【案例分享】SSL虚拟IP获取不到
  

技术服务专家_雷佳 15284

本帖最后由 技术服务专家_雷佳 于 2017-6-26 14:22 编辑

【案例分享】SSL虚拟IP获取不到

现象:关联了L3VPN资源登陆vpn后,显示虚拟IP地址未分配

1

1

ipconfig /all 可以正常看到Sangfor SSL VPN虚拟网卡,说明虚拟网卡已经正常安装,但是无法获取IP地址

2

2

进一步确认,使用Debugview抓日志,过滤并搜索csappclient查看l3vpn的日志,提示隧道建立失败或服务端应答码为一串异常数字,或者L3VPN隧道无法接收到服务端应答包

3

3

Vpn状态显示已连接,说明timequry心跳包探测网络正常,但是日志提示CSAPPCLIENT心跳超时,是否是L3VPN隧道建立被公网拦截?通过在客户端使用demo发连接SSL的特定格式数据包以及同时在客户端电脑使用wireshark抓取数据包分析,发现发送的数数据包在本地网卡发出去之前已经发生变化,数据包在电脑本地被篡改了。


  使用工具Procexp查看winLogin进程(部分有问题的电脑会存在两个winlogin进程)进程属性中的线程可以看到加载了yyqg.dll,并且由yyqg创建了很多工作线程。正常的windows应该只存在一个winlogin进程,此电脑居然有两个。

4

4

  通过进一步分析,发现该驱动文件实现了文件过滤和保护,实现了文件隐藏并防止驱动文件和yyqg.dll被删除,注册了shutdown回调,能在关机时进行自我修复操作。实现了tdi网络过滤,拦截上层应用的网络请求,并将数据代理到yyqg.dll中,yyqg.dll中会对ssl数据进行篡改。由于yyqg.dll修改了客户端建立隧道请求的握手信息,导致vpn服务端无法正常识别,从而拒绝和客户端建立vpn隧道,出现无法获取虚拟ip,资源无法访问的情况。



解决步骤:

优先推荐方法1、简单易用
方法1、
SSL-驱动卸载工具.rar (1.36 MB, 下载次数: 718)

【案例分享】SSL虚拟IP获取不到.pdf

781 KB, 下载次数: 289

PCHunter工具.zip

6.25 MB, 下载次数: 427

喜欢这篇文章吗?喜欢就给楼主打赏吧!

打赏
3人已打赏

螺丝钉 发表于 2017-3-15 20:15
  
高手!
哥丶珍藏版 发表于 2017-3-15 21:46
  
学习下
SANGFOR_2062 发表于 2017-3-16 01:02
  
这种情况实为电脑已经中招被木马病毒进行劫持网络通信,平时遇到反馈ssl vpn获取不到虚拟IP情况,有一部分就是这个原因导致。要么想办法清理木马病毒,要么重装系统(强烈推荐安装微软原版镜像,防止系统镜像被做手脚)
长沙CTI_1028 发表于 2017-3-16 09:11
  
赞赞赞
Sangfor1008 发表于 2017-3-17 11:31
  
给力,昨儿按这个方法处理了一个
niushitang 发表于 2017-3-17 21:32
  
长沙CTI_1072 发表于 2017-3-22 12:43
  
发现很多客户安装的 系统都是这样的
粉色的小猪在天上飞 发表于 2017-3-22 12:44
  
。。。看不懂,但是就是这么傲娇
7情6欲 发表于 2017-3-22 13:21
  
不错