Выпуск HTTPS-анализатора Mitmproxy 11 с поддержкой HTTP/3

06.10.2024 09:44

Представлен релиз проекта Mitmproxy 11, развивающего инструментарий для перехвата трафика внутри соединений, установленных по HTTPS, с возможностями инспектирования, модификации и повторного воспроизведения трафика. Основным назначением Mitmproxy является организация отслеживания трафика в корпоративных системах и диагностика проблем, например, выявление скрытой сетевой активности приложений. Исходные тексты проекта написаны на языке Python и распространяются под лицензией MIT.

Для анализа HTTPS-трафика Mitmproxy размещается на транзитном узле, на котором перехватывает запросы клиента и транслирует их в отправляемые от себя запросы к целевому серверу. С запрошенным в процессе клиентского сеанса сервером Mitmproxy устанавливает обычное HTTPS-соединение, а с клиентом от имени целевого сервера устанавливается фиктивное соединение с подставным SSL-сертификатом, генерируемым для клиента на лету. Принятый от клиента трафик перенаправляется целевому серверу, а получаемые ответы транслируются обратно клиенту.

Для перенаправления трафика через mitmproxy поддерживается несколько методов, таких как указание адреса mitmproxy в качестве HTTP-прокси в настройках браузера, работа в виде SOCKS5-прокси, использование в роли обратного прокси перед HTTP-сервером и организация прозрачного проброса при помощи правил пакетного фильтра или заворачивания маршрутизации. Для того, чтобы используемый при соединении с клиентом подставной сертификат не приводил к выводу браузером предупреждений о проблемах с безопасностью соединения, в систему пользователя предлагается установить корневой сертификат mitmproxy, что можно сделать как вручную, так и открыв в браузере специальный хост mitm.it.

Mitmproxy поддерживает HTTP/2, HTTP/3, Websockets, нормализацию порядка следования пакетов в потоке, подключение скриптов-обработчиков для модификации трафика на лету, сохранение запросов для дальнейшего повторного воспроизведения, генерацию TLS-сертификатов для перехваченных сеансов, чистку заголовков о времени модификации для отключения кэширования на стороне клиента, режим обратного проксирования (Reverse proxy) для перенаправления трафика на сервер, списки блокировки для фильтрации определённых запросов, выборочное перенаправление запросов (в том числе для отдачи в ответ локальных файлов), изменение содержимого и заголовков на основе регулярных выражений. Для анализа трафика предлагается похожая на tcpdump утилита командной строки mitmdump и web-интерфейс mitmweb.

Ключевым улучшением в новой версии является полная поддержка протокола HTTP/3, в котором задействован протокол QUIC (Quick UDP Internet Connections) в качестве транспорта для HTTP/2 (QUIC представляет собой надстройку над протоколом UDP, поддерживающую мультиплексирование нескольких соединений и обеспечивающую методы шифрования, эквивалентные TLS/SSL). В Mitmproxy для HTTP/3 можно использовать как прозрачный перехват трафика, так и работу в виде обратного прокси. Работа при перехвате HTTP/3 протестирована в Firefox, Chrome и различных версиях cURL.

Другие заметные изменения в новой ветке связаны с улучшением поддержки DNS в контексте размещения в DNS записей для HTTPS и ECH (Encrypted Client Hello). В новой версии добавлена поддержка запроса DNS-записей, отличных от A/AAAA (например, в ECH информация об открытом ключе шифрования передаётся в DNS-записи HTTPSSVC). Добавлен режим чистки ключей ECH из HTTPS-записей в DNS. Для работы с DNS осуществлён переход на библиотеку Hickory, написанную на языке Rust и развиваемую проектом Let's Encrypt. Добавлена поддержка DNS-over-TCP. Реализована опция для отключения обработки настроек из /etc/hosts.

исправить +14 +/–

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/61997-mitmproxy

Ключевые слова: mitmproxy, https, http3

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (66)

1.3, Аноним (3), 10:16, 06/10/2024 [ответить] [﹢﹢﹢] [ · · · ]	+/–
А клиент на MITM не ругается?

2.5, Аноним (5), 10:24, 06/10/2024 [^] [^^] [^^^] [ответить]	+1 +/–
Если речь о https, то конечно нужно генерировать ssl сертификат, при условии что не используется certificate pinning.

3.57, Аноним (57), 03:02, 07/10/2024 [^] [^^] [^^^] [ответить]	+/–
Facebook обычно ругается, если используется MITM. Но браузер можно настроить, чтобы он всё равно подключался. По крайней мере, в Basilisk в about:config я накручивал опции, чтобы соединялось, несмотря на MITM. Но если доступа к клиенту (браузеру) нет и сервер использует certificate pinning, то в трафик не влезть, будет ошибка.

4.62, Аноним (5), 10:54, 07/10/2024 [^] [^^] [^^^] [ответить]	+/–
Хм, любопытно. Могу предположить, что FB косвенно детектит прокси (мб какое-то подобие certificate pinning со стороны самого сервера, реакция на прокси заголовок, не весь трафик идет через прокси итп). Мне не доводилось использовать его непосредственно для браузеров (я ограничивался другими приложениями), потому возможно не сталкивался с такими особенностями. Если пользуетесь Windows и использовали выставление прокси через браузер, то я бы мог предложить ради интереса попробовать для прокси режим "--mode local" вместо настроек браузера, быть может при нем заработает без костылей.

2.6, Аноним (6), 10:27, 06/10/2024 [^] [^^] [^^^] [ответить]	+/–
> Для того, чтобы используемый при соединении с клиентом подставной сертификат не приводил к выводу браузером предупреждений о проблемах с безопасностью соединения, в систему пользователя предлагается установить корневой сертификат mitmproxy, что можно сделать как вручную, так и открыв в браузере специальный хост mitm.it.

2.25, Аноним (-), 14:12, 06/10/2024 [^] [^^] [^^^] [ответить]	+1 +/–
Ну почитайте же статью, там же автор написал про необходимость установить сертификаты. Вы что? Не читаете и задаёте вопросы?

3.50, Аноним (50), 23:14, 06/10/2024 [^] [^^] [^^^] [ответить]	+1 +/–
Так вопрос какой температуры нужен паяльник чтобы клиент перестал ругаться на то что мы заставляем его ставить сертификат?

2.65, fi (ok), 12:57, 07/10/2024 [^] [^^] [^^^] [ответить]	+/–
Клиенты ругаются. ))))) Этот написаный на .py HTTPS-анализатор можно использовать только для отлатки одним пользователям. Мы как-то тестировали его на скорость - и отказались, и перешли на haproxy.

1.7, Walker (??), 10:27, 06/10/2024 [ответить] [﹢﹢﹢] [ · · · ]

–4 +/–

Шикарный инструмент для пентестеров!

2.51, Аноним (50), 23:15, 06/10/2024 [^] [^^] [^^^] [ответить]	+2 +/–
Мы на работе всех заставили поставить сертификат чтобы видеть куда эти пентестеры там лазают в рабочее время. Кто не туда полез тому сразу по пену линейкой. Если вы понимаете о чём я.

3.59, Проходил мимо (?), 07:28, 07/10/2024 [^] [^^] [^^^] [ответить]	+1 +/–
Чтобы посмотреть, куда лезут, достаточно поставить старый добрый SQUID. Да, в логах не будет видно, что именно человек там запрашивал, но если трафик с рабочего компа идет на порнхаб, онлифанс или сервера Стима, то и так понятно, что с работой это не связано. А вот поставив всем сертификат вы создали для злоумышленника точку, в которой можно перехватить расшифрованный трафик и, теоретически, получить доступ к критически важной информации. Представьте ситуацию, что ваш сервер взломали, получили доступ к клиент-банку пользователя и украли у него миллион со вклада. Или получили доступ к госуслугам и смогли через них отжать квартиру.

4.60, Аноним (60), 08:32, 07/10/2024 [^] [^^] [^^^] [ответить]	+1 +/–
Так нормальные банки уже давно требуют подтверждение по SMS, да и госулуги тоже.

5.66, Аноним (66), 17:36, 07/10/2024 Скрыто ботом-модератором [к модератору]	+/–

1.11, Аноним (11), 10:43, 06/10/2024 [ответить] [﹢﹢﹢] [ · · · ]	+6 +/–
Кхм , анализатора... эм, ну да, можно и так сказать.

2.13, Аноним (13), 11:09, 06/10/2024 [^] [^^] [^^^] [ответить]	+2 +/–
Да,ладно. Реально удобная вещь для отладки запросов в посторонние сервисы. Особенно когда они идут прозрачно для приложения из каких нибудь либ.

2.21, Вася (??), 12:56, 06/10/2024 [^] [^^] [^^^] [ответить]	+/–
они действуют намного тyпее, там все ще на урове tcp/ip работает, а не так высоко

1.22, РКН (?), 13:19, 06/10/2024 [ответить] [﹢﹢﹢] [ · · · ]	+3 +/–
Спасибо большое - скачали, сейчас заценим...

2.37, Аноним (37), 17:13, 06/10/2024 [^] [^^] [^^^] [ответить]	+/–
Очень смешно. Всем известно, что настоящий ркн не занимается "инспектированием, модификацией [...] отслеживанием трафика [...] и диагностикой проблем". Ркн просто запрещает и блокирует.

3.52, Аноним (50), 23:16, 06/10/2024 [^] [^^] [^^^] [ответить]	+3 +/–
Да да а у ютуба просто сервера старые…

1.23, Анониссимус (?), 13:20, 06/10/2024 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Интресная штука. Собираюсь попробовать с помощью неё отреверсить api одного приложения.

2.53, Аноним (50), 23:16, 06/10/2024 [^] [^^] [^^^] [ответить]	+1 +/–
Я буду реверсить два приложения кто больше?

2.64, Бог (?), 12:20, 07/10/2024 [^] [^^] [^^^] [ответить]	+1 +/–
молись, чтобы в приложении не было строгой привязки к оригинальному сертификату сервера

1.24, Аноним (24), 13:25, 06/10/2024 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Допустим мы добавили рут в траст. Но Хром не будет ходить через QUIC, пока не укажешь сайт в настройке --origin-to-force-quic-on. Они это как то решили, кто-нибудь знает?

2.27, Аноним (27), 14:51, 06/10/2024 [^] [^^] [^^^] [ответить]	+/–
>Но Хром не будет ходить через QUIC, пока не укажешь сайт в настройке --origin-to-force-quic-on. Пчёлы против мёда?

2.45, Zulu (?), 19:56, 06/10/2024 [^] [^^] [^^^] [ответить]	+/–
> Но Хром не будет ходить через QUIC, пока не укажешь сайт в настройке --origin-to-force-quic-on Будет. Первый реквест нет, а потом получит alt-svc и пойдет через QUIC.

1.26, jsforever (ok), 14:45, 06/10/2024 [ответить] [﹢﹢﹢] [ · · · ]

+/–

> Основным назначением Mitmproxy является организация отслеживания трафика в корпоративных системах

интересный момент, кстати. не увидел негативных комментов.

вот слежка вообще - это плохо, любой эксперт расскажет. а вот в слежка корпоративных системах - это нормально. но ведь одно от другого принципиально не отличается. откуда тогда диаметрально противоположные оценки явлений?

2.33, ryoken (ok), 16:16, 06/10/2024 [^] [^^] [^^^] [ответить]	+/–
Очевидно же - ВП на марше :).

2.38, Аноним (66), 17:47, 06/10/2024 [^] [^^] [^^^] [ответить]	+2 +/–
Принципиально отличается: в корпоративной сети нет личного трафика.

3.68, jsforever (ok), 17:54, 07/10/2024 [^] [^^] [^^^] [ответить]	+/–
а что такое личный трафик? нужно уточнить этот момент.

4.76, Аноним (66), 04:01, 09/10/2024 [^] [^^] [^^^] [ответить]	+/–
Любой, не относящийся напрямую к исполнению трудовых обязанностей.

5.77, jsforever (ok), 07:29, 09/10/2024 [^] [^^] [^^^] [ответить]

+/–

хорошо. но проблема в том, что тот же принцип есть везде.

вот взять тот же гугл - трафик никак с ним не связанный(не через их андроид/браузер/сервисы) гуглом не отслеживается. ситуация как и на работе: не хочешь слежки - не пользуйся/увольняйся.

в чём тогда смысл лозунгов про гуглозонды и подобное?

3.81, Аноним (81), 05:42, 12/10/2024 Скрыто ботом-модератором [к модератору]	–1 +/–

2.39, Аноним (39), 17:48, 06/10/2024 [^] [^^] [^^^] [ответить]	+1 +/–
На самом дел это ЛПП. Основное назначение mitmproxy - это отладка мобильных и веб-приложений. Иными словами - замена Fiddler и Charles. А перехват на потоке питоновский скрипт не потянет. Он и отладку веб-приложений еле-то тянет.

3.41, Аноним (66), 18:39, 06/10/2024 [^] [^^] [^^^] [ответить]	+1 +/–
А на потоке и не надо. Надо конкретных пользователей перехватывать, если мы о корпоративной сети говорим. Ну и про то, что Питон якобы отладку веб-приложений еле тянет ты лукавишь, всё там замечательно на железе десятилетней давности.

3.56, Аноним (57), 02:56, 07/10/2024 [^] [^^] [^^^] [ответить]	+/–
Ну, Charles пофункциональней будет. Там и распаковка gzip и парсинг json. Но без QUIC, да.

2.47, Eaaasdfsd (?), 21:00, 06/10/2024 [^] [^^] [^^^] [ответить]

+2 +/–

> вот слежка вообще - это плохо, любой эксперт расскажет. а вот в слежка корпоративных системах - это нормально. но ведь одно от другого принципиально не отличается. откуда тогда диаметрально противоположные оценки явлений?

Да потому, что ты добровольно подписал трудовой договор. Никто насильно не заставлял. Если там прописаны какие-то ограничения - изволь соблюдать.

Совсем другое дело, когда ты договор добровольно не подписывал. А какие-то левые люди решили, что им надо за тобой следить. Это уже диаметрально противоположный расклад.

3.54, Аноним (50), 23:19, 06/10/2024 [^] [^^] [^^^] [ответить]	+1 +/–
И что ты сделаешь? В суд подашь или просто обидишься?

3.67, jsforever (ok), 17:53, 07/10/2024 [^] [^^] [^^^] [ответить]	+/–
> Совсем другое дело, когда ты договор добровольно не подписывал ты добровольно пользуешься фоксом/хромым/разными сайтиками/ещё чем-то со слежкой. также никто насильно не заставлял, не так ли?

4.71, Eaaasdfsd (?), 20:54, 07/10/2024 [^] [^^] [^^^] [ответить]

+/–

> сайтиками/ещё чем-то со слежкой. также никто насильно не заставлял

Только я с сайтиками не подписывал договор в котором прописана ответственность сторон, не так ли?
Значит могу их хотелки слать лесом и резать их отслеживающие трекеры у себя.

5.72, jsforever (ok), 07:33, 08/10/2024 [^] [^^] [^^^] [ответить]	+1 +/–
раз договора нет - сайтик может слать твои хотелки и делать с тобой что угодно. браузер тоже может делать что угодно - затиреть тебе весь диск в неожиданный момент, сливать пароли, просто падать через пару секунд после запуска. договор то никто не подписывал. а почему тогда эксперты ноют "за нами следят"/"долой слежку"? всё же логично получается: в корпоративной среде ты подписал договор, а вне этой среды никто никаких договоров не подписывал и каждый может делать что хочет.

6.78, Прохожий (??), 01:55, 10/10/2024 [^] [^^] [^^^] [ответить]	+1 +/–
>и каждый может делать что хочет Не может. На то государство есть со своим законодательством.

7.79, jsforever (ok), 10:02, 10/10/2024 [^] [^^] [^^^] [ответить]	+/–
то есть значительная часть коментаторов с лозунгами про гуглозонды просто фантазирует, верно? ибо как могут существовать и применяться зонды, если это запрещено законодательством и за подобное наказывают. или ты просто выдрал из контекста и дал шаблонный ответ?

6.84, X86 (ok), 10:12, 16/10/2024 [^] [^^] [^^^] [ответить]	+/–
>браузер тоже может делать что угодно - затиреть > тебе весь диск в неожиданный момент, сливать пароли, просто падать через > пару секунд после запуска. договор то никто не подписывал. А разработчики могут присесть по статьям 272, 273 УК РФ или аналогичным статьям в большинстве государств мира

7.85, jsforever (ok), 22:52, 17/10/2024 [^] [^^] [^^^] [ответить]	+/–
это сразу мимо, потому как в сторону слежки от государств(тех самых "статей") завываний ещё больше, чем по поводу гугла. ты либо подчиняешься государству и не ноешь, когда это государство следит в том числе за тобой, либо ноешь, но тогда не прячешься за законы. я конечно понимаю твой и остальных экспертов уровень(нулевой), но постарайся хотя бы минимально логично мыслить.

3.82, microcoder (ok), 11:06, 12/10/2024 [^] [^^] [^^^] [ответить]	+/–
> Совсем другое дело, когда ты договор добровольно не подписывал Ну как это? Паспорт есть? Паспорт это договор с "государством", а с ним все выпускаемые Законы в той стране ты по умолчанию этим договором принимаешь, соглашаешься. Так что если ФСБ решило, что им надо следить, то они будут следить и ты с этим ДОБРОВОЛЬНО согласился, когда взял Паспорт и подписал его

2.61, планктон офисный (?), 09:35, 07/10/2024 [^] [^^] [^^^] [ответить]

+1 +/–

Наверное от того, что код который вы пишете во время работы не ваш и вообще, всё что вы делаете, делаете от лица фирмы и почему бы ей не проследить за работой? Как никак, вам за это платят. И особенно никто не скрывает, что всё что вы делаете на работе - отслеживается.

Дома же, вам никто не платит за просмотр

Т.е. мы можем здесь сделать сравнение такое:
Почему просмотр стриптиза в специальном заведении это нормально
А просмотр стриптиза через бинокль в окно соседки, это нет?
Ведь опять же, и там и там раздеваются.

3.69, jsforever (ok), 18:03, 07/10/2024 [^] [^^] [^^^] [ответить]

+1 +/–

> и вообще, всё что вы делаете, делаете от лица фирмы и почему бы ей не проследить за работой? Как никак, вам за это платят

подразумевается, что сотрудники исполняют вполне конкретный список обязанностей, а не продаются в рабство на время рабочего дня. поэтому не всё, конечно же.

> А просмотр стриптиза через бинокль в окно соседки, это нет?

это неверная аналогия. если эта соседка в окне уведомлена о наблюдателях(или даже это и является целью) - то здесь всё также нормально. а так, если кто-то прилюдно раздевается - очевидно жалобы "за мной подглядывают" сразу идут мимо.

1.28, Ося Бендер (?), 15:12, 06/10/2024 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Удобная штука за соседкой следить, куда это она ходит по сайтам.

1.29, Самый умный аноним (?), 15:20, 06/10/2024 [ответить] [﹢﹢﹢] [ · · · ]	–1 +/–
Не могу понять для кого этот инструмент? Для митм надо иметь доступ к клиенту для установки сертификата. Для дебагинга на клиенте можно юзать начиная с wireshark до спец инструментов

2.30, Анониссимус (?), 15:55, 06/10/2024 [^] [^^] [^^^] [ответить]	+/–
Виршарку понадобятся ключи для расшифровки TLS-трафика. Их не всегда просто получить.

2.31, Аноним (11), 15:57, 06/10/2024 [^] [^^] [^^^] [ответить]	+/–
Это не интерактивный инструмент.

3.74, Аноним (74), 14:29, 08/10/2024 [^] [^^] [^^^] [ответить]	+/–
> Это не интерактивный инструмент. Нет user friendly gui?) Тыж линуксоид. И вообще cерфи инет через lynks.

2.43, Аноним (43), 19:54, 06/10/2024 [^] [^^] [^^^] [ответить]	+/–
Для хакеров или как тут пишут - пентестеров. Судя по администрированию сообщений - не удивлен. Помогает админ чем может.

3.75, Аноним (74), 14:30, 08/10/2024 [^] [^^] [^^^] [ответить]	+/–
> Для хакеров или как тут пишут - пентестеров. Судя по администрированию сообщений > - не удивлен. Помогает админ чем может. Хакккер это который шарит в пк. Тот который ты имеешь ввиду называется кракер)

2.63, 1 (??), 11:25, 07/10/2024 [^] [^^] [^^^] [ответить]	+/–
Просто устанавливается СВОЙ сертификат через AD и все дела. Такое уже давно делает любой DPI.

2.83, microcoder (ok), 11:13, 12/10/2024 [^] [^^] [^^^] [ответить]	+/–
> Для митм надо иметь доступ к клиенту для установки сертификата Так это не проблема. Сберпанк рассылает уведомление - Если не установите, то не получите доступ к своим кровным! И всё. Этого достаточно, чтобы установили десятки миллионов. Уже просят устанавливать "отечественные" корневые и ноль проблем с этим, устанавливают :)))

1.32, Аноним (32), 16:09, 06/10/2024 [ответить] [﹢﹢﹢] [ · · · ]	+/–
А лучше bettercap?

1.34, ryoken (ok), 16:17, 06/10/2024 [ответить] [﹢﹢﹢] [ · · · ]	–1 +/–
Интересно, с чего бы у них на картинке старый МакПро и старый Ыфон как сервер и клиент? :)

2.55, Аноним (50), 23:21, 06/10/2024 [^] [^^] [^^^] [ответить]	+/–
Чтобы знать что они там шлют в эпл.

2.73, Аноним (74), 14:28, 08/10/2024 [^] [^^] [^^^] [ответить]	+1 +/–
> Интересно, с чего бы у них на картинке старый МакПро и старый > Ыфон как сервер и клиент? :) Давно картинку не обновляли, лень рисовать. Вообще в linux проблема с дизайнерами) ( кроме KDE, которая Plasma, Которая кроссовки, которая KDE ).

1.36, commiethebeastie (ok), 16:45, 06/10/2024 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Сейчас приложения игнорируют сертификаты, установленные на телефон, используют свои хитро спрятанные.

2.40, Аноним (39), 17:49, 06/10/2024 [^] [^^] [^^^] [ответить]	+/–
А толку, если xposed?

1.48, Аноним (48), 21:40, 06/10/2024 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Для тестеров есть Charles. Или тут что-то иное?

2.70, Аноним (70), 18:18, 07/10/2024 [^] [^^] [^^^] [ответить]	+/–
Charles - платный и неопенсорсный. Fiddler - тоже проприетарный, но на шарпе, декомпилится элементарно, но нафиг. mitmproxy функциональнее, у него даже API есть.

3.80, Аноним (81), 05:32, 12/10/2024 [^] [^^] [^^^] [ответить]	+/–
Fiddler это не совсем то. Он как-бы перехватчик, а не прокси. Как-бы не одно и то же. А прокси вообще можно допустим к анонимным сетям присобачить, с чем некоторые перехватчики не справятся.

1.58, Аноним (57), 03:05, 07/10/2024 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Показали бы ещё на пальцах как настроить перехват этого QUIC. Это же ведь не просто прокси указать, с QUIC такое не пройдёт. Там или iptables или tun какой-нибудь.

игнорирование участников | лог модерирования

Добавить комментарий

Текст: