这是一个创建于 521 天前的主题,其中的信息可能已经有所发展或是发生改变。
假设 [我使用 vmess+tcp+tls 协议 Google 搜索"v2ex.com"] 代理服务器收到加密的数据包后经过 tls 解密 vmess 解密后的“应用层数据包”里面是什么内容呀?是被 Google 的 tls 证书加密过的数据吗?
如果解密后的“应用层”数据包是 Google 网站证书 tls 加密的数据(即鸡场服务器看不到用户搜索的具体内容) 那是不是代理服务器就类似与端口转发服务呀?
还是说是像 CDN 服务器那样代替我们去请求,客户端与鸡场服务器建立 tcp+tls 链接,鸡场服务器可以看到应用层数据包 再照着数据包与 Google 服务器建立 tcp+tls 连接
感谢各位大佬
如果解密后的“应用层”数据包是 Google 网站证书 tls 加密的数据(即鸡场服务器看不到用户搜索的具体内容) 那是不是代理服务器就类似与端口转发服务呀?
还是说是像 CDN 服务器那样代替我们去请求,客户端与鸡场服务器建立 tcp+tls 链接,鸡场服务器可以看到应用层数据包 再照着数据包与 Google 服务器建立 tcp+tls 连接
感谢各位大佬
 |
1
hdp5252 2022-11-13 13:20:01 +08:00 via iPhone
好像不行
除非本地安装证书好像 |
 |
2
sky96111 2022-11-13 13:27:02 +08:00 via Android
机场只转发流量,能看到 tls 加密后的密文和 sni 。即只能看到你访问了 google.com
|
 |
3
ThirdFlame 2022-11-13 13:28:20 +08:00
可以理解为 端口转发器 (不过自带 dns 解析,替你和目的服务器建立 tcp 连接,然后转发原始流量)。
看 https 的证书就行了,你访问的网站都是带锁的,并且没有提示证书错误的,都可以认为是 网站进行的证书加密,外人解密不了。 |
 |
4
bjzhush 2022-11-13 13:30:59 +08:00
HTTPS 请求走鸡场正常来说是只能看到域名的,看不到 URL
|
 |
5
snw 2022-11-13 13:37:46 +08:00
外面那层鸡场域名的 tls 会由鸡场服务器解密,但里面那层 google 的 tls 不会被鸡场服务器解密,鸡场只知道你访问了 www.google.com
|
 |
7
tanglu OP @ThirdFlame 但是我不是很理解 鸡场服务器不会与 google 服务器建立 tcp+tls 连接吗?
那为什么 Google 会认为是鸡场服务器的请求(比如 HK 鸡场节点会跳转到 google.com.hk) 这似乎和端口转发又有些相违背 |
 |
9
wangyuyang3 2022-11-13 13:56:44 +08:00 via Android
@tanglu sni 是 SSL 握手的一部分,显然是应用层范畴。
参考: https://www.jianshu.com/p/f608611dc694 这个地址中 www.jianshu.com 是主机名 host ,/p/f608611dc694 是 URL 路径 |
|
10
bjzhush 2022-11-13 14:01:04 +08:00
|
|
11
wangyuyang3 2022-11-13 15:13:57 +08:00 via Android  1
看题主一连串三个问题都是这个是不是安全 那个是不是安全,其实本质上都是同一个问题——
除非机场给你个伪造的根证书你自己装在使用代理的设备里上网,中间代理服务器是不可能自己解密 ssl 的。 抛开技术知识不谈,其实用常识想想,如果翻墙服务商可以随意截取 https 流量,那什么网站访问历史、甚至敏感密码就全泄露了,这个技术不可能经久不衰,行业就完蛋了,也不可能有人敢用代理了。 说安全也安全,说不安全也不安全,全球互联网仍然有相当大比例的 web 服务、数据传输是明文 http 的,比如你用代理刷快手视频,快手所有视频 cdn 地址都是没有 ssl 加密的,那中间人就完全可以轻易截取。事实上你日常生活中访问的 http 以及 ssl 的 sni 、dns 解析记录累计起来,足够给你做个个人画像了,实际上依旧是没啥隐私可言。 |
|
12
tanglu OP @wangyuyang3 嗯嗯 谢谢大佬。因为之前看过不良林大佬的视频,想更清楚的了解一下我不知道的东西,本质上是为了学习下互联网传输协议。一些不懂的就发帖问问大家
|
Select Language