V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
whywaoxaks
V2EX  ›  问与答

访问 https 页面时,网管都能看见啥?

  •  
  •   whywaoxaks · 2021-08-13 12:20:50 +08:00 · 7386 次点击
    这是一个创建于 1228 天前的主题,其中的信息可能已经有所发展或是发生改变。

    比如访问的网址是 https://www.google.com/search?q=小姐姐

    那么网管都能看见啥?

    36 条回复    2021-08-17 09:31:38 +08:00
    a22271001
        1
    a22271001  
       2021-08-13 12:24:42 +08:00   ❤️ 1
    xiangyuecn
        2
    xiangyuecn  
       2021-08-13 12:30:19 +08:00
    目标 IP 、SNI,如果是伪造 SSL 证书将会是所有数据
    ysc3839
        3
    ysc3839  
       2021-08-13 12:30:30 +08:00 via Android   ❤️ 2
    systemcall
        4
    systemcall  
       2021-08-13 12:30:36 +08:00   ❤️ 2
    访问时间、host 、IP
    浏览器可能会预加载,那样的话请求的信息应该比想象的要多
    另外,如果你的设备装了网管的证书,可以 mitm,解密流量甚至修改传输的内容
    如果你的设备装了深信服的行为管控之类的 spyware,那么你的电脑是网管的
    bitdepth
        5
    bitdepth  
       2021-08-13 12:30:37 +08:00 via iPad
    自己抓包不就知道了,只有 hostname 這些沒有其他握手後通道中的東西
    richangfan
        6
    richangfan  
       2021-08-13 12:35:23 +08:00   ❤️ 1
    SSL 层以下的网络层
    loopinfor
        7
    loopinfor  
       2021-08-13 12:42:55 +08:00
    如果装了网管的根证书或者深信服的软件,MITM 攻击时普通用户可以感知到吗?
    我试了一下,如果是自己电脑开 Fiddler,信任 Fiddler 的根证书之后侦听 HTTPS 流量,通过浏览器访问百度时,点击浏览器的锁可以看到证书是来自 Fiddler 的。
    电脑上装了深信服的 EasyConnect,平时上网时点击浏览器的锁没发现证书异常。
    v2tudnew
        8
    v2tudnew  
       2021-08-13 12:47:07 +08:00
    @loopinfor #7 都装到系统上了,有多种方法的,比如直接读取客户端内容、定时截屏等等。就算不用管理权限,还记得 QQ 读取 chrome 记录吗?
    jingslunt
        9
    jingslunt  
       2021-08-13 14:40:44 +08:00
    dns 看到链接
    hatw
        10
    hatw  
       2021-08-13 14:42:13 +08:00
    如果我科学上网呢? 是不是就只能看到我访问科学服务的服务商地址?
    pabupa
        11
    pabupa  
       2021-08-13 14:43:27 +08:00
    @hatw 只能看到域名,路径都看不到……
    hatw
        12
    hatw  
       2021-08-13 14:45:27 +08:00
    @pabupa #11 不错,这样就只知道我代理了,其他都不知道
    pabupa
        13
    pabupa  
       2021-08-13 14:48:30 +08:00
    @hatw 不过,如果你的代理客户端安装了根证书的话,那么他是可以看到内容的。
    hatw
        14
    hatw  
       2021-08-13 14:52:59 +08:00
    @pabupa #13 没有,也是 clash 这种的。 以前用过一个,确实要装根证书+他自己的客户端的
    mozhizhu
        15
    mozhizhu  
       2021-08-13 15:00:10 +08:00
    插眼;我也好奇这个;理论上是不是只看到我在跟一个 ip 疯狂传递数据?我开了 wss 的 v2
    qping
        16
    qping  
       2021-08-13 15:01:46 +08:00
    @pabupa #11 为啥还能看到路径, 不应该是 http 的请求都被加密,伪装成 socks5 流量吗
    joesonw
        17
    joesonw  
       2021-08-13 16:15:17 +08:00
    dns 有缓存的话, 走 ESNI 域名也看不到.
    cubecube
        18
    cubecube  
       2021-08-13 17:24:03 +08:00
    1.看你的证书签名是不是私有签名,很多上网行为管理,直接在线伪造证书,过滤流量,上一家公司就这样
    2.https 的访问的网址是开放的
    cubecube
        19
    cubecube  
       2021-08-13 17:25:21 +08:00
    @loopinfor 不仔细看不出来,电脑一般信任深信服们的根证书了,打开证书仔细看网站的证书都是那个根证书签发出来的。
    cubecube
        20
    cubecube  
       2021-08-13 17:27:01 +08:00
    @hatw dns 暴露域名。换 doh+科学上网,原则上电脑外部的设备观察不到你访问的内容了,不会暴露访问的内容。

    除非 ta 不讲武德,还有别的手段直接读取浏览器的 cookie 、缓存等信息
    hatw
        21
    hatw  
       2021-08-13 17:36:07 +08:00
    @cubecube #20 不过我司笔记本上网,需要用公司的 dns 。。。。那。。。
    cubecube
        22
    cubecube  
       2021-08-13 17:39:41 +08:00
    @hatw 遵纪守法:)
    hatw
        23
    hatw  
       2021-08-13 17:44:01 +08:00
    @cubecube #22 没事,一般都说是 clash 代理,公司也不严格
    junyee
        24
    junyee  
       2021-08-13 19:22:48 +08:00
    如果你电脑上和服务器上证书层安全的话,他仅仅能看见域名和连接,url 也看不到。。。
    Showfom
        25
    Showfom  
       2021-08-13 20:50:11 +08:00
    没有 ESNI 的话,只能看到对面的服务器端口和请求的域名,详细 URL 看不到的

    如果有 ESNI 的话,域名都看不到,只能看到对面的服务器 IP 和端口
    systemcall
        26
    systemcall  
       2021-08-13 22:03:25 +08:00
    @hatw #10
    如果你的电脑是干净的话,看是怎么进行科学上网的
    现在一般用的方法,网管那边只能知道 IP 。host 可以伪装成一般的服务的 host,但是其实还是会有些问题,因为一般用那些服务的时候不会只向那一个 host 发送请求,而且根据 IP 反查,通过一些社工的方法还是可以看出来是代理的流量
    比如有些是伪装成微信的流量,但是你人在国内,微信自己怎么会连到美国那边的 VPS 的 IP 上面去呢?一看就知道不是真正的微信的流量
    systemcall
        27
    systemcall  
       2021-08-13 22:07:53 +08:00
    @hatw #21
    至少可以让 DNS 解析走 DoH/DoT 。但是启动的时候一般还是需要走普通的 DNS 解析来拿到 DoH/DoT 服务器的 IP 。不过你可以试试把那些域名写在 hosts 里面
    一般的代理软件是会代理 DNS 解析的流量的,但是还有一个暴露面就是 Web RTC 。其实如果是规则模式的话,一般为了国内的服务的可用性,是会直连大部分的国内的跟踪器的,有些跟踪器就是明文传输的,特别是不少 App 。你自己抓包一下就发现得了
    或者你可以买个国内的云主机,或者自己家里弄个公网 IP,v4 和 v6 都可以。大不了国外走一圈再回来
    leafre
        28
    leafre  
       2021-08-13 22:10:07 +08:00
    镜像问题 访问 https 页面时,网络运营商都能看见什么?
    wudicgi
        29
    wudicgi  
       2021-08-13 22:10:55 +08:00
    直接全部科学上网, DNS 请求都不给看
    desdouble
        30
    desdouble  
       2021-08-14 01:39:03 +08:00
    国内访问 google,基本用代理或者 vpn,极少有直接 dns 解析,直接访问这样。

    那么

    用 http 代理,如果代理流量是加密的,公司网管基本不可能知道你在干啥。
    用 vpn 全流量加密,公司网管基本不可能知道你在干啥。

    但如果你们公司禁了代理,禁了 vpn,那你要小心。https 透明代理+伪造证书,拿到你 https 的明文易如反掌。
    8e47e42
        31
    8e47e42  
       2021-08-14 08:05:36 +08:00
    公司电脑现在哪个不装额外证书的。。有的还有额外本地插件的,不要用不可信的网络环境和设备
    40EaE5uJO3Xt1VVa
        32
    40EaE5uJO3Xt1VVa  
       2021-08-14 09:42:32 +08:00
    如果你的电脑上没装什么网管、认证、之类的软件,

    当然你可能上不了网,所有不能解密的流量都被拦截了。

    怎么解密呢,让这种间谍程序在你电脑上装中间证书监听
    hzqim
        33
    hzqim  
       2021-08-14 10:43:05 +08:00
    ESNI 好像凉凉了,ECH 有望取代 ESNI ?
    Lemeng
        34
    Lemeng  
       2021-08-14 11:00:33 +08:00
    应该看不到吧,当然只是个人的理解
    flynaj
        35
    flynaj  
       2021-08-14 11:20:46 +08:00
    如果管理软件装在你电脑上,都看的到。如果是要网网关上,则真能看到 host
    hatw
        36
    hatw  
       2021-08-17 09:31:38 +08:00
    @systemcall #26 没事,我们管的不严格。只要他不知道我看什么网站就好。流量大目前还没问题
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1076 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 24ms · UTC 19:09 · PVG 03:09 · LAX 11:09 · JFK 14:09
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.