The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]



"Определение сеансов OpenVPN в транзитном трафике"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Определение сеансов OpenVPN в транзитном трафике"  +/
Сообщение от opennews (??), 17-Мрт-24, 11:05 
Группа исследователей из Мичиганского университета опубликовала результаты исследования возможности идентификации (VPN Fingerprinting) соединений к серверам на базе OpenVPN при мониторинге транзитного трафика. В итоге было выявлено три способа идентификации протокола OpenVPN  среди других сетевых пакетов, которые могут использоваться в системах инспектирования трафика для блокирования виртуальных сетей на базе  OpenVPN...

Подробнее: https://www.opennet.dev/opennews/art.shtml?num=60795

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


1. "Определение сеансов OpenVPN в транзитном трафике"  +32 +/
Сообщение от Аноним (1), 17-Мрт-24, 11:05 
Дежурное и очевидное напоминание - OpenVPN никогда не задумывался как "скрытый" и цензуро-устойчивый. Это уже работа для других протоколов.
Ответить | Правка | Наверх | Cообщить модератору

18. "Определение сеансов OpenVPN в транзитном трафике"  –5 +/
Сообщение от OpenEcho (?), 17-Мрт-24, 12:43 
И теперь пожалуйста обьясните, каким образом все описанное в статье сработает если изпользовать только ЮДП, нa не нестандартном порту, требовать прешаред ключ, - для обоих направлений и обязательно применяемый для обоих - дата и контрол каналов?

Нет ключа - нет никакого ответа, сканируйте дальше и гадайте то ли это опенвпн, то ли что-то еще не известное

Ответить | Правка | Наверх | Cообщить модератору

22. "Определение сеансов OpenVPN в транзитном трафике"  –1 +/
Сообщение от Аноним (22), 17-Мрт-24, 13:10 
Это если только ты сможешь начать сеанс вообще... и сможешь затем продолжить работать по UDP
Ответить | Правка | Наверх | Cообщить модератору

29. "Определение сеансов OpenVPN в транзитном трафике"  –1 +/
Сообщение от OpenEcho (?), 17-Мрт-24, 13:34 
Да с этим все понятно, я с точки зрения защиты не от ISP, а от рэндомных бобиках с интернета.
На уровне магистрали, понятно, что если все только по белому списку, а все остальное в трэш, то там ловить нечего, даже если просто пустить поток рандомного трафика, хотя... все же есть варианты, не с опенвпн в лоб конечно
Ответить | Правка | Наверх | Cообщить модератору

33. "Определение сеансов OpenVPN в транзитном трафике"  +2 +/
Сообщение от Аноним (-), 17-Мрт-24, 14:32 
> только ЮДП, нa не нестандартном порту, требовать прешаред ключ,
> - для обоих направлений и обязательно применяемый для обоих - дата и контрол каналов?

Много ли софта подымает именно TLS, именно поверх UDP, именно вот так? Ну вот и ответ на вопрос.

Ответить | Правка | К родителю #18 | Наверх | Cообщить модератору

38. "Определение сеансов OpenVPN в транзитном трафике"  +/
Сообщение от OpenEcho (?), 17-Мрт-24, 14:40 
Ну так оберните в клоаку и будет выглядеть как стандартный котико-смотритель.
Ответить | Правка | Наверх | Cообщить модератору

57. "Определение сеансов OpenVPN в транзитном трафике"  –2 +/
Сообщение от Аноним (-), 17-Мрт-24, 16:55 
> Ну так оберните в клоаку и будет выглядеть как стандартный котико-смотритель.

Ну тогда и оборачивать туда лучше вайргада, его настраивать в цать раз проще.

Ответить | Правка | Наверх | Cообщить модератору

72. "Определение сеансов OpenVPN в транзитном трафике"  +2 +/
Сообщение от OpenEcho (?), 17-Мрт-24, 19:22 
>> Ну так оберните в клоаку и будет выглядеть как стандартный котико-смотритель.
> Ну тогда и оборачивать туда лучше вайргада, его настраивать в цать раз
> проще.

Можно и в него, но у овпн более плюшек на уровне роутинга и т.д.

Ответить | Правка | Наверх | Cообщить модератору

75. "Определение сеансов OpenVPN в транзитном трафике"  +/
Сообщение от Аноним (-), 17-Мрт-24, 22:32 
> Можно и в него, но у овпн более плюшек на уровне роутинга и т.д.

В целом более мерзкая, кривая и интрузивная штука с своим SSL/TLS который до неких пор вообще влет бампался - любым клиентом.

Скажем вайргад с его роумингом прозрачно восстанавливает сессию после отвалов и смен айпи и проч. Вроде в openvpn если очень приспичит то некое подобие изобразить можно. Но сложно, и идея пушинга конфиг с сервера в run time - очень жестко интерферит с этой затеей.

С вайргадом очень круто когда можно роутер/сотовый модем ребутануть нахрен, траф запаузится но потом продолжит с того же места, ssh/чаты/рдесктопы и прочее подобное - не отвалится.

Ответить | Правка | Наверх | Cообщить модератору

91. "Определение сеансов OpenVPN в транзитном трафике"  +/
Сообщение от FooType (?), 19-Мрт-24, 20:22 
Все вами перечисленное реализуется на openvpn при необходимости. У openvpn по умолчанию доступных параметров настройки больше, это профессиональное решение уровня энтерпрайз намного более надежное и функциональное. А вайгард-просто удобная игрушка из коробки, вот вам и кажется что он лучше, потому что якобы удобнее, а на самом деле просто вроде как "комфортнее", потому что вникать в протоколов не нужно, но это заведомо ошибочный подход.
Ответить | Правка | Наверх | Cообщить модератору

99. "Определение сеансов OpenVPN в транзитном трафике"  –1 +/
Сообщение от Аноним (-), 20-Мрт-24, 02:54 
> Все вами перечисленное реализуется на openvpn при необходимости.

Только требует в 20 раз больше внимания чтобы не налететь на какой-нибудь гадости лишний раз.

> У openvpn по умолчанию доступных параметров настройки больше, это профессиональное
> решение уровня энтерпрайз

И это в таких случаях не фича - а куча интрузива, нежелательного/проблемного поведения и подстав.

> намного более надежное и функциональное.

Намного более ломкое, интрузивное, подставное и падлючее, я бы сказал. Энтерпрайзность в этом смысле - в негативной коннотации! Спагетти-монстр ужасный. Делающий море действий которые могут крепко подставить клиента, особенно если тот не очень в теме.

> А вайгард-просто удобная игрушка из коробки,

Он делает 1 вещь - VPN. И делает ее хорошо. Это и есть юниксвэй. А тот спагетти монстр может почти все - но делает это крайне блевотно и криво. И с кучей подстав и факапов. Без глубоких знаний PKI и TLS/SSL - лучше не трогать его даже десятифутовой палкой. И даже так облажаетесь на раз.

> вот вам и кажется что он лучше, потому что якобы удобнее,
> а на самом деле просто вроде как "комфортнее", потому что вникать
> в протоколов не нужно, но это заведомо ошибочный подход.

Это как раз правильный подход - в вайргаде негде прострелить себе пятку по глупому. Ее и не будут простреливать. В отличие от этого подставщика. Норовящего то маршрут сбросить, то DNS leak устроить или что там еще путем переколбаса сетевой конфиги в неподходящий момент.

А когда у вас на проводе цензор злобный - вам только и надо что передерг интерфейса с расколбасом роутов, утечками DNS в этого цензора и проч. Чтобы от него и огрести как раз за посещение неправильных ресурсов, наверное. Вот это то что я называю заведомо ошибочным подходом.

Ну а прелесть вайргада в том что он ВСЕ ЭТО делать не будет :). Не надо оно. Особенно - там.

Ответить | Правка | Наверх | Cообщить модератору

108. "Определение сеансов OpenVPN в транзитном трафике"  +/
Сообщение от aname (?), 21-Мрт-24, 12:17 
>[оверквотинг удален]
> подставщика. Норовящего то маршрут сбросить, то DNS leak устроить или что
> там еще путем переколбаса сетевой конфиги в неподходящий момент.
> А когда у вас на проводе цензор злобный - вам только и
> надо что передерг интерфейса с расколбасом роутов, утечками DNS в этого
> цензора и проч. Чтобы от него и огрести как раз за
> посещение неправильных ресурсов, наверное. Вот это то что я называю заведомо
> ошибочным подходом.
> Ну а прелесть вайргада в том что он ВСЕ ЭТО делать не
> будет :). Не надо оно. Особенно - там.
> Только требует в 20 раз больше внимания

Оказывается, софт надо уметь готовить. И не по частным примерам с форумов, и даже за чатгпт надо проверять! Да что ж такое- то! ДОКОЛЕ?!

> особенно если тот не очень в теме.

Таким за денежку делают хорошо.

> Без глубоких знаний PKI и TLS/SSL - лучше не трогать его даже десятифутовой палкой.

Оказывается, в жизни надо быть компетентным и/или уметь читать инструкции. Бтв, какие там глубокие знания нужны- я хз. EasyRSA сложно осилить?

> Норовящего то маршрут сбросить

Что ж ты там с OpenVPN сделал- то, содомит?

> А когда у вас на проводе цензор злобный - вам только и надо что передерг интерфейса с расколбасом роутов

Пушить роуты никто не заставляет, если что. Для тех, кто хочет хочет безопасности, есть ещё {ip/nf}tables.

> Ее и не будут простреливать.

Угадай, почему на ношение оружия надо получать лицензию.

> В отличие от этого подставщика.

Слёзы неосилятора.

> Вот это то что я называю заведомо ошибочным подходом.

А не "ниасилил" настройки. Впрочем, у локалхостохозяек всё как всегда.

> Не надо оно.

"Мне не надо- никому не надо" ©
Стабильность.

Ответить | Правка | Наверх | Cообщить модератору

73. "Определение сеансов OpenVPN в транзитном трафике"  +1 +/
Сообщение от aname (?), 17-Мрт-24, 19:28 
Боже, что вы там в OVPN настроить не смогли?
Ответить | Правка | К родителю #57 | Наверх | Cообщить модератору

76. "Определение сеансов OpenVPN в транзитном трафике"  +2 +/
Сообщение от Аноним (-), 17-Мрт-24, 22:34 
> Боже, что вы там в OVPN настроить не смогли?

Например resume сессии при отвале сессии сотового оператора, ребуте роутера и проч - так что айпи клиента или сервера при случае меняется. Вайргад прозрачно переживает это все. А вон то с его манерой пушить конфигу с сервака - очень склонно к отвалу всех TCP конектов при этом. А что делать если внутренний айпи с сервака - другой?! В этом месте фича становится багом...

Ответить | Правка | Наверх | Cообщить модератору

84. "Определение сеансов OpenVPN в транзитном трафике"  –1 +/
Сообщение от aname (?), 18-Мрт-24, 09:56 
>> Боже, что вы там в OVPN настроить не смогли?
> Например resume сессии при отвале сессии сотового оператора, ребуте роутера и проч
> - так что айпи клиента или сервера при случае меняется. Вайргад
> прозрачно переживает это все. А вон то с его манерой пушить
> конфигу с сервака - очень склонно к отвалу всех TCP конектов
> при этом. А что делать если внутренний айпи с сервака -
> другой?! В этом месте фича становится багом...
> айпи клиента

што?

> или сервера

DDNS никак?

> А что делать если внутренний айпи с сервака -
> другой?!

Тебе скрипты дали, если надо извращаться или ты не способен нормально сеть сделать

Ответить | Правка | Наверх | Cообщить модератору

89. "Определение сеансов OpenVPN в транзитном трафике"  +1 +/
Сообщение от Аноним (-), 18-Мрт-24, 16:40 
>> другой?! В этом месте фича становится багом...
>> айпи клиента
> што?

Ну вот то самое. OpenVPN позволяет серваку пушить дохреналион параметров - включая и айпи клиента. Во вторых дефолтный конфиг враждебен к потугам прозрачного resume сессии после того как у клиента сменится айпи, или что там еще - например сотовая сессия у оператора отпала, новый IP с прововского DHCP, ppp-сессия отлипла, роутер ребутанули, и т.п..

Первое если оно использовалось - в ряде случаев обеспечивает что тот номер совсем не катит. Вайргад же простой как тапок - айпишники ГАРАНТИРОВННО не теряет, нет повода для отвала TCP конекций в туннеле - независимо от роуминга концов тунеля. Если он сам себя нащупал, при том это и "клиент" и "сервер" могут, они почти равноправны и отличаются в общем то только тем кто инициирует начальный конект, все прозрачно resume'ится, оба нащупывают друг друга, и при смене айпи одного - это все совершенно прозрачно. Для софта это просто некая пауза в передаче данных, временная потеря пакетов, потом все продолжает работать. В туннеле не меняется - ничего. Нет нужды сбрасывать TCP конекции и проч. Так что всякие чатики, ssh, vnc/rdesktop, вот эот все - не отпадают пачками на ровном месте.

>> или сервера
> DDNS никак?

Чем вам DDNS от сброса TCP конекций при отвале и реконекте туннеля поможет?!

>> А что делать если внутренний айпи с сервака - другой?!
> Тебе скрипты дали, если надо извращаться или ты не способен нормально сеть сделать

Чокаво? Я про случай когда серв пушит айпишник клиенту через их кульный протоколец. И тут уж какой пришлет - такой и будет!

В вайргаде нет такой фичи - и нет проблем с роумингом в результате, где это все в антифичу превращается. И конфиги там в 20 раз проще. Вместо этой кривой блевотины. Ну и вот там 2 мизерных конфижка на все - и потом прозрачно роумится, очень круто. Особенно для вложенных в обфускатор конекций которые почти наверняка отвалятся при воооон том.

Ответить | Правка | Наверх | Cообщить модератору

92. "Определение сеансов OpenVPN в транзитном трафике"  +/
Сообщение от FooType (?), 19-Мрт-24, 20:24 
Глупости вы тут понаписали. Не путайте ваше неумение работать с сетью и ваше непонимание протоколов с отсутствием возможностей-)
Ответить | Правка | Наверх | Cообщить модератору

100. "Определение сеансов OpenVPN в транзитном трафике"  +/
Сообщение от Аноним (-), 20-Мрт-24, 03:06 
> Глупости вы тут понаписали. Не путайте ваше неумение работать с сетью и
> ваше непонимание протоколов с отсутствием возможностей-)

Я лично согласен с автором вайргада: если кто делает впн - такие вещи должны работать по дефолту. А не после дохрена ужимок и приседаний с волшебными заклинаниями. Более того - манера опенвпн постоянно передергивать ифейс с переконфигурацией и проч - ничего хорошего не даст кроме лишних утечек в цензора какого-нибудь компромата на wannabe censorship circumventor-а. Голимая энтерпрайзятина с баззвордами.

Ответить | Правка | Наверх | Cообщить модератору

107. "Определение сеансов OpenVPN в транзитном трафике"  +/
Сообщение от aname (?), 21-Мрт-24, 11:12 
>> Глупости вы тут понаписали. Не путайте ваше неумение работать с сетью и
>> ваше непонимание протоколов с отсутствием возможностей-)
> Я лично согласен с автором вайргада: если кто делает впн - такие
> вещи должны работать по дефолту. А не после дохрена ужимок и
> приседаний с волшебными заклинаниями. Более того - манера опенвпн постоянно передергивать
> ифейс с переконфигурацией и проч - ничего хорошего не даст кроме
> лишних утечек в цензора какого-нибудь компромата на wannabe censorship circumventor-а.
> Голимая энтерпрайзятина с баззвордами.
> если кто делает впн - такие вещи должны работать по дефолту

А оно и работает по- дефолту, ибо "Голимая энтерпрайзятина" ©. В "Голимой энтерпрайзятине" вообще любят, чтоб просто работало, а пердолится с костылями вокруг да около, чтоб заработало что- то сложнее, чем связь двух точек, и/или написать хеловорлд на экране- это удел тех, кто допивает недопитое смузи, купленное работягами энтерпрайза.

> А не после дохрена ужимок и приседаний с волшебными заклинаниями.

И это пишут на форуме любителей линукса. Пчёлы против мёда.

Ответить | Правка | Наверх | Cообщить модератору

106. "Определение сеансов OpenVPN в транзитном трафике"  +/
Сообщение от aname (?), 21-Мрт-24, 11:04 
> OpenVPN позволяет серваку пушить

Но не заставляет.

> дефолтный конфиг враждебен к потугам прозрачного resume сессии

Дефолтный конфиг- дефолтен. Я не знаю, может в мире розовых терминалов, дефолтный конфиг должен быть для всех всем и сразу, но в реальности, дефолтный конфиг никому ничего не должен, кроме показать работоспособность в каких- то сферических дефолтно- лабораторных условиях. А дальше напильником, напильником.

> В вайргаде нет такой фичи - и нет проблем

Вы можете просто купить себе услуги VPN-провайдеров, поставить приложение и жить. Ну или не использовать некоторые фичи?

> И конфиги там в 20 раз проще. Вместо этой кривой блевотины.

"Он нам и не нужОн этот инторнэт ваш!" ©

Ты лучше напиши, как это воспроизвести в лабораторных условиях. А то даже интересно стало, как люди пользуются довольно распространённым VPN- решением, а тут вон оно чо. Мож хоть гугл за тебя спрошу.

Ответить | Правка | К родителю #89 | Наверх | Cообщить модератору

80. "Определение сеансов OpenVPN в транзитном трафике"  +1 +/
Сообщение от qwdqwd (?), 18-Мрт-24, 07:57 
По передаваемым пакетам в начале сессии, а именно по их размерам и количеству.
OpenVPN, при большом желании, можно определить по 3 первым пакетам даже в полностью зашифрованном (и, возможно, инкапсулированном в другой протокол) трафике.
Ответить | Правка | К родителю #18 | Наверх | Cообщить модератору

81. "Определение сеансов OpenVPN в транзитном трафике"  +/
Сообщение от Товарищ майор (??), 18-Мрт-24, 09:00 
Трафик есть, порт и ip известны. Пытаешься подключиться сам - тебе фига. Ну если тебя не пускают, то и другим не нужно - в бан.
Ответить | Правка | К родителю #18 | Наверх | Cообщить модератору

101. "Определение сеансов OpenVPN в транзитном трафике"  +/
Сообщение от Аноним (-), 20-Мрт-24, 03:08 
> Трафик есть, порт и ip известны. Пытаешься подключиться сам - тебе фига.
> Ну если тебя не пускают, то и другим не нужно - в бан.

Японцы примерно так зобанили китаю Windows Update. После чего прыть у банщиков резко поупала. Почему-то.

Ответить | Правка | Наверх | Cообщить модератору

90. "Определение сеансов OpenVPN в транзитном трафике"  +1 +/
Сообщение от butcher (ok), 19-Мрт-24, 11:24 
Достаточно проследить первые три пакета сессии, в которых нужно смотреть только на первый байт и на размер данных. Даже XOR патч не поможет это спрятать.
Ответить | Правка | К родителю #18 | Наверх | Cообщить модератору

85. "Определение сеансов OpenVPN в транзитном трафике"  +1 +/
Сообщение от Проыыфыс (?), 18-Мрт-24, 10:09 
> Дежурное и очевидное напоминание - OpenVPN никогда не задумывался как "скрытый" и цензуро-устойчивый.

Вообще-то все VPN изначально придуманы не для обхода цензуры, а для объединения удаленных рабочих офисов в одну локальную сеть. Предьявлять претензии по поводу цензуро-устойчивости вообще не в тему.

Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

3. "Определение сеансов OpenVPN в транзитном трафике"  +/
Сообщение от Аноним (3), 17-Мрт-24, 11:24 
работает ли это все при прешаред ключах?
Ответить | Правка | Наверх | Cообщить модератору

24. "Определение сеансов OpenVPN в транзитном трафике"  +/
Сообщение от OpenEcho (?), 17-Мрт-24, 13:15 
Одних прешаред ключей мало, надо чтобы еще в обязаловку были сертификаты с обоих сторон, выданных для обоих, - сервера и клиента со своего собственного СА + UDP + запрет компрессии + оба направления и оба дата/контрол канала аутефицировались прешаред ключом. От не МИТМ защитит, но не от магитрали, на уровне магистрали, ну да, засекут что идет шифрованный трафик, а если еще его обернуть в ХТТПС, то удачи в реверсе потока, тем более в автомате и на магистрали
Ответить | Правка | Наверх | Cообщить модератору

34. "Определение сеансов OpenVPN в транзитном трафике"  +/
Сообщение от Аноним (-), 17-Мрт-24, 14:36 
> засекут что идет шифрованный трафик, а если еще его обернуть в ХТТПС, то удачи
> в реверсе потока, тем более в автомате и на магистрали

GFW пытается детектить впн по...
1) Дофига конектов -> 1 хост.
2) Вложенные тайминги, сетап вложенной HTTPS сессии ведет к характерным сочетаниям размеров пакетов vs время. Это в принципе может замечать любой впн или туннель, но не 100% надежно.
3) А потом они чекают работал ли на том порту того айпи сервак такого типа. Если да - айпи в баню на какое-то время. Не навсегда, япы отучили от такого накормив автоцензора айпишниками винапдейта.

Из-за этого всего сетевой софт от чайников очень продвинут.

Ответить | Правка | Наверх | Cообщить модератору

42. "Определение сеансов OpenVPN в транзитном трафике"  +/
Сообщение от OpenEcho (?), 17-Мрт-24, 14:51 
1. на гитхабе где то есть специально генератор эмулирующий походы по интернету, сбивая таргетированную рекламу на нет + генерирует кучу мусора, - ну как правда обычный юзер

2. Этот да, серьёзный зверь, но варианты тоже есть, как добавить сольку чтоб выглядело "как положенно"

3. Если резать на уровне магистрали, реально нет 100% надежных решений. Мой первый пост не про это, а про тех кто вне ISP.

Ответить | Правка | Наверх | Cообщить модератору

58. "Определение сеансов OpenVPN в транзитном трафике"  +/
Сообщение от Аноним (-), 17-Мрт-24, 16:59 
> 1. на гитхабе где то есть специально генератор эмулирующий походы по интернету,

От вон того не поможет от слова вообще.

> 2. Этот да, серьёзный зверь, но варианты тоже есть, как добавить сольку
> чтоб выглядело "как положенно"

Китайцы его рагулярно дурят - но софт у них продвинутый. Вплоть до multipath конструкций. Умеющих порой еще и избыточность. Так и тайминги, и тормоза, и даже потери пакетов относительно пофиг.

> 3. Если резать на уровне магистрали, реально нет 100% надежных решений. Мой
> первый пост не про это, а про тех кто вне ISP.

Ну вон китайцы таки придумали немало интересных вещиц. Против своего GFW который даже хуже магистрали - он на выходе из китайнета фильтрует. И цензоряет все что не китайнет по энным рулесам и аналитике, включая и давление впнов, по крайней мере - популярных серваков.

Ответить | Правка | Наверх | Cообщить модератору

46. "Определение сеансов OpenVPN в транзитном трафике"  +/
Сообщение от Аноним (-), 17-Мрт-24, 15:16 
Развивая тему GFW... Оттуда можно извлечь ещё уроков, которые могут оказаться полезными не только там. Неофициальная политика КПК -- нефильтрованный доступ к интернету для академии. Официально нельзя всем, но неофициально... Преподы студентам первых курсов рекомендуют обратиться к студентам старших курсов за инструкциями, как получить доступ к гуглу без которого первокурам не удастся выполнять задания преподов. Один из вариантов таких дыр через GFW -- предприимчивый младший научный сотрудник, который держит vps и продаёт доступ тем, кто его смог найти по знакомству. Предположу, что если он попытается скалировать бизнес и набрать сотни клиентов, или если он ещё каким-то образом начнёт досаждать КПК, то его загребут, но пока он совесть имеет и держит масштабы поменьше, его терпят, но это уже мои умозрительные предположения. Какой там софт он использует -- я не знаю, все факты я подчерпнул из статьи американского профессора работавшего в китайском вузе, и тот хоть и общался с таким локальным "впн-провайдером" вживую, но будучи гуманитарием про софт не спросил.
Ответить | Правка | К родителю #34 | Наверх | Cообщить модератору

55. "Определение сеансов OpenVPN в транзитном трафике"  +2 +/
Сообщение от OpenEcho (?), 17-Мрт-24, 15:53 
Где гарантия, что младший научный сотрудник, не засланный казачок, который MITM проданный трафик и выявляет не угодных :)
Ответить | Правка | Наверх | Cообщить модератору

59. "Определение сеансов OpenVPN в транзитном трафике"  +/
Сообщение от Аноним (-), 17-Мрт-24, 17:01 
> Где гарантия, что младший научный сотрудник, не засланный казачок, который MITM проданный
> трафик и выявляет не угодных :)

Сам создатель GFW на встрече с студентами.... обошел GFW VPN'ом. За это его правда презрительно закидали ботинками (в восточном мире кинуть ботинок - высшая форма презрения к адресату).

Ну вот такой вот зас(л,р)анец. Сам нагадил, сам обошел. Рекордсмен двойных стандартов.

Ответить | Правка | Наверх | Cообщить модератору

71. "Определение сеансов OpenVPN в транзитном трафике"  +/
Сообщение от Аноним (-), 17-Мрт-24, 18:59 
Вот оно потребительское мышление, мысли только о том, как бы потребить, да? Если у тебя такая паранойя, ты сам можешь стать этим младшим научным сотрудником и продавать другим доступ к vpn, многократно окупая стоимость vpsки. Или если совсем уж парализующая паранойя одолела, то не продавать и честно оплачивать vps из своего кармана.
Ответить | Правка | К родителю #55 | Наверх | Cообщить модератору

93. "Определение сеансов OpenVPN в транзитном трафике"  +/
Сообщение от FooType (?), 19-Мрт-24, 20:27 
Это не паранойя, а правильный и грамотный подход к обеспечению безопасности. Безграмотность-это делать наоборот, думать что такого не бывает.
Ответить | Правка | Наверх | Cообщить модератору

110. "Определение сеансов OpenVPN в транзитном трафике"  +/
Сообщение от Аноним (-), 21-Мрт-24, 19:41 
Это паранойя. Надо различать здоровый страх и паранойю: первое нормально и полезно, второе же нарушает мышление. Мы видим выше именно нарушение мышления, у чувака очко жимкнуло, что младший научный сотрудник может быть агентом ЦРУ, и мозги у него на этом этапе отключились.

Если ты присмотришься, то ты увидишь, что я не предлагал покупать услуги этого сотрудника, я никаких советов вовсе не давал, я привёл этот интересный факт как точку данных позволяющую дальнейшие умозаключения. Но у него, и мне кажется что у тебя тоже, страх такого уровня, что переклинивает мозги и думать уже не получается, остаётся способность только очевидные любому банальности озвучивать. И это как раз паранойя. Таблетки пить надо, потому что парализующая мысли паранойя контрпродуктивна задаче обеспечения безопасности, которая требует активного мышления.

Ответить | Правка | Наверх | Cообщить модератору

4. "Определение сеансов OpenVPN в транзитном трафике"  +12 +/
Сообщение от Аноним (4), 17-Мрт-24, 11:28 
> метод успешно сработал для 39 из 40 конфигураций

а можно этот 40й конфииг в студию? 🤔

Ответить | Правка | Наверх | Cообщить модератору

5. "Определение сеансов OpenVPN в транзитном трафике"  +3 +/
Сообщение от Аноним (5), 17-Мрт-24, 11:38 
Нужно что-то новое придумать. Чем будет больше малоизученных протоколов - тем сложней их будет вычислить.
Ответить | Правка | Наверх | Cообщить модератору

21. "Определение сеансов OpenVPN в транзитном трафике"  +/
Сообщение от Аноним (4), 17-Мрт-24, 13:05 
SbO?
Спорненько, но может и сработать
Ответить | Правка | Наверх | Cообщить модератору

26. "Определение сеансов OpenVPN в транзитном трафике"  +/
Сообщение от OpenEcho (?), 17-Мрт-24, 13:19 
Зачем? И тем более протоколы?

Обфускация никогда не была защитой. Достаточно все обернуть в криптографию и пустить по не блокированному хттпс каналу

Ответить | Правка | К родителю #5 | Наверх | Cообщить модератору

36. "Определение сеансов OpenVPN в транзитном трафике"  +/
Сообщение от Аноним (36), 17-Мрт-24, 14:39 
смешались кони, люди..
что обернуть то в криптографию?
что значит "не блокированному хттпс каналу"?
что повашему значит "обфускация"?
Ответить | Правка | Наверх | Cообщить модератору

44. "Определение сеансов OpenVPN в транзитном трафике"  +/
Сообщение от OpenEcho (?), 17-Мрт-24, 15:01 
> что обернуть то в криптографию?

Протоколы

> что значит "не блокированному хттпс каналу"?

443

> что повашему значит "обфускация"?

Протокол имеет свой неповторимый фингерпринт, по которому он может быть определен, поэтому создавая новый протокол, - это не защита, а обфускация. Даже если взять телеговый прокси, который просто поток "рандомных" байтов, то он имеет специфику - отсутсвие шаблона, а значит - в бан. Если же трафик завернуть в хттпс, и сделать его "правдоподобным", то ДПаЙ прийдется очень потрудится чтоб понять что внутри.

Ответить | Правка | Наверх | Cообщить модератору

47. "Определение сеансов OpenVPN в транзитном трафике"  +/
Сообщение от Аноним (-), 17-Мрт-24, 15:18 
> Если же трафик завернуть в хттпс, и сделать его "правдоподобным"

Чем это не обфускация? Вопрос остаётся в силе: что по-вашему обфускация?

Ответить | Правка | Наверх | Cообщить модератору

50. "Определение сеансов OpenVPN в транзитном трафике"  +/
Сообщение от OpenEcho (?), 17-Мрт-24, 15:34 
>> Если же трафик завернуть в хттпс, и сделать его "правдоподобным"
> Чем это не обфускация? Вопрос остаётся в силе: что по-вашему обфускация?

Протокол, - четко расписанный стандарт, формат
Обфускация - нет. Это алгоритм смешивания протокола с мусором.
Обфусцировать трафик, опубликовав это как **протокол**, это "нате, - ешьте"

Ответить | Правка | Наверх | Cообщить модератору

56. "Определение сеансов OpenVPN в транзитном трафике"  +/
Сообщение от Аноним (56), 17-Мрт-24, 16:32 
м-даа..
хорошо. а если я на сервак поставлю obfs4
а на клиенте openvpn пущу через это соединение?
а вот есть еще stunnel. поставлю на сервак
и клиент пущу через него?
и там и там генерации шума не будет.
что из этого обфускация?
Ответить | Правка | Наверх | Cообщить модератору

68. "Определение сеансов OpenVPN в транзитном трафике"  +/
Сообщение от OpenEcho (?), 17-Мрт-24, 18:51 
> obfs4

Гениально, - вот вам список мостов, пользуйтесь оба, и мыши и коты...

> а вот есть еще stunnel.

работает канал который постоянно связан тет-а-тет, зашифрованный.

> что из этого обфускация?

Ни то и ни другое. Оба палятся на ура


Ответить | Правка | Наверх | Cообщить модератору

74. "Определение сеансов OpenVPN в транзитном трафике"  +1 +/
Сообщение от Аноним (74), 17-Мрт-24, 19:31 
вердикт - учить матчасть
Ответить | Правка | Наверх | Cообщить модератору

96. "Определение сеансов OpenVPN в транзитном трафике"  +/
Сообщение от FooType (?), 19-Мрт-24, 20:34 
Это правильно, учит матчасть.
И если бы те кому надо учили матчасть, то понимали бы, что в случае с теми же stunnel/obfs, запалить можно все что угодно, но степень риска в данном случае очевидно сокращается, при  должном уровне реализации схемы. Ни больше, ни меньше.
Ответить | Правка | Наверх | Cообщить модератору

103. "Определение сеансов OpenVPN в транзитном трафике"  +/
Сообщение от Sem (??), 20-Мрт-24, 20:06 
По вашим ответам даже не понятно с чем вы не согласны.
Интересно услышать ваше определение обфускации. Но видимо не судьба, вы просто тролль.
Ответить | Правка | К родителю #74 | Наверх | Cообщить модератору

95. "Определение сеансов OpenVPN в транзитном трафике"  +/
Сообщение от FooType (?), 19-Мрт-24, 20:31 
Глупости. Они палятся точно так же, как и openvpn, без должного уровня реализации. Ни больше, ни меньше.

Ответить | Правка | К родителю #68 | Наверх | Cообщить модератору

109. "Определение сеансов OpenVPN в транзитном трафике"  +/
Сообщение от Аноним (-), 21-Мрт-24, 14:21 
Не так же. OpenVPN у меня прекратил работать пару недель назад. Wireguard хоть и работает, но теперь заводится с толкача. А tor'у всё по барабану, как работал так и работает.
Ответить | Правка | Наверх | Cообщить модератору

94. "Определение сеансов OpenVPN в транзитном трафике"  +/
Сообщение от FooType (?), 19-Мрт-24, 20:30 
Достаточно хорошо знать TCP/IP, чтобы в подобных случаях просто правильно модифицировать уде существующие решения. Это как минимум сэкономит время и силы. Это называется целесообразность ради эффективности.

Ответить | Правка | К родителю #5 | Наверх | Cообщить модератору

6. "Определение сеансов OpenVPN в транзитном трафике"  +/
Сообщение от Lui Kang (?), 17-Мрт-24, 11:42 
И другие VPN протоколы тоже обнаруживаются легко, использование WireGuard, L2TP сразу видно и можно заблокировать в легкую.
Хотя блокировать протокол это неправильно, это все равно, что голову, которая болит - рубить, вместо того, чтобы выпить таблетку от головы.
Ответить | Правка | Наверх | Cообщить модератору

8. "Определение сеансов OpenVPN в транзитном трафике"  +5 +/
Сообщение от Аноним (8), 17-Мрт-24, 11:46 
https://vc.ru/services/916559
Ответить | Правка | Наверх | Cообщить модератору

15. "Определение сеансов OpenVPN в транзитном трафике"  +/
Сообщение от Lui Kang (?), 17-Мрт-24, 12:15 
Носки тени так себе приблуда, есть способы маскировки по лучше
Ответить | Правка | Наверх | Cообщить модератору

28. "Определение сеансов OpenVPN в транзитном трафике"  +/
Сообщение от OpenEcho (?), 17-Мрт-24, 13:21 
Способы получше - в студию? ;)
Ответить | Правка | Наверх | Cообщить модератору

40. "Определение сеансов OpenVPN в транзитном трафике"  +/
Сообщение от Аноним (36), 17-Мрт-24, 14:43 
а нет их,
акромя обфускации то
Ответить | Правка | Наверх | Cообщить модератору

98. "Определение сеансов OpenVPN в транзитном трафике"  +/
Сообщение от FooType (?), 19-Мрт-24, 20:37 
если в вас работающая логика, то обфускация и ВПН, это как лодка и весло. друг друга дополняют, а не вовсе не заменяют.
Ответить | Правка | Наверх | Cообщить модератору

97. "Определение сеансов OpenVPN в транзитном трафике"  +/
Сообщение от FooType (?), 19-Мрт-24, 20:36 
VPN уже однозначно лучше носков, если конечно вы понимаете как устроена и работает сеть.
Но ведь очевидно, что только лишь ВПН дело не ограничивается, тут нужно много дополнительной работы, а следовательно и специальных знаний.
Ответить | Правка | К родителю #28 | Наверх | Cообщить модератору

102. "Определение сеансов OpenVPN в транзитном трафике"  +/
Сообщение от Жук (?), 20-Мрт-24, 10:40 
VLESS с XTLS-Vision, можно VLESS с XTLS-Reality.
Сервер и клиент XRay или Sing-box
Ответить | Правка | К родителю #28 | Наверх | Cообщить модератору

104. "Определение сеансов OpenVPN в транзитном трафике"  +/
Сообщение от Sem (??), 20-Мрт-24, 20:13 
Пишут, что SS с протоколами 2022 еще не научились детектировать. Но есть проблема с клиентами. Такое ощущение, что поддержку добавили, а проверить не удосужились.
Ответить | Правка | К родителю #15 | Наверх | Cообщить модератору

39. "Определение сеансов OpenVPN в транзитном трафике"  +/
Сообщение от Аноним (36), 17-Мрт-24, 14:42 
Не заметно пока
Смотрел у разных провайдеров
Ответить | Правка | К родителю #8 | Наверх | Cообщить модератору

82. "Определение сеансов OpenVPN в транзитном трафике"  +/
Сообщение от iPony129412 (?), 18-Мрт-24, 09:20 
так это просто желание "надо бы блокировать"
до технического решения вроде бы дело не дошло... пока
Ответить | Правка | Наверх | Cообщить модератору

37. "Определение сеансов OpenVPN в транзитном трафике"  +/
Сообщение от Аноним (36), 17-Мрт-24, 14:40 
Это вы РКН расскажите..
что там правильно а что нет))
Ответить | Правка | К родителю #6 | Наверх | Cообщить модератору

12. "Определение сеансов OpenVPN в транзитном трафике"  –1 +/
Сообщение от Аноним (12), 17-Мрт-24, 12:07 
Тем кому надо прятать сам факт использования давно заворачивает в TLS по TCP. А методы этого "исследования" известны любому DPI.
Вообще то разрабы открыто об этом заявляют, продукт не для обхода "чего либо" а для безопасного соединения с шифрованием.
Ответить | Правка | Наверх | Cообщить модератору

16. "Определение сеансов OpenVPN в транзитном трафике"  +1 +/
Сообщение от Аноним (16), 17-Мрт-24, 12:18 
Дипиаю они может и известны. Задача этому дипиаю не захлебнуться когда проверяет трафик на уровне магистрального провайдера.
Ответить | Правка | Наверх | Cообщить модератору

31. "Определение сеансов OpenVPN в транзитном трафике"  +1 +/
Сообщение от Аноним (12), 17-Мрт-24, 14:08 
Магистральным провайдерам плевать какой идёт трафик, чем его больше - тем больше попадает в кассу.
А вот всякие местные провайдеры в разных скрепных странах очень любят резать всё что не лень.
Ответить | Правка | Наверх | Cообщить модератору

14. "Определение сеансов OpenVPN в транзитном трафике"  –2 +/
Сообщение от Аноним (16), 17-Мрт-24, 12:15 
Те кому нужна приватность итак натягивают свои сети или общаются по радиоканалу. Кто с проводным телефонном серии ТА в армии бегал по полю знает.
Ответить | Правка | Наверх | Cообщить модератору

17. "Определение сеансов OpenVPN в транзитном трафике"  +1 +/
Сообщение от robot228email (?), 17-Мрт-24, 12:29 
Так они делают законы чтобы ты не использовал свои сети.
Радиочастоты они глушат.
Протоколы радио дырявые.
Ответить | Правка | Наверх | Cообщить модератору

19. "Определение сеансов OpenVPN в транзитном трафике"  +/
Сообщение от OpenEcho (?), 17-Мрт-24, 12:54 
А вот провод соединяющий два ТА, легко перекусить не получится :) Там такая "сталька", как в тросах, - хрен кусачками так сразу перекусишь. Кстати, та "сталька" может и прокормить, если ее вытащить из провода, сделать петельку и поставить на заячьей тропе. Главное добраться к добыче раньше волков и шакалов
Ответить | Правка | Наверх | Cообщить модератору

41. "Определение сеансов OpenVPN в транзитном трафике"  +/
Сообщение от Аноним (36), 17-Мрт-24, 14:46 
я слышал изобрели кусачки такие..
ими еще жд плобы перекусывают.. не?
а еще болгарка на батарейках есть.. врут?
Ответить | Правка | Наверх | Cообщить модератору

45. "Определение сеансов OpenVPN в транзитном трафике"  +/
Сообщение от OpenEcho (?), 17-Мрт-24, 15:08 
> я слышал изобрели кусачки такие..

Да есть конечно, я про те времена когда еще ТА пользовали, хотя и тогда штык ножом с акм-а перекусывалось

Ответить | Правка | Наверх | Cообщить модератору

23. "Определение сеансов OpenVPN в транзитном трафике"  +5 +/
Сообщение от Аноним (23), 17-Мрт-24, 13:14 
Группа исследователей, судя по всему, только что вылезла из криокамеры.
Потому что иначе я не могу объяснить, как можно в 2024 году на полном серьезе обнаружить, что, оказывается, OpenVPN не является цензуроустойчивым. Кот бы мог подумать!
А вот, кому интересно, что является https://habr.com/ru/articles/799751/
Ответить | Правка | Наверх | Cообщить модератору

25. "Определение сеансов OpenVPN в транзитном трафике"  –1 +/
Сообщение от Аноним (25), 17-Мрт-24, 13:18 
Не надо путать устойчивость теоретическую, криптобезопасниковую, и техническую возможность учета стада. Второе не обязательно следует из отсутствия первого. Для этого надо проделать определенную работу.
Ответить | Правка | Наверх | Cообщить модератору

27. "Определение сеансов OpenVPN в транзитном трафике"  +2 +/
Сообщение от Аноним (23), 17-Мрт-24, 13:19 
Технические возможности давным-давно продемонстрированы в Китае (и в других местах). Так что группа исследователей, видимо, изобретала велосипеды.
Ответить | Правка | Наверх | Cообщить модератору

32. "Определение сеансов OpenVPN в транзитном трафике"  +/
Сообщение от OpenEcho (?), 17-Мрт-24, 14:26 
Ну если за это платят, почему бы нет... странно, что китайцы, которые практически во всех популярных универах мира и которые пользуются разновидностями Врэя или обернутому в дырку от зопы того же ОпенВпн, но при этом не нашлось в группе иследователей никого, кто подумал бы как это определять... скорее всего, инсайдеры не хотели расскрываться
Ответить | Правка | Наверх | Cообщить модератору

52. "Определение сеансов OpenVPN в транзитном трафике"  +/
Сообщение от Bob (??), 17-Мрт-24, 15:42 
Осваивала грант та группа)
Ответить | Правка | К родителю #27 | Наверх | Cообщить модератору

64. "Определение сеансов OpenVPN в транзитном трафике"  +/
Сообщение от Аноним (64), 17-Мрт-24, 18:06 
и что там является цензуроустойчивым? Как только у этого неуловимого джо будет заметная аудитория, точно так же будет заблочен по характеристикам трафика.
Ответить | Правка | К родителю #23 | Наверх | Cообщить модератору

66. "Определение сеансов OpenVPN в транзитном трафике"  +/
Сообщение от Аноним (25), 17-Мрт-24, 18:31 
В штатах не блочат. Там собирают информацию и полицейских посылают на адрес.
Ответить | Правка | Наверх | Cообщить модератору

62. "Определение сеансов OpenVPN в транзитном трафике"  +/
Сообщение от КО (?), 17-Мрт-24, 17:36 
Вы думаете сервисы, которые зависят от клиентов махнут рукой на стабильный трафик?
Удачи в блокировке
Ответить | Правка | Наверх | Cообщить модератору

63. "Определение сеансов OpenVPN в транзитном трафике"  –1 +/
Сообщение от Аноним (63), 17-Мрт-24, 18:06 
Не всякий трафик одинаково полезен. Кому нужны клиенты, которые в интернет ходить пока ещё могут, но вот заплатить денег за сервисы уже нет? Так что да, удачи в блокировках. Глядишь, будет время подумать что же пошло не так.
Ответить | Правка | Наверх | Cообщить модератору

65. "Определение сеансов OpenVPN в транзитном трафике"  +2 +/
Сообщение от myster (ok), 17-Мрт-24, 18:23 
Провайдеры рассуждают примерно так: "Клиентам и такой сервис сойдет, т.к. интернет им нужен всё-равно для развлечений, он не обязательно должен быть качественным. Нет Ютуба - так Рутуб используйте, глупунькие".  

Пример такого домашнего интерента у провайдеров, которые отключают IPv6, хотя им не проблема включить поддержку. Это как детям прибивать игрушки к полу гвозьдями.

Ответить | Правка | К родителю #62 | Наверх | Cообщить модератору

67. "Определение сеансов OpenVPN в транзитном трафике"  +1 +/
Сообщение от fidoman (ok), 17-Мрт-24, 18:49 
так это обычный "бизнес подход", 90% клиентов типа довольны, оставшиеся объявляются токсичными и на их интересы плевать
Ответить | Правка | Наверх | Cообщить модератору

105. "Определение сеансов OpenVPN в транзитном трафике"  +/
Сообщение от Sem (??), 20-Мрт-24, 20:21 
"хотя им не проблема включить поддержку"
Это всегда проблема. Нужно оборудование, которое нормально работает с IPv6, нужно это все правильно настроить, а потом еще поддерживать и развивать. И саппорту клиентов поддерживать. Для провайдера это прям огромный пласт, который хочется выкинуть и не вспоминать.
Ответить | Правка | К родителю #65 | Наверх | Cообщить модератору

111. "Определение сеансов OpenVPN в транзитном трафике"  +/
Сообщение от myster (ok), 24-Мрт-24, 15:59 
> "хотя им не проблема включить поддержку"
> Это всегда проблема. Нужно оборудование, которое нормально работает с IPv6, нужно это
> все правильно настроить, а потом еще поддерживать и развивать. И саппорту
> клиентов поддерживать. Для провайдера это прям огромный пласт, который хочется выкинуть
> и не вспоминать.

IPv6 это уже стандарт, без IPv6 услуга не подана полностью, а на тяп-ляп. Если так рассуждать, тогда давайте компьютеры выкинем и все технологии с этим связанные, потому что их надо поддерживать и развивать.

Оборудование давно уже по умолчанию из коробки IPv6 поддерживает. Тут даже больше усилий по отключению от IPv6, чем по включению.
Например, у Билайн отключен IPv6 для добашних пользователей, а для корпоративных включен. Им не проблема включить для всех.

Ответить | Правка | Наверх | Cообщить модератору

78. "Определение сеансов OpenVPN в транзитном трафике"  +/
Сообщение от Аноним (78), 17-Мрт-24, 23:20 
Юзайте хотя бы AmneziaWG и будет вам чуть большая иллюзия безопасности.
Ответить | Правка | Наверх | Cообщить модератору

83. "Определение сеансов OpenVPN в транзитном трафике"  +/
Сообщение от ryoken (ok), 18-Мрт-24, 09:42 
>>необфускацированных

Глаза чуть не сломал, пока прочёл. Точно более легкочитаемого термина нет?

Ответить | Правка | Наверх | Cообщить модератору

86. "Определение сеансов OpenVPN в транзитном трафике"  +/
Сообщение от Sw00p aka Jerom (?), 18-Мрт-24, 10:10 
Великий и могучий говорит - незапутанный, хотя лучше всего подойдет - безхитростный :)
Ответить | Правка | Наверх | Cообщить модератору

87. "Определение сеансов OpenVPN в транзитном трафике"  +/
Сообщение от ryoken (ok), 18-Мрт-24, 10:33 
Вот так гораздо читабельнее, спасибо :).
Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру