这是一个创建于 3629 天前的主题,其中的信息可能已经有所发展或是发生改变。
大概思路:
一个wifi,由我来配置。分配IP自然是走dhcp。
dhcp 有分配 proxy 的配置项,可以配置 proxy_ip:port 给 dhcp client
分配好 proxy 下去给用户,用户(以 ios 为例)的系统流量都会走 proxy
proxy 上的 http 服务很好配, google 一大把,关键是 https 。
https 的配置,我找到了这个: http://shevacjs.com/2015/04/25/nginx-https-proxy/
但是我不甘心啊,因为这么一来,就真的只是个代理而已,监听如何实现?
我设想的模型如下:
目标服务器,以工行网银为例,简称 V 主机
流量都走 proxy 的用户,简称 S
可以 ssh 上去配置的 proxy 主机,简称 T
proxy 主机与用户有完整的证书信任关系,也就是说用户装了 proxy 所在机构相关的根证书。
客户挂代理,发请求访问工行网银( V ), proxy 拿到请求之后得到请求明文,然后 proxy 以客户端的身份(可以理解为一个浏览器)向实际的工行网银( V )发起请求。
V 返回请求结果,理论上说,因为 proxy ( T )是以客户端的身份访问 V ,所以 proxy ( T )可以拿到返回结果的明文。
T 用自己的证书对返回的内容加密,然后返回给原始用户( S ,发起这个请求的人)。
-----------------------------------------------------------------
无所谓部署 nginx 还是 squid ,个人倾向 n 。 proxy 也就是 T ,相当于一个二次封装(加密)的角色。
请问各位,这个监听能否做到?
或者说,如果思路有问题,能否用其他方式实现?反正证书问题我可以想别的方法搞定。
一个wifi,由我来配置。分配IP自然是走dhcp。
dhcp 有分配 proxy 的配置项,可以配置 proxy_ip:port 给 dhcp client
分配好 proxy 下去给用户,用户(以 ios 为例)的系统流量都会走 proxy
proxy 上的 http 服务很好配, google 一大把,关键是 https 。
https 的配置,我找到了这个: http://shevacjs.com/2015/04/25/nginx-https-proxy/
但是我不甘心啊,因为这么一来,就真的只是个代理而已,监听如何实现?
我设想的模型如下:
目标服务器,以工行网银为例,简称 V 主机
流量都走 proxy 的用户,简称 S
可以 ssh 上去配置的 proxy 主机,简称 T
proxy 主机与用户有完整的证书信任关系,也就是说用户装了 proxy 所在机构相关的根证书。
客户挂代理,发请求访问工行网银( V ), proxy 拿到请求之后得到请求明文,然后 proxy 以客户端的身份(可以理解为一个浏览器)向实际的工行网银( V )发起请求。
V 返回请求结果,理论上说,因为 proxy ( T )是以客户端的身份访问 V ,所以 proxy ( T )可以拿到返回结果的明文。
T 用自己的证书对返回的内容加密,然后返回给原始用户( S ,发起这个请求的人)。
-----------------------------------------------------------------
无所谓部署 nginx 还是 squid ,个人倾向 n 。 proxy 也就是 T ,相当于一个二次封装(加密)的角色。
请问各位,这个监听能否做到?
或者说,如果思路有问题,能否用其他方式实现?反正证书问题我可以想别的方法搞定。
 | 1 xjdrew 2015-11-10 18:36:31 +08:00 如果 https 可以中间监听,那这协议还有什么意义呢? 如果真想实现,那要给客户机器添加根证书,你用这个根证书签名一个假的工行网站,然后再转发所有请求。 |
 | 2 paw 2015-11-10 19:48:17 +08:00 |
 | 3 kxjhlele 2015-11-10 20:15:59 +08:00 客户端证书问题 你要是能搞定 就可以监听。 |
 | 4 nixilin OP @paw 降级是另一种实现形式,但是感觉工程量略大。因为无法统一所有网站的处理方式。有些狠一点的就真的手动拼接 https 字符串或者别的姿势,压根没法一个一个网站的匹配。 |
| 5 nixilin OP |
 | 6 wdlth 2015-11-10 20:31:54 +08:00 正向代理加反向代理 |
 | 7 7654 2015-11-10 20:36:22 +08:00 我想说的是微软的 ISA 或 TMG 有这功能 |
 | 8 mornlight 2015-11-10 20:39:37 +08:00 如果客户端没有信任你自签名的证书,中间代理理论上无法监听到明文 https 通信。 |
 | 9 ericFork 2015-11-10 21:13:29 +08:00 没人好奇楼主想监听和修改的内容是什么吗? |
 | 10 msg7086 2015-11-10 22:39:18 +08:00 > proxy 主机与用户有完整的证书信任关系,也就是说用户装了 proxy 所在机构相关的根证书。 这个是最难的。你要么得获得用户电脑的管理员权限,要么得攻占下某个 CA 。 前者可能某个数字或者企鹅勉强能做到。 后者明显是想搞个大新闻。 |
 | 12 hellogbk 2015-11-10 23:40:08 +08:00 跟楼主各位说的差不多。 经过代理的流量都是加密的。 你能做的只是在握手阶段截取 SSL 证书换成你自己的。才有可能解密 HTTPS 的流量 但是要想让客户端信任你的证书,你就必须把你的根证书装到客户端系统上去。。 |
| 13 nixilin OP |
1 | 15 nixilin OP @msg7086 各种管家/卫士/助手实在难缠。我本来也就没有 win32 编程基础,与其费心思给马做免杀过这些东东,还不如在 proxy 层动动脑子。 |
| 17 nixilin OP |
Select Language