HTTP/11을 지원하는 Mitmproxy 3 HTTPS 분석기 출시

트래픽을 검사, 수정 및 재생할 수 있는 기능과 함께 HTTPS를 통해 설정된 연결 내에서 트래픽을 가로채는 도구를 개발하는 Mitmproxy 11 프로젝트의 릴리스가 발표되었습니다. Mitmproxy의 주요 목적은 기업 시스템의 트래픽을 모니터링하고 문제를 진단하는 것입니다(예: 숨겨진 애플리케이션 네트워크 활동 식별). 프로젝트의 소스 코드는 Python으로 작성되었으며 MIT 라이선스에 따라 배포됩니다.

HTTPS 트래픽을 분석하기 위해 Mitmproxy는 트랜짓 노드에 배치되어 클라이언트 요청을 가로채고 이를 Mitmproxy에서 대상 서버로 전송하는 요청으로 변환합니다. 섬기는 사람Mitmproxy는 클라이언트 세션 중에 요청된 서버와 일반 HTTPS 연결을 설정하고, 클라이언트를 대신하여 클라이언트용으로 즉석에서 생성된 가짜 SSL 인증서를 사용하여 클라이언트와 더미 연결을 설정합니다. 클라이언트로부터 수신된 트래픽은 대상 서버로 전달되고, 수신된 응답은 다시 클라이언트로 전달됩니다.

mitmproxy를 통해 트래픽을 리디렉션하는 데는 브라우저 설정에서 mitmproxy 주소를 HTTP 프록시로 지정하고, SOCKS5 프록시로 작동하고, 이를 HTTP 서버 앞에서 역방향 프록시로 사용하고, 패킷을 사용하여 투명한 전달을 구성하는 등 여러 가지 방법이 지원됩니다. 필터 또는 래핑 규칙 라우팅 클라이언트에 연결할 때 사용되는 더미 인증서로 인해 브라우저에 연결 보안 문제에 대한 경고가 표시되지 않도록 사용자에게 사용자 시스템에 mitmproxy 루트 인증서를 설치하라는 메시지가 표시됩니다. 이 작업은 수동으로 수행할 수 있습니다. 또는 브라우저에서 특수 호스트 mitm.it를 열면 됩니다.

Mitmproxy는 HTTP/2, HTTP/3, 웹소켓을 지원하며, 스트림 내 패킷 순서 정규화, 트래픽을 실시간으로 수정하기 위한 핸들러 스크립트 연결, 향후 재생을 위한 요청 저장, 생성 등의 기능을 제공합니다. TLS 인증서 가로챈 세션에 대해서는 클라이언트 측 캐싱을 비활성화하기 위한 수정 시간 헤더 정리, 서버로 트래픽을 리디렉션하는 리버스 프록시 모드, 특정 요청을 필터링하는 차단 목록, 선택적 요청 리디렉션(로컬 파일 응답 포함), 정규 표현식을 기반으로 한 콘텐츠 및 헤더 수정 등의 기능을 제공합니다. 트래픽 분석을 위해 tcpdump와 유사한 명령줄 유틸리티인 mitmdump와 웹 인터페이스인 mitmweb을 사용할 수 있습니다.

새 버전의 주요 개선 사항은 HTTP/3의 전송으로 QUIC(Quick UDP Internet Connections) 프로토콜을 사용하는 HTTP/2 프로토콜을 완벽하게 지원한다는 것입니다(QUIC는 다중화를 지원하는 UDP 프로토콜에 대한 추가 기능입니다). 다중 연결이 가능하며 TLS/SSL과 동등한 암호화 방법을 제공합니다. HTTP/3용 Mitmproxy에서는 투명한 트래픽 차단을 사용하고 역방향 프록시로 작동할 수 있습니다. HTTP/3 차단은 Firefox, Chrome 및 다양한 버전의 cURL에서 테스트되었습니다.

새 분기의 다른 주목할만한 변경 사항은 HTTPS 및 ECH(암호화된 클라이언트 Hello)에 대한 DNS 레코드 호스팅 측면에서 향상된 DNS 지원과 관련이 있습니다. 새 버전에는 A/AAAA 이외의 DNS 레코드 쿼리에 대한 지원이 추가되었습니다(예: ECH에서는 공개 암호화 키 정보가 HTTPSSVC DNS 레코드로 전달됨). DNS의 HTTPS 레코드에서 ECH 키를 정리하는 모드가 추가되었습니다. DNS를 사용하기 위해 Rust 언어로 작성되고 Let's Encrypt 프로젝트에 의해 개발된 Hickory 라이브러리로 전환되었습니다. DNS-over-TCP에 대한 지원이 추가되었습니다. /etc/hosts의 설정 처리를 비활성화하는 옵션이 구현되었습니다.

출처 : opennet.ru