这是一个创建于 3303 天前的主题,其中的信息可能已经有所发展或是发生改变。
大概思路:
一个wifi,由我来配置。分配IP自然是走dhcp。
dhcp 有分配 proxy 的配置项,可以配置 proxy_ip:port 给 dhcp client
分配好 proxy 下去给用户,用户(以 ios 为例)的系统流量都会走 proxy
proxy 上的 http 服务很好配, google 一大把,关键是 https 。
https 的配置,我找到了这个: http://shevacjs.com/2015/04/25/nginx-https-proxy/
但是我不甘心啊,因为这么一来,就真的只是个代理而已,监听如何实现?
我设想的模型如下:
目标服务器,以工行网银为例,简称 V 主机
流量都走 proxy 的用户,简称 S
可以 ssh 上去配置的 proxy 主机,简称 T
proxy 主机与用户有完整的证书信任关系,也就是说用户装了 proxy 所在机构相关的根证书。
客户挂代理,发请求访问工行网银( V ), proxy 拿到请求之后得到请求明文,然后 proxy 以客户端的身份(可以理解为一个浏览器)向实际的工行网银( V )发起请求。
V 返回请求结果,理论上说,因为 proxy ( T )是以客户端的身份访问 V ,所以 proxy ( T )可以拿到返回结果的明文。
T 用自己的证书对返回的内容加密,然后返回给原始用户( S ,发起这个请求的人)。
-----------------------------------------------------------------
无所谓部署 nginx 还是 squid ,个人倾向 n 。 proxy 也就是 T ,相当于一个二次封装(加密)的角色。
请问各位,这个监听能否做到?
或者说,如果思路有问题,能否用其他方式实现?反正证书问题我可以想别的方法搞定。
一个wifi,由我来配置。分配IP自然是走dhcp。
dhcp 有分配 proxy 的配置项,可以配置 proxy_ip:port 给 dhcp client
分配好 proxy 下去给用户,用户(以 ios 为例)的系统流量都会走 proxy
proxy 上的 http 服务很好配, google 一大把,关键是 https 。
https 的配置,我找到了这个: http://shevacjs.com/2015/04/25/nginx-https-proxy/
但是我不甘心啊,因为这么一来,就真的只是个代理而已,监听如何实现?
我设想的模型如下:
目标服务器,以工行网银为例,简称 V 主机
流量都走 proxy 的用户,简称 S
可以 ssh 上去配置的 proxy 主机,简称 T
proxy 主机与用户有完整的证书信任关系,也就是说用户装了 proxy 所在机构相关的根证书。
客户挂代理,发请求访问工行网银( V ), proxy 拿到请求之后得到请求明文,然后 proxy 以客户端的身份(可以理解为一个浏览器)向实际的工行网银( V )发起请求。
V 返回请求结果,理论上说,因为 proxy ( T )是以客户端的身份访问 V ,所以 proxy ( T )可以拿到返回结果的明文。
T 用自己的证书对返回的内容加密,然后返回给原始用户( S ,发起这个请求的人)。
-----------------------------------------------------------------
无所谓部署 nginx 还是 squid ,个人倾向 n 。 proxy 也就是 T ,相当于一个二次封装(加密)的角色。
请问各位,这个监听能否做到?
或者说,如果思路有问题,能否用其他方式实现?反正证书问题我可以想别的方法搞定。
 |
1
xjdrew 2015-11-10 18:36:31 +08:00
如果 https 可以中间监听,那这协议还有什么意义呢?
如果真想实现,那要给客户机器添加根证书,你用这个根证书签名一个假的工行网站,然后再转发所有请求。 |
 |
2
paw 2015-11-10 19:48:17 +08:00
|
 |
3
kxjhlele 2015-11-10 20:15:59 +08:00
客户端证书问题 你要是能搞定 就可以监听。
|
 |
4
nixilin OP @paw 降级是另一种实现形式,但是感觉工程量略大。因为无法统一所有网站的处理方式。有些狠一点的就真的手动拼接 https 字符串或者别的姿势,压根没法一个一个网站的匹配。
|
|
5
nixilin OP |
 |
6
wdlth 2015-11-10 20:31:54 +08:00
正向代理加反向代理
|
 |
7
7654 2015-11-10 20:36:22 +08:00
我想说的是微软的 ISA 或 TMG 有这功能
|
 |
8
mornlight 2015-11-10 20:39:37 +08:00
如果客户端没有信任你自签名的证书,中间代理理论上无法监听到明文 https 通信。
|
 |
9
ericFork 2015-11-10 21:13:29 +08:00
没人好奇楼主想监听和修改的内容是什么吗?
|
 |
10
msg7086 2015-11-10 22:39:18 +08:00
> proxy 主机与用户有完整的证书信任关系,也就是说用户装了 proxy 所在机构相关的根证书。
这个是最难的。你要么得获得用户电脑的管理员权限,要么得攻占下某个 CA 。 前者可能某个数字或者企鹅勉强能做到。 后者明显是想搞个大新闻。 |
 |
12
hellogbk 2015-11-10 23:40:08 +08:00
跟楼主各位说的差不多。
经过代理的流量都是加密的。 你能做的只是在握手阶段截取 SSL 证书换成你自己的。才有可能解密 HTTPS 的流量 但是要想让客户端信任你的证书,你就必须把你的根证书装到客户端系统上去。。 |
|
13
nixilin OP |
1 |
15
nixilin OP @msg7086 各种管家/卫士/助手实在难缠。我本来也就没有 win32 编程基础,与其费心思给马做免杀过这些东东,还不如在 proxy 层动动脑子。
|
|
17
nixilin OP |
Select Language