将 SSL/TLS 连接降级为普通 TCP

2023-12-15  本文已影响0人  舌尖上的大胖

一、背景

近期项目中遇到一个特殊场景:服务端要求以 SSL/TLS 方式进行连接,但由于特殊原因,客户端不支持 SSL/TLS,而且服务端与客户端都无法调整。

二、思路

在客户端本地安装网络工具,提供普通 TCP 监听,客户端连接指向这个普通 TCP。网络工具以 SSL/TLS 方式连接服务,并转发收到的内容。

三、工具及使用方法

以 HTTPS 服务举例:

服务端:example.com:443

正常访问方式:https://example.com

客户端监听的新端口:12345

1、Ncat

ncat -klp 12345 -c 'ncat example.com 443 --ssl --ssl-servername example.com'

参数说明:

参数 说明
-klp 12345 本地以普通 TCP 形式监听 12345 端口,并始终保持监听状态。
-c 'ncat example.com 443 --ssl --ssl-servername example.com' example.com:443 建立 SSL/TLS 连接。

连接服务命令的说明:

ncat example.com 443 --ssl --ssl-servername example.com

参数说明:

参数 说明
example.com 443 连接 example.com:443 服务。
--ssl 以 SSL/TLS 方式连接。
--ssl-servername example.com 解决 SNI 问题,指定域名。

2、socat

socat TCP-LISTEN:12345,fork,reuseaddr SSL:example.com:443,verify=0

参数说明:

参数 说明
TCP-LISTEN:12345,fork,reuseaddr 监听相关参数:监听 12345 端口;开启子线程处理新连接;可重用地址
SSL:example.com:443,verify=0 连接相关参数:与 example.com:443 建立 SSL/TLS 连接;不域名与证书的匹配性校验

这里有几点特别说明一下:

verify 用于校验 SSL/TLS 证书所访问目标域名是否匹配。这个例子中由于使用域名,所以不受影响。如果通过 IP 访问一个 SSL/TLS 的服务,是无法通过校验(由客户端进行校验)的。所以要避免这个检查,就需要指定 verify=0

3、客户端访问方式

端口转发创建成功后,需要按如下规则进行访问:

curl http://localhost:12345 -H 'Host: mobile.mochasoft.com.cn'

这说明两点:

(1)端口转发建立成功后,可以把 SSL/TLS 连接降级为普通 TCP

(2)连接可以降级成功,但要确保连接中传输的内容与原来保持一致,两端才能正常工作

四、注意事项

这种方案虽然在技术上能够解决现有问题,但并不意味着是理想方案。不管从性能和安全性方面,都有待充分考量。所以只适合应急场景,并不适合长期在生产环境作为标准方案使用。

在现在这个阶段,还是应该对自己的系统和组件升级,确保对 SSL/TLS 有良好的支持,以确保安全性。

(完)

上一篇下一篇

猜你喜欢

热点阅读