[port139ml:01986] Re: HTTPTunnel@JUMPERZ.NET

[Kanatoko <anvil@xxxxxxxxxxx>]

初投稿です。金床と申します。よろしくお願いします。

伊原さんにご紹介頂いた

>HTTPTunnel@xxxxxxxxxxx
>http://www.jumperz.net/index.php?i=2&a=0&b=0

を作った本人です。

これはいわゆるTCP over HTTPを行うツールで、
インターネットへのアクセスにアプリケーションゲートウェイ型のHTTPプロキ
シを使うしか手段がない、という極端に不便なネットワークでのみ利用価値のあ
る、使用する場面がとても限られたツールです。

#httpsが見える環境ならばCONNECTメソッドなどが通ると思われますし、SOCKSが
使えるならばSOCKSを使えば外側とTCPでのやりとりが可能になります。また、
IPマスカレード方式などで80番ポートだけが開いている場合でも、SOCKSサーバー
などをインターネット上のホストの80番ポートで起動しておけば目的は達成でき
ます。

HTTPトンネルとしては

GNU HTTP Tunnel
http://www.nocrew.org/software/httptunnel.html

などが既にあったのですが、複数のコネクションを同時に通すことができない
（SOCKSサーバーに中継してFTPを通す、ということができない）ことや暗号化が
行われない点が気に入らなかったので開発しました。


On Mon, 20 Jan 2003 00:36:45 +0900
Hideaki Ihara <hideaki@xxxxxxxxxxxxx> wrote:
>
> 
> ところでみなさん、トンネルの検出ってどうしてますか？
> 上記のだと Blowfish で暗号化できるので、ネットワーク型の IDS なりで
> 検出するの難しいですよね？

HTTPトンネルの使用の検出は容易だと思います。HTTPTunnel@xxxxxxxxxxxについ
ては全ての通信をPOSTメソッドを用いて行うので、HTTPプロキシサーバーのログ
を見るのが最も簡単な検出方法となります。通常では考えられない程POSTメソッ
ドの数が多いホストを探すことで検出できます。

HTTPトンネルは管理者から隠れて使用するものではない（隠れて使用するのは無
理）と考えていますので、今後のバージョンアップで小細工をし、IDSにひっかか
り難くするようなことは全く考えていません。

#データの内容については暗号化しているので、管理者に「何かをやっている」こ
とはばれますが、「何をやっているのか」はばれません。

他のHTTPトンネルの具体的な動きについては見ていないので断言はできませんが、
通常のウェブブラウザとは明らかに違う形を取ると思いますし、おそらく容易に
検出できると思います。

まぁそれ以前に、HTTPトンネルを使わなければならないほど不便なネットワーク
は今時ないと思うので、 利用者自体殆どいないのではないかと思いますが…

-- 
Kanatoko<anvil@xxxxxxxxxxx>
http://www.jumperz.net/
irc.friend.td.nu:6667 #ouroboros