JARM 指纹识别

[zhy@zhy jarm]$ python jarm.py -VJARM version 1.0[zhy@zhy jarm]$ python jarm.py -husage: jarm.py [-h] [-i INPUT] [-p PORT] [-v] [-V] [-o OUTPUT] [-j] [-P PROXY] [scan] （参数详解略）###在学习 JARM 的工作原理之前，了解 TLS 的工作原理很重要。TLS及其前身SSL用于加密常见应用程序（如Internet浏览器）的通信，以确保数据安全，也用于加密恶意软件，因此它可以进行隐藏在噪声中。中要启动 TLS 会话，客户端将在 TCP 三次握手之后发送 TLS Client Hello 消息。此数据包及其生成方式取决于构建客户端应用程序时使用的包和方法。服务器如果接受 TLS 连接，将使用 TLS Server Hello 数据包进行响应。![](https://image.3001.net/images/20220525/1653482074_628e225a76d41370b9f7d.gif!small)TLS 服务器根据在 TLS 客户端 Hello 数据包中接收到的详细信息制定其服务器 Hello 数据包。根据应用程序或服务器的构建方式，服务器回复 Hello 的方式可能会有所不同，包括：

操作系统操作系统版本使用的库使用的这些库的版本调用库的顺序自定义配置

所有这些因素导致每个 TLS 服务器以独特的方式响应。各种因素的组合使得不同组织部署的服务器不太可能有相同的响应。下面是在[Wireshark](https://wireshark.com/)中查看的 TLS 客户端 Hello 和服务器Hello 的示例。![](https://image.3001.net/images/20220525/1653481840_628e2170c35b715852943.png!small) ![](https://image.3001.net/images/20220525/1653481847_628e2177e27d38ad629ca.png!small)JARM 通过主动向目标 TLS 服务器发送 10 个 TLS 客户端 Hello 数据包并捕获 TLS 服务器 Hello 响应的特定属性来工作。然后以特定方式对聚合的 TLS 服务器响应进行哈希处理以生成 JARM 指纹。JARM 中的 10 个 TLS 客户端 Hello 数据包经过特殊设计，可在 TLS 服务器中提取唯一响应。JARM 以不同的顺序发送不同的 TLS 版本、密码和扩展，以收集唯一的响应。服务器是否支持 TLS 1.3？它会与 1.2 密码协商 TLS 1.3 吗？如果我们将密码从最弱到最强排序，它会选择哪个密码？这些是 JARM本质上要求服务器提取最独特的响应的不寻常问题的类型。然后对 10 个响应进行哈希处理以生成 JARM 指纹。```bash[zhy@zhy-f0 jarm]$ python jarm.py -v baidu.comDomain: baidu.comResolved IP: 220.181.38.251JARM: 29d29d00029d29d1fc29d29d29d29d881e59db99b9f67f908be168829ecef9Scan 1: c02f|0303|http/1.1|ff01-000b-0023-0010,Scan 2: c02f|0303|http/1.1|ff01-000b-0023-0010,Scan 3: |||,Scan 4: c02f|0303||ff01-000b-0023,Scan 5: c02f|0303||ff01-000b-0023,Scan 6: c011|0302|http/1.1|ff01-000b-0023-0010,Scan 7: c02f|0303|http/1.1|ff01-000b-0023-0010,Scan 8: c02f|0303|http/1.1|ff01-000b-0023-0010,Scan 9: c02f|0303|http/1.1|ff01-000b-0023-0010,Scan 10: c02f|0303|http/1.1|ff01-000b-0023-0010