Телеграмм чат группы enogtalk страница 3912

какой сертификат

13:08пожаловаться #1

Goletsa in ENOG

Звучит как DPI

13:10пожаловаться #2

Vitaly Shishkin in ENOG

Это вообще левый сертификат. Похоже на попытку перехватить трафик.

13:10пожаловаться #3

Да, до боли похоже на mitm

13:10пожаловаться #4

.... локальным антивирусом или где-то уже на сети

13:11пожаловаться #5

Написано, что с разных компов одинаковый результат, причем только в определенной подсети. Не похоже на антивирус

13:12пожаловаться #6

лучше всего это проверить всё же tcpdump'ом )

13:12пожаловаться #7

Да, причем пакетами TCP на 443

13:13пожаловаться #8

там TLS handshake виден целиком, можно отличить одно от другого

13:13пожаловаться #9

И tcptraceroute

13:13пожаловаться #10

Я бы даже с него начал

13:13пожаловаться #11

bercut in ENOG

MitM

13:14пожаловаться #12

Aleksey Avramenko in ENOG

то есть "перехват" только когда идем через определенный внешний канал?

13:15пожаловаться #13

На этом канале где-то

13:16пожаловаться #14

Скорее

13:16пожаловаться #15

Sergey in ENOG

так можно же посмотреть что там выдается

% openssl s_client -crlf \
-connect signin.ebay.com:443 \
-servername signin.ebay.com \
-showcerts

13:17пожаловаться #16

Sergey in ENOG

конечно может и сам ебей тупить в теории, какой-нибудь балансировщик не туда балансирует

13:17пожаловаться #17

Aleksey Avramenko in ENOG

спасибо за подсказки... будем копать дальше. Вопрос в том, что это канал Ростелекома...

13:17пожаловаться #18

Konstantin Bekreyev in ENOG

прикольно, интересно что ответят)

13:18пожаловаться #19

Sergey in ENOG

странно, обычно системы mitm выписывают более адекватные сертификаты где есть хотя бы hostname нормальный