Shadow-TLS

TLS伪装代理 -- 包装任意TCP连接为真正合法域名的TLS连接

基本原理

与服务端连接后,服务端会请求指定合法的HTTPS域名(例如www.apple.com)并转发TLS握手流量,与客户端TLS握手成功后后续将转发实际的TCP流量,对审计设备(防火墙/上网行为管理软件/零信任网关)而言你是访问一个合法且是真实证书的HTTPS网站.

使用场景

• 在有域名白名单的情况下需要将流量转发出去
• 对抗网络审计设备的审查

使用方法

• 服务端示例: 监听端口443,收到请求后先创造到www.apple.com的TLS握手,随后转发本地的8888端口流量到客户端

./shadowtls server -l 0.0.0.0:443 -f www.apple.com:443 -t 127.0.0.1:8888

• 客户端示例:

./shadowtls client -l 0.0.0.0:11222 -s 145.142.63.32:443 -d www.apple.com

功能特性

• TLS连接多路复用,减少TLS握手次数(存在特征已经移除)

安全性特别说明

• 包装的TCP流量没有加密,如有需求请加密后再转发
• 多路复用特性使用了smux的框架,有协议特征,有更进一步需求需修改源码二次加密(已经移除多路复用,如有需求请在外层处理)
• TLS后续流量没有进行Application Data封装,深层次的协议分析可以发现此特征(已经封装,已与标准的TLS协议一致)

特别说明

• 感谢v2ex网友ihciah的思路灵感.
• 仅供技术研究,请勿用于非法用途.