chisel 分析1

  目前客户端代理转发时基于chisel修改的！来看看chisel基本逻辑

Chisel是一个快速稳定的TCP/UDP隧道工具，该工具基于HTTP实现，并通过SSH加密保证通信安全。Chisel可以进行端口转发、反向端口转发以及SOCKS流量代理；

隧道原理分析

隧道的搭建需要客户端和服务端两端，客户端负责接收待转发的数据，解析后将数据利用ssh进行加密、封装成HTTP/WebSocekt（s）协议发送到服务端，服务端接收后解析成原始流量并转发。

  隧道搭建时，客户端会率先向服务端建立WebSocket连接，在WebSocket协议升级中，包含隧道工具的版本信息“chisel-v3”。利用该特征可以对隧道流量进行有效检出，但有经验的攻击者往往会抹除该特征，规避检测。

WebSocket协议是Http协议的补充，相较于Http协议，WebSocekt实现了长连接、全双工通信通道，具有更高效的通信效率。

根据以前的websocket知识可知：

  浏览器想升级协议（Connection: Upgrade），并且想升级成 WebSocket 协议（Upgrade: WebSocket）。同时带上一段随机生成的 base64 码（Sec-WebSocket-Key），发给服务器。

如果服务器正好支持升级成 WebSocket 协议。就会走 WebSocket 握手流程，同时根据客户端生成的 base64 码，用某个公开的算法变成另一段字符串，放在 HTTP 响应的 Sec-WebSocket-Accept 头里，同时带上101状态码，发回给浏览器。101 状态码不常见，它其实是指协议切换。

  之后，浏览器也用同样的公开算法将base64码转成另一段字符串，如果这段字符串跟服务器传回来的字符串一致，那验证通过。

 

  WebSocke连接建立后，chisel工具会在WebSocket信道内进行SSH加密协商，协商中SSH的版本信息为“SSH-chisel-v3-server”。和WebSocke升级协议类似，其中包含了chisel工具的特征字符串，可以通过该特征实现检测，但该特征也较易被攻击者抹去。

  SSH加密协商后，chisel客户端会持续监听，接收待转发流量，ssh加密后发送到服务端。目前该工具支持的转发协议包括：SOCKS、UDP、TCP。