Shiliew GUI 工作原理

https://www.txthinking.com/talks/
Created at: 15 Nov 2021
Updated at: 12 Dec 2022
cloud@txthinking.com

Table of Contents

• Shiliew
• macOS 图形客户端 proxy 模式, Windows 图形客户端 proxy 模式
  • 规则
  • 数据流向
• macOS 图形客户端 tun 模式, Windows 图形客户端 tun 模式, iOS 图形客户端, Android 图形客户端
  • 规则
  • 数据流向
    • 配置系统 DNS
    • Fake DNS 关闭时
    • Fake DNS 开启时
• 为什么以及如何关闭系统和浏览器安全 DNS
  • 关闭了会有降低安全性吗
• MITM
  • ROOT CA
  • 要求
    • macOS
    • Windows
    • iOS
    • Android
  • 规则
  • 脚本
  • request
  • response
  • 流程
  • MITM with Body
  • 示例
  • 调试
• Log
• Apple 推送问题
• Enjoy

Shiliew

https://www.txthinking.com/shiliew.html

macOS 图形客户端 proxy 模式, Windows 图形客户端 proxy 模式

在图形客户端的左边菜单的 Proxy & Tun 里面可以看到 proxy 模式, 此模式下会忽略: Bypass IP, DNS, Fake DNS, Block list, Block 配置项.

此模式下, 会创建:

• socks5 代理: IPv6 网络下可能会创建 socks5://[::1]:1080, IPv4 网络下可能会创建 socks5://127.0.0.1:1080
  • 如果你需要直接使用这个 socks5 代理, 可以用 curl 判断下创建的哪个代理: curl -x socks5://[::1]:1080 http3.ooo 或 curl -x socks5://127.0.0.1:1080 http3.ooo
• http 代理: IPv6 网络下可能会创建 http://[::1]:8010, IPv4 网络下可能会创建 http://127.0.0.1:8010
  • 如果你需要直接使用这个 http 代理, 可以用 curl 判断下创建的哪个代理: curl -x http://[::1]:1080 http3.ooo 或 curl -x http://127.0.0.1:1080 http3.ooo
• 会根据 Bypass Domain 列表创建一个 pac server, 并且会配置系统代理使用此 pac
  • 但是需要注意的是: 有些软件可能不会走系统配置的代理, 这取决于软件本身, 比如 Telegram 就无视系统代理(但可以在软件内单独配置代理), Chrome 一般就会走系统代理, 其他浏览器笔者用的少就不说了

规则

• Bypass Domain 列表就是个 txt 文件, 一行一个域名
• 后缀匹配模式: 比如列表里有 a.com, 那么 a.com, x.a.com, x.x.a.com 都会被匹配; 比如列表里有 cn, 那么 x.cn, x.x.cn 都会被匹配

数据流向

• 如果走系统代理, 比如 Chrome:

  • 域名未匹配到 Bypass Domain 列表(域名解析会在服务端完成)

      发起请求 --HTTP/HTTPS(TCP)--> pac server --> Shiliew 客户端 --(Brook协议)--> brook server/wsserver/wssserver --HTTP/HTTPS(TCP)--> 目的地
    

  • 域名匹配到 Bypass Domain 列表(域名解析会在本地完成)

      发起请求 --HTTP/HTTPS(TCP)--> pac server --> 本机 --HTTP/HTTPS(TCP)--> 目的地
    

• 如果不走系统代理, 比如在 Telegram 客户端单独配置了上面创建出来的 socks5 代理:

    发起请求 --TCP/UDP--> socks5 代理 --TCP/UDP--> Shiliew 客户端 --(Brook协议)--> brook server/wsserver/wssserver --TCP/UDP--> 目的地
  

macOS 图形客户端 tun 模式, Windows 图形客户端 tun 模式, iOS 图形客户端, Android 图形客户端

规则

可以指定

• Fake DNS 开关
• Bypass 开关
  • 如果关了, 将会忽略 bypass 域名列表, bypass CIDR4 列表, bypass CIDR6 列表
• 一个 bypass 域名列表
  • 列表就是个 txt 文件, 一行一个域名
  • 后缀匹配模式: 比如列表里有 a.com, 那么 a.com, x.a.com, x.x.a.com 都会被匹配; 比如列表里有 cn, 那么 x.cn, x.x.cn 都会被匹配
  • 如果 CNAME 到别的域名，也需要添加到列表
• 一个 bypass CIDR4 列表
  • 列表就是个 txt 文件, 一行一个 CIDR, 每个 CIDR 实际上一个 IPv4 的 IP 段
  • 匹配模式: 会遍历所有 CIDR4, 如果包含待请求的 IP, 则匹配到. 否则未匹配到
• 一个 bypass CIDR6 列表
  • 列表就是个 txt 文件, 一行一个 CIDR, 每个 CIDR 实际上一个 IPv6 的 IP 段
  • 匹配模式: 会遍历所有 CIDR4, 如果包含待请求的 IP, 则匹配到. 否则未匹配到
• Block 开关
• 一个 block 域名列表
  • 列表就是个 txt 文件, 一行一个域名
  • 后缀匹配模式: 比如列表里有 a.com, 那么 a.com, x.a.com, x.x.a.com 都会被匹配; 比如列表里有 cn, 那么 x.cn, x.x.cn 都会被匹配
• 一个系统 v4 DNS，比如 8.8.8.8
  • 注意: 不要 bypass 此 DNS
• 一个系统 v6 DNS，比如 2001:4860:4860::8888
  • 注意: 不要 bypass 此 DNS
• 一个 bypass v4 DNS
  • 支持普通 DNS, 比如 223.5.5.5:53
  • 支持 DoH, 但需要通过参数 address 指定 DoH 的地址, 比如 https://dns.alidns.com/dns-query?address=223.5.5.5%3A443
  • 会自动 Bypass
• 一个 bypass v6 DNS
  • 支持普通 DNS, 比如 [2400:3200::1]:53
  • 支持 DoH, 但需要通过参数 address 指定 DoH 的地址, 比如 https://dns.alidns.com/dns-query?address=%5B2400%3A3200%3A%3A1%5D%3A443
  • 会自动 Bypass

数据流向

配置系统 DNS

Shiliew 客户端会根据当前网络 IPv4/IPv6 情况以及服务端 IPv4/IPv6 自动选择配置系统 v4 DNS 或 v6 DNS.

Fake DNS 关闭时

我们知道, 一个网络请求, 一般首先查询域名得到 IP, 然后再向 IP 发起请求.

1. 某个应用准备发起网络请求

2. 首先是 DNS 查询域名的 IP

   • 向 系统 DNS 发起查询

     • 如果系统 DNS 未匹配到 bypass (系统 DNS 也是一个 IP 呀)

         发起 DNS 查询 --(DNS 协议)--> Shiliew 客户端 --(Brook 协议)--> brook server/wsserver/wssserver --(DNS 协议)--> 系统 DNS
       

     • 如果系统 DNS 匹配到 bypass (系统 DNS 也是一个 IP 呀)

         发起 DNS 查询 --(DNS 协议)--> Shiliew 客户端 --(DNS 协议)--> 系统 DNS
       

3. 已经查询到域名的 IP, 准备向此目标 IP 发起网络请求

   • 如果 IP 未匹配到 bypass

       发起请求 --TCP/UDP--> Shiliew 客户端 --(Brook 协议)--> brook server/wsserver/wssserver --TCP/UDP--> 目标 IP
     

   • 如果 IP 匹配到 bypass

       发起请求 --TCP/UDP--> Shiliew 客户端 --TCP/UDP--> 目标 IP
     

Fake DNS 开启时

我们知道, 一个网络请求, 一般首先查询域名得到 IP, 然后再向 IP 发起请求.

1. 某个应用准备发起网络请求

2. 首先是 DNS 查询域名的 IP

   • 如果 Block 开关为开, 如果域名匹配到 block 域名列表, 则会在 DNS 解析时直接阻断解析.
   • 域名未匹配到 bypass 域名列表
     • 由 Fake DNS 返回 Fake IP

   • 域名匹配到 bypass 域名列表

     • 向 bypass DNS 发起查询

       • 如果 bypass DNS 未匹配到 bypass(bypass DNS 也是一个 IP 呀)

           发起 DNS 查询 --(DNS 协议)--> Shiliew 客户端 --(Brook 协议)--> brook server/wsserver/wssserver --(DNS 协议)--> bypass DNS
         

       • 如果 bypass DNS 匹配到 bypass(bypass DNS 也是一个 IP 呀)

           发起 DNS 查询 --(DNS 协议)--> Shiliew 客户端 --(DNS 协议)--> bypass DNS
         

3. 已经查询到域名的 IP, 准备向此目标 IP 发起网络请求

   • 如果是 Fake IP(域名真实解析会在服务端完成)

       Shiliew 客户端 --(将 Fake IP 转换成原始域名)--(Brook 协议)--> brook server/wsserver/wssserver --TCP/UDP--> 目的地
     

   • 如果不是 Fake IP

     • 如果 IP 未匹配到 bypass CIDR 列表

         发起请求 --TCP/UDP--> Shiliew 客户端 --(Brook 协议)--> brook server/wsserver/wssserver --TCP/UDP--> 目标IP
       

     • 如果 IP 匹配到 bypass CIDR 列表

         发起请求 --TCP/UDP--> Shiliew 客户端 --TCP/UDP--> 目标 IP
       

为什么以及如何关闭系统和浏览器安全 DNS

目前 Android 系统内置 Private DNS(DoT), 以及桌面和手机版 Chrome 提供内置安全 DNS(DoH). 这对理想全量 Anycast 网络世界且未使用代理的普通用户的 DNS 查询在中间网络能达到加密作用. 但现实是不理想的.

假设一个域名针对多个地区提供不同的 IP，而最终解析出来的 IP 取决于：

1. 使用的 DNS Server
2. 发起 DNS 查询的网络

而当开启 DoT 或 DoH 时，无法拦截查询内容以进行针对不同域名使用不同的 DNS 解析的效果, 也无法使用 FakeDNS 进行服务端解析域名以避免多一次网络请求.

所以我们要关闭它:

• Android: Settings -> Network & internet -> Private DNS -> Off
• Chrome on Mobile: Settings -> Privacy and security -> Use secure DNS -> Off
• Chrome on Desktop: Settings -> Privacy and security -> Security -> Use secure DNS -> Off
• Windows: Windows Settings -> Network & Internet -> Your Network -> DNS settings -> Edit -> Preferred DNS -> Unencrypted only -> 8.8.8.8

关闭了会有降低安全性吗

不会. 你可以在 Shiliew GUI 开启 FakeDNS 或配置 DoH.

MITM

注意：此功能需要编程能力，会运行你的脚本来达到拦截并修改 HTTP 和 HTTPS 的目的。同时，如果如果写得复杂可能会占用更多资源和性能。

ROOT CA

https://txthinking.github.io/ca/ca.pem

要求

• 必须安装上面的 ROOT CA
• 必须开启 FakeDNS

macOS

MITM 需要使用 tun 模式

nami install mad ca.txthinking
sudo mad install --ca ~/.nami/bin/ca.pem

Windows

MITM 需要使用 tun 模式

nami install mad ca.txthinking

用管理员打开 GitBash

mad install --ca ~/.nami/bin/ca.pem

iOS

https://www.youtube.com/watch?v=HSGPC2vpDGk

Android

Android 分系统 CA 和用户 CA，必须要 ROOT 后安装到系统 CA 里

规则

一行一个协议和地址

• 协议支持 http:// 和 https://
• 严格地址匹配模式，地址就是 Host 和端口，不要包含路径哦

示例

http://http3.ooo:80
https://http3.ooo:443
https://4.http3.ooo:443
https://6.http3.ooo:443

https://txthinking.github.io/bypass/mitm.txt

脚本

• 使用 tengo
• 支持 Builtin Functions
• 支持 Standard Library

request

request 代表一个 HTTP Request, 是一个 map

{
	"Method": "GET", // string, request method
	"URL": "https://http3.ooo/", // string, request url
	"Body": bytes, // bytes, request body
	"...": "...",
	"User-Agent": "...", // string, all other keys are request header
	"...": "..."
}

response

response 代表一个 HTTP Response, 是一个 map

{
	"StatusCode": 200, // int, response status code
	"Body": bytes, // bytes, request body
	"...": "...",
	"Server": "txthinking", // string, all other keys are response header
	"...": "..."
}

流程

1. Shiliew 先匹配到规则地址, 然后根据规则内地址对应的协议准备数据
2. Shiliew 将 request 传递给脚本, response 此时为 undefined. 脚本可以选择:
   • 修改或不修改 request 并 return request
   • 若返回一个新的 response. 流程结束
3. Shiliew 将脚本 return 的 request 发往服务端
4. Shiliew 从目的地获取到 response
5. Shiliew 将 response 传递给脚本, request 此时为第一步 return 的request, 脚本必须: 修改或不修改 response 并 return response

MITM with Body

如果未开启

• 第 2 步传递给脚本的 request["Body"] 为空。
  • 同时脚本返回的request["Body"] 会被忽略. 仍使用原始 request 的 Body 发往服务端
  • 或 response["Body"] 也会被忽略. 仅响应给客户端 StatusCode 和 header 们
• 第 5 步传递给脚本的 response["Body"] 和 request["Body"] 为空。同时脚本返回的 response["Body"] 也会被忽略. 仍使用原始 response 的 body 响应给客户端

如果开启. 会消耗更多内存

• 第 2 步传递给脚本的 request["Body"] 不为空
  • 同时脚本返回的request["Body"] 作为 request 的 Body 发往服务端
  • 或 response["Body"] 作为 response 的 Body 发往客户端
• 第 5 步传递给脚本的 response["Body"] 和 request["Body"] 不为空。同时脚本返回的 response["Body"] 会作为 response 的 Body 发往客户端

示例

text := import("text")

_ := (func(request, response) {

    // Begin

    if(!response){
        if(text.has_prefix(request["URL"], "http://http3.ooo")){
            return {
                "StatusCode": 301,
                "Location": text.replace(request["URL"], "http://", "https://", 1)
            }
        }
        if(text.has_prefix(request["URL"], "https://http3.ooo")){
            request["User-Agent"] = "curl/7.79.1"
            return request
        }
        return request
    }
    if(text.has_prefix(request["URL"], "https://6.http3.ooo")){
        response["Body"] = bytes("You hacked me :)")
        return response
    }
    return response
    // End

})(request, response)

调试

你可以使用 App Privacy Report mitmproxy helper 和 Wireshark Helper 抓包来确定要修改什么. 手机抓包软件的原理区别

使用 tun2brook 调试脚本, 这样你可以在脚本内打印数据

Log

macOS 和 Windows 需要开启 tun 模式

建议仅在必要时开启. 防止日志文件过大.

Apple 推送问题

要接收推送，Apple Server 只允许 Ethernet, cellular data, Wi-Fi 连接. 所以你需要 Bypass 掉相关域名和 IP:

https://support.apple.com/en-us/HT210060

https://support.apple.com/en-us/HT210060

Domain

apple.com
icloud.com
cdn-apple.com
mzstatic.com
entrust.net
digicert.com
verisign.net
apple

CIDR4

17.0.0.0/8
103.81.148.0/22
103.81.148.0/24
103.81.149.0/24

CIDR6

2620:149:a44::/48
2403:300:a42::/48
2403:300:a51::/48
2a01:b740:a42::/48

Enjoy

• https://www.txthinking.com/shiliew.html