24 篇博文 含有标签「流量分析」

这是 AI Agent 相关能力第一次正式应用到 Yakit 的日常功能模块中。本次以 HTTP 历史流量分析 作为试点，在不改变用户原有使用习惯的前提下，引入一个“懂流量、能对话”的分析专家，用来辅助用户理解和分析已有流量数据。

本文主要介绍这个功能做了什么、怎么用，以及背后的一些实现思路。

为什么我们需要监控进程？​

在上一篇文章中，我们讨论了如何利用 TUN 设备构建一个基础的流量拦截环境（点击即可查看）。 然而，在实际的渗透测试或安全开发场景中，我们经常会遇到一个痛点：流量是“盲目”的。

在渗透测试或者日常抓包中，很多 App/小程序/系统服务不会尊重系统代理，导致传统 HTTP/S 代理和 SSL 旁路方案很难覆盖全流量，特别是 TLS、国密或自定义协议的场景。TUN 虚拟网卡 + MITM 的透明劫持可以把“无法挂代理”的流量也收入囊中。

同时在渗透或抓包场景，单一默认代理往往不够：不同域名/网段需要不同出口或直连，认证/链式代理容易失效，临时切换又怕漏配。全局代理规则能把流量按需分流，减少失败和重传。

Yakit MITM 新增了 TUN 劫持模式，全局代理规则设置，让我们一起来看看吧

随着国家网络安全战略的深入实施，国密算法（SM2、SM3、SM4 等）在我国关键信息基础设施和重要领域得到了广泛应用，旨在构建自主可控、安全可靠的密码体系。国密 TLS（GMTLS）作为其在传输层安全协议的体现，正逐步取代传统的 RSA/ECC TLS 协议。然而，这种安全性的提升也给传统的网络分析工具，尤其是中间人（MITM）类工具带来了新的挑战。近期我们收到了部分用户咨询有关双向认证的问题，问题大致集中在：

在之前的推文中已经简单介绍了流量分析功能以及工作流程，

在“让历史流量开口说话”之后，我们更希望它能自己“做总结”。

本篇文章将带你深入了解 Yakit 流量分析功能中的两个热加载入口-- analyzeHTTPFlow 与 onAnalyzeHTTPFlowFinish 并通过真实的安全分析场景展示它们的组合威力。

最近有很多用户会询问 MITM 中的热加载部分，对于热加载中的 Hook 函数的使用场景了解不充分，本篇将围绕 Hook 函数定义并且给出具体的小例子帮助用户进行理解。

随着国家网络安全战略的深入实施，国密算法（SM2、SM3、SM4 等）在我国关键信息基础设施和重要领域得到了广泛应用，旨在构建自主可控、安全可靠的密码体系。国密 TLS（GMTLS）作为其在传输层安全协议的体现，正逐步取代传统的 RSA/ECC TLS 协议。然而，这种安全性的提升也给传统的网络分析工具，尤其是中间人攻击（MITM）工具带来了新的挑战。

传统的 MITM 工具在面对 GMTLS 加密流量时往往束手无策，这限制了安全研究人员、渗透测试工程师以及开发人员对国密通信进行分析、调试和拦截的能力。Yakit 作为一款强大的网络安全工具集，其 MITM 模块针对国密通信的支持，旨在打破这一技术壁垒，使我们能够像分析传统 TLS 流量一样，深入洞察国密加密的通信细节。

本期分享文章分享的是 Yakit 最近上线的流量分析功能。

在 Web 安全测试中，我们经常面临下面两大核心诉求：

01 如何快速定位关键流量数据？

02 如何深度挖掘历史流量价值？

而流量分析功能则补全了这块拼图，让用户能够二次利用历史数据，挖掘出有价值的流量。

今天让我们来讨论一下Yak MITM（中间人劫持）。对于Yak的新用户来说，相信上来对Yak MITM中茫茫多的功能与配置会感到十分的困惑，MITM由许多模块组成，从而导致其的流程也相对复杂。今天就用尽可能简单的语言讲解一下MITM中各个模块以及它们的运转流程。

在之前的yakit 插件中 mitm是十分常用的插件，在渗透测试中可以进行被动扫描和批量扫描的操作，大大提升测试效率。不过mitm插件本身也有一定的局限性，其本身不能接收动态的参数配置，导致可能会产生一些相似度很高的mitm插件。