在TLS隧道中能够检测到应用层协议而不需要拦截吗？

Question

考虑一个代理，它不拦截TLS，而是允许连接隧道，但只允许连接到有限的端口(例如: 443 )。如果有人在端口443上运行ssh服务器并使用CONNECT连接到它，那么代理是否可能检测到隧道内的协议不是HTTP，并阻塞通信量？

Answer 1

在不进行基于传输数据的定时、大小和方向解密的情况下，可以进行有限的流量分析。例如，HTTP/1有一个请求响应模式，其中来自客户机的请求通常较小，而来自服务器的响应则要大得多。此外，TLS握手中的信息通常允许根据受支持的密码器及其首选项、使用TLS扩展等来区分正常浏览器和其他客户端。

实际上，在搜索被动交通分析时，您可以找到许多关于这个主题的文章和出版物。