新的工具，旧的对抗

前言

  目前的版本是 v1.5.41，官方极不推荐 Windows，我用 Ubuntu 作为服务端，在 Windows 上安装客户端操作了一下，md 确实拉跨，bug 太多了，根本没办法正常输入和删除。

检测

mtls
协议是 tls1.3 ，默认端口8888，平均包长较短
TLS1.3 检测需要协议支持

http隧道
URI 特征
加密方式特征，在同样样本不同会话中也有区别
短时间内两个IP通信时出现了不同的流不同的加密方式（有时候是base加密，通过正则筛。有时候是其它加密，不可见字符占比很大）
Cookie存在特征

Method: POST
reqUrl: /(login|signin|api|samples|rpc|index|admin|register|sign-up).html
reqHeader: Upgrade-Insecure-Requests: 1
resCode: 200
resSetCookie: ^(PHPSESSID|SID|SSID|APISID|csrf-state|AWSALBCORS)=[0-9a-f]{32}; HttpOnly$

HTTP隧道检测
不可见字符占比（但是文件上传？）

HTTPS
GG，tls1.3，毫无特征

DNS隧道
非标协议，检测很容易