક-એન્ડ કનેક્શન સ્થાપિત કરવાનો છે, અને તે સામાન્ય રીતે હંમેશા વિન્ડોઝ હોય છે. હું વિન્ડોઝ માટે ટનલર કેવી રીતે કમ્પાઇલ કરી શકું, ખાસ કરીને ચોક્કસ TLS સ્ટેક સાથે?" હવે આપણે બીજી સુવિધા રજૂ કરીશું જે દર્શાવે છે કે ગોલાંગ કેટલું અનુકૂળ છે. આપણે ફક્ત GOOS=windows પેરામીટર ઉમેરીને કાલીથી સીધા વિન્ડોઝ માટે કમ્પાઇલ કરીએ છીએ:

GOARCH=amd64 GOROOT="/opt/tls-tris/_dev/GOROOT/linux_amd64" GOOS=windows  go build -ldflags="-s -w"

અથવા 32-બીટ સંસ્કરણ:

GOARCH=386 GOROOT="/opt/tls-tris/_dev/GOROOT/linux_amd64" GOOS=windows  go build -ldflags="-s -w"

બધા! અને વધુ મુશ્કેલીઓની જરૂર નથી. તે ખરેખર કામ કરે છે!

એક્ઝેક્યુટેબલ ફાઇલમાંથી બિનજરૂરી કચરો દૂર કરવા માટે –w અને –s કમ્પાઇલર ફ્લેગ્સની જરૂર છે, જે તેને થોડા મેગાબાઇટ્સ નાની બનાવે છે. વધુમાં, તે પછી કદને વધુ ઘટાડવા માટે UPX નો ઉપયોગ કરીને પેકેજ કરી શકાય છે.

તેના બદલે એક નિષ્કર્ષ

લેખમાં, ગોલાંગમાં લખેલી ટનલના ઉદાહરણનો ઉપયોગ કરીને, અમે TLS 1.3 પ્રોટોકોલની એક રસપ્રદ સુવિધા પર અમલમાં મૂકાયેલી નવી ડોમેન-ફ્રન્ટિંગ ટેક્નોલોજીનો ઉપયોગ સ્પષ્ટપણે દર્શાવ્યો છે. તેવી જ રીતે, તમે CloudFlare સર્વર્સ દ્વારા કાર્ય કરવા માટે Golang માં લખેલા હાલના સાધનોને અનુકૂલિત કરી શકો છો, ઉદાહરણ તરીકે મર્લિન - પ્રખ્યાત C2, અથવા કોબાલ્ટસ્ટ્રાઇક બીકનને ઇએસએનઆઇ ડોમેન-ફ્રન્ટિંગનો ઉપયોગ કરવા દબાણ કરો જ્યારે ટીમસર્વર સાથે આ દ્વારા કામ કરો બાહ્ય C2 ચેનલ, ગોલાંગમાં અથવા OpenSSL ના પેચ કરેલ સંસ્કરણનો ઉપયોગ કરીને પ્રમાણભૂત C++ માં અમલમાં મૂકાયેલ છે, જેના વિશે આપણે લેખના છેલ્લા ભાગમાં વાત કરી હતી. સામાન્ય રીતે, કલ્પનાની કોઈ મર્યાદા નથી.

ટનલર અને ક્લાઉડફ્લેર સાથેનું ઉદાહરણ એક ખ્યાલના સ્વરૂપમાં રજૂ કરવામાં આવ્યું છે અને આ પ્રકારના ડોમેન ફ્રન્ટિંગની લાંબા ગાળાની સંભાવનાઓ વિશે કહેવું હજુ પણ મુશ્કેલ છે. આ ક્ષણે, માત્ર CloudFlare eSNI ને સપોર્ટ કરે છે અને, સિદ્ધાંતમાં, તેમને આ પ્રકારના ફ્રન્ટિંગને અક્ષમ કરવાથી અને, ઉદાહરણ તરીકે, જો SNI અને eSNI મેળ ખાતા ન હોય તો tls કનેક્શન્સ તોડવાથી તેમને કંઈપણ અટકાવતું નથી. સામાન્ય રીતે, ભવિષ્ય કહેશે. પરંતુ હમણાં માટે, "kremlin.ru ના કવર" હેઠળ કામ કરવાની સંભાવના ખૂબ આકર્ષક લાગે છે. તે નથી?

અપડેટ કરેલ ટનલર કોડ, તેમજ સંકલિત એક્ઝેક્યુટેબલ એક્ઝેક્યુટેબલ ફાઇલો, પ્રોજેક્ટની અલગ શાખામાં સ્થિત છે. GitHub. GitHub પર પ્રોજેક્ટ પૃષ્ઠ પર તમામ સંભવિત ટનલર સમસ્યાઓ વિશે એક મુદ્દો લખવાનું વધુ સારું છે.

સોર્સ: www.habr.com