Сегодня речь пойдёт о технологии распределённой сети VPN Gate, своего рода недруга Поднебесной в области интернет цензуры. На Хабре много статей на тему SoftEther VPN (нижележащий слой VPN Gate), но нет ни одной технически всесторонней статьи про саму распределённую сеть и такое чувство, что в рунете про неё вообще забыли.
VPN Gate — академический эксперимент Дайу Нобори с 2013-го года. Проект представляет собой интернет-сервис научных исследований в Высшей Школе Университета Цукуба, Япония. Цель данного исследования заключается в расширении знаний «Глобальных распределенных открытых ретрансляторов VPN».
Отличительной особенностью данной сети является её функционирование в виде роя. То есть каждый желающий пользователь может поделиться своей пропускной способностью с другими. Я знаю, что вы подумали, очередной неудачный dVPN пиар на основе блокчейна.
Однако это не так, данный проект уже насчитывает 8634 узлов и 534 петабайта трафика за всё время существования. К примеру даже у TOR-а узлов — 7 тысяч.
Основными пользователями являются китайцы, в связи с успешной архитектурой борьбы против активных пробов Великого Китайского Файрвола.
Установка GUI клиента, сервера со встроенным плагином осуществляется через собственный сайт VPN Gate. Каждый сгенерированный zip билд программы отличается размером, чтобы осложнить DPI анализ данных внутри. Также в него записываются рандомные адреса VPN серверов, если изначальные сервера VPN Gate для получения списков будут заблокированы.
Но как по мне самым большим успехом команды проекта было прикручивание NAT Hole Punching, где каждый пользователь, даже без белого IP, мог бы поделиться своей пропускной способностью. Никакой регистрации.
Борьба с Файрволом:
Спросите вы, почему Китайский Файрвол (GFW — Great Firewall of China) ещё его не заблокировал, здесь же начинается хронология борьбы между силами добра и зла:
Сразу после начала проекта, первые 4 дня наплыв большинства пользователей был именно из Китая, 5к пользователей разом нахлынули на сервис.
На пятый день GFW заблокировал основной сайт VPN Gate. Пользователи начали делиться установщиками на порталах таких, как Weibo.
Тогда GFW начал блокировать сервера VPN, получая их с главной страницы проекта, только они сделали ошибку, они не проверяли IP адреса на легимитность, и тогда команда проекта бросает на стол:
Они начинают смешивать рандомные IP адреса со списком, в течение трёх дней у них полный контроль над тем, что блокирует GFW, они ломают внутренние сайты Китая.
GFW видит свою ошибку и прежде чем блокировать всё подряд, начинает проверять каждый IP адрес путём мощной технологии DPI, которая называется active probing. Это когда на каждый запрошенный пользователем удалённый IP адрес сначала отправляется рандомный GFW бот (с рандомного IP) с тестовым запросом, и если в полученном ответе содержатся запрещённые фильтром слова, удалённый IP адрес блокируется.
Но так как количество серверов VPN Gate большое, то у сети преимущество, что если клиенты будут отправлять на проверку логи каждых кратковременных запросов от узлов, которые пытались к ним подключиться?
Ребята автоматически начали обрабатывать такие логи у себя на сервере. Так как у провайдеров поднебесной большой пул адресов, одиночным серверам не всегда удаётся узнать айпишник бота который их просканил и выдал на казнь GFW. Вдобавок даже с обфускацией VPN протокола к ним подключаются много людей, что эвристически обнаруживается.
Но если учитывать статистику со всех узлов, к которым одновременно в коротком интервале подключаются и отключаются айпишники, то их можно отсеять и заблокировать. Таким образом сеть отражает попытки GFW ботов их найти. К тому же она выдаёт лишь ограниченный список серверов пользователям, даже если одновременно с 16 миллионов (по некоторым данным, есть даже иностранные пулы) IP адресов GFW попытаются просканировать сеть, у них это не получится. Итог — чем больше участников, тем сильнее оборона.
Динамичные IP адреса участников за NAT также сыграли положительную роль в доступности сети.
VPN сервера оперируют на четырёх протоколах: SSL-VPN, OpenVPN, L2TP/IPsec, MS-SSTP.
Любым желающим помочь, которым не жалко поделиться интернет каналом, могут скачать пакет сервера, настраивается за 5-6 кликов. Также можно указать свое сообщение пользователям при подключении, оставить адрес почты для связи - есть некоторая подстраховка от silovikov, клиент хранит пакеты подключений две недели (можете обрадовать Яровую и поставить на 30 дней, шучу), скорость также можно настроить, есть настраиваемый встроенный файрвол с политиками безопасности, т.е. ваши локальные адреса в безопасности, установка без прав администратора.
Тем кто хочет подключиться можно скачать пакет клиента. Есть возможность выбирать страны с лучшим пингом и пропускной способностью.
Комментарии (80)
NeoCode
07.01.2023 01:45+18А представляете насколько мир был бы лучше, если бы не было всех этих блокировок (китайских, российских и прочих)? Ясно что обход блокировок - техническое решение нетехнического вопроса. И в действительности, единственно правильное решение - политика. Интеграция умных и свободномыслящих людей с правящими элитами и постепенное выведение стран к более свободным формам общества. Думаете невозможно? Мир меняется очень быстро. Кто бы мог подумать 20 (и тем более 30 или 40) лет назад, что мы сейчас будем жить вот так... Существующая политика - это по большому счету политика силы, политика стайных инстинктов. И действующие политики не являются какими-то интеллектуалами, вся их деятельность - это в основном именно инстинкты. Как думаете, можно ли применить интеллект к тому, чтобы зная скрытые законы развития общества, аккуратно варить лягушку в обратном направлении?
Alexey2005
07.01.2023 04:31+2Это намного труднее. Инстинкты - они на то и инстинкты, что следовать им легко и приятно, даже если это в перспективе ведёт к катастрофе. А вот идти против них - тяжело, и всё общество куда-то направить можно лишь "зацепившись" за какой-нибудь удачный инстинкт.
shasoftX
07.01.2023 08:11+6Существующая политика - это по большому счету политика силы, политика стайных инстинктов.
В ближайшей (и не очень) перспективе политика сильного никуда не денется. Потому что у сильного всегда найдется оправдание почему он может что-то делать, а слабый не может.
im_last
07.01.2023 08:18+5Если вы глубоко посмотрите в суть процессов, которые предшествовали всей той ситуации, что возникла, тогда придете к простой мысли: "все закономерно, все логично".
Общество выбрало этот путь, потому что делегировало часть своих функций на другую часть общества, а другая часть общества, которая должна была вести всех в светлое будущее, решило создать иллюзию похода в светлое будущее, а сама шла теневым путем. В итоге, все шли теневым путем, ну а бизнесу все это было на руку.
Потому что деньги - это ценности, но большие деньги - это власть и когда у вас большая часть денег мира, а сейчас 1% человечества владеет 99% всех ценностей (Богатство 1% людей превысило состояние остальных 99% жителей Земли), тогда и получается, что вся власть в руках этого 1% человечества.
И если этот 1% захочет что бы мир был вот таким, каким мы его видим сейчас, кто или что сможет им помешать?!
Капитализм - это интересно в моменте пути, но не в финальной его точке, в финальной точке там видимо всегда будет трэш и жесть, ибо когда средство для достижения цели больше не требуется, от него начинают избавляться.ShadowTheAge
07.01.2023 13:29+14Не хочу показаться занудным но "Богатство 1% людей превысило состояние остальных 99% жителей Земли" означает что 1% людей владеют >50% ценностей а не >99% ценностей.
im_last
07.01.2023 18:32+1Объясните пожалуйста, а то, мой эникейный мозг не понимает сути фразы :)
Mingun
07.01.2023 19:35+6Есть две группы людей — богатые (1% населения) и остальные (99% населения). Если состояние группы «богатых» —
x
%, тогда состояние «остальных» —(100 - x)
%. Чтобы состояние первой группы превысило состояние второй, должно выполняться неравенствоx > 100 - x
, откуда следует, что2x > 100
или, упрощая,x > 50
.TimsTims
07.01.2023 22:26-1Но ведь там не утверждается, что 1% населения владеет 99%.
Богатство 1% людей превысило состояние остальных 99% жителей Земли
То есть там вполне может 1% населения владеть 99% ценностями всей планеты.
Mingun
07.01.2023 22:32+1а сейчас 1% человечества владеет 99% всех ценностей
В комментарии вполне себе утверждается. Заголовок же ссылки правильный.
vassabi
07.01.2023 20:17если у вас есть весы, на левой чаше которых 99 камней, а на правой чаше - 1 камень, и обе чаши уравновешены.
какой вес у одного камня справа относительно массы всех 100 камней ?
PPS: иногда кажется, что половина фактов т.н. "активистов" - это такие специально сконструированные сборки фраз, чтобы пока внимание отвлеклось на яркую фразу из этой сборки - "пронести мимо" свою повестку ...
Заметьте - насколько проще считать в голове, когда единица измерения чисел - это масса (или просто числа), чем когда единица измерения чисел - это "чье-то богатство"
(и это мы еще не касаемся случаев когда "богатство" - это оценка цены акций!)
PyCC0_TyPuCT0
07.01.2023 21:19+21% "богатых" владеет 51% ценностей
99% "бедных" владеет 49% ценностей
51% > 49% - следовательно, состояние "богатых" превысило состояние "бедных"
если же 1% "богатых" владеет 99% ценностей, то это почти вдвое более сильное утверждение :)
inkvizitor68sl
09.01.2023 14:17+2Если глубоко вникать в суть процессов, то программист с годовым доходом в 100к USD на руки входит в этот самый 1% "самых богатых угнетателей остальных 99%".
im_last
07.01.2023 08:27+1действующие политики не являются какими-то интеллектуалами, вся их деятельность - это в основном именно инстинкты
Почему вы не предполагаете обратное? Сговор? Потому что такая мысль вам приносит больше страданий, чем его отсутствие?
charypopper
09.01.2023 21:03Только похоже это не сговор как таковой, а стабильное состояние по Нешу, когда все скатывается, но оплачивая крохами жизнь управленцев можно и дальше оставаться верхушкой
Wesha
07.01.2023 08:54+3А представляете насколько мир был бы лучше, если бы не было всех этих блокировок
А представляете, насколько бы мир лучше, если бы люди понимали, что не надо вестись на откровенную пургу (вроде условных акций АО "МММ" / влезания в мозги через вышки 5G / чипирования через вакцины / тысячи их)?
Но блокировки есть. И хомячки есть. И мир неидеален. Хочу на Марс :(
agray
07.01.2023 10:34+4Интеграция умных и свободномыслящих людей с правящими элитами и постепенное выведение стран к более свободным формам общества. Думаете невозможно?
Думаю что эти свободномыслящие люди быстро станут не такими свободномыслящами, когда вопрос будет стоят об выселении их из особняка, потому что срок полномочий окончен.
Как думаете, можно ли применить интеллект к тому, чтобы зная скрытые законы развития общества, аккуратно варить лягушку в обратном направлении?
Думаю стоит интеллект применять к прямой демократии, материализму и научному методу, а не ставить очередную лягушку, в этот раз точно свободную, на пьедестал общества и поклоняться ей.
SCHWEJK
07.01.2023 11:00+5Интеграция умных и свободномыслящих людей с правящими элитами и
постепенное выведение стран к более свободным формам общества. Думаете
невозможно?На практике svoboda зачастую означает призыв действовать строго в рамках определенной повесточки, ни шаг вправо, ни шаг влево.
randomhabrcommentator
07.01.2023 11:00+4А представляете насколько мир был бы лучше, если бы не было всех этих блокировок (китайских, российских и прочих)?
Простите, а что значит лучше в вашем понимании? Возможно ли, если блокировки используются везде и всеми без исключения, то это проявления какого-то фундаментального социального или политического процесса?
Интеграция умных и свободномыслящих людей с правящими элитами и постепенное выведение стран к более свободным формам общества. Думаете невозможно?
Вы полагаете что правящие элиты — это стадо глупцов? И череда до абсурда удачных совпадений позволила этим недалеким людям прийти к власти и находится там больше 20 лет? Кстати, как вы предлагаете оценивать ум и свободомыслие тех, кого нужно интегрировать во власть? И в дополнение надеюсь, что мою страну минует выведение ее к более свободным формам общества. В 20м веке у нее уже было было достаточно экспериментов с выведением свободы.
Мир меняется очень быстро. Кто бы мог подумать 20 (и тем более 30 или 40) лет назад, что мы сейчас будем жить вот так…
Вот так, это как? Что будет война?
Существующая политика - это по большому счету политика силы, политика стайных инстинктов. И действующие политики не являются какими-то интеллектуалами, вся их деятельность - это в основном именно инстинкты.
Интересно посмотреть на примеры политики, основанной не на силе? Приведете примеры самостоятельной политики, в основе которой не лежит сила? Касательно стайных инстинктов, вам кажется невероятным, что политик является во многом продолжением своего народа?
Как думаете, можно ли применить интеллект к тому, чтобы зная скрытые законы развития общества, аккуратно варить лягушку в обратном направлении?
Скрытые законы общества, известные видимо только иллюминатам и рептилоидам, которым выпал почетный и жуткий жребий варить лягушек в обратном направлении.
Miller777
07.01.2023 14:13+3Вы полагаете что правящие элиты — это стадо глупцов? И череда до абсурда удачных совпадений позволила этим недалеким людям прийти к власти и находится там больше 20 лет?
Это довольно замкнутое общество, попасть в которое со стороны практически невозможно. Я не о выборных политиках, которые ничего не решают, а о крупных финансово-промышленных кланах.
И да, намного больше 20 лет.
randomhabrcommentator
07.01.2023 16:35+2Это довольно замкнутое общество, попасть в которое со стороны практически невозможно.
Со стороны практически невозможно, верно. Возможно ли, потому, что многие считают, что существует какое-то особое замкнутое общество, которое им почему-то всем должно и обязано решить их личные сложности и исправить персональную жизнь каждого из них. А действительно успешные люди, добившиеся положения, статуса, финансового успеха, действительно часто ограждают себя от бесконечного потока таких вот обывателей.
Я не о выборных политиках, которые ничего не решают, а о крупных финансово-промышленных кланах. И да, намного больше 20 лет.
Не просветите, о каких именно кланах вы говорите? Или помимо того, что эти кланы бессменные, крупные и финансово-промышленные, они еще невидимые и никому не известные?
Miller777
07.01.2023 14:14И в дополнение надеюсь, что мою страну минует выведение ее к более свободным формам общества. В 20м веке у нее уже было было достаточно экспериментов с выведением свободы.
Варианты косплея Северной Кореи значительно хуже, КМК.
randomhabrcommentator
07.01.2023 16:35+1Варианты косплея Северной Кореи значительно хуже, КМК.
Не объясните, зачем косплеить Северную Корею или любую другую страну?
Miller777
08.01.2023 01:32Так если вам не нравится выведение общества к более свободным формам, логично предположить, что вам по вкусы варианты с менее свободными формами?
Примеры таких обществ: Сев.Корея, Иран.
Нет?
randomhabrcommentator
08.01.2023 17:11+2Так если вам не нравится выведение общества к более свободным формам, логично предположить, что вам по вкусы варианты с менее свободными формами?
Так если вам не нравится втыкать нож в других людей, логично предположить, что вам по вкусу втыкать его в собственное тело?
Нет. Можно с помощью ножа приготовить аппетитный ужин и пригласить за стол семью, чтобы вместе вкусно поужинать и пообщаться.
Смекаете?
avacha
07.01.2023 16:17+1самостоятельной политики, в основе которой не лежит сила
Неру был в общем-то пацифистом и последователем Ганди, при этом он - один из величайших политических деятелей 20 века - пожалуй, самого неспокойного и революционного за всю историю человечества, начиная с научно-технического прогресса и заканчивая прогрессом социальным.
tark-tech
07.01.2023 19:27+3Вы полагаете что правящие элиты — это стадо глупцов?
Это стая мразей и психопатов, которая отторгает всех кто не мразь и не психопат.
randomhabrcommentator
07.01.2023 21:08+5Прекрасный хейт-спич. Глубокий и аргументированный.
tark-tech
07.01.2023 22:29Где вы увидели хейт? Это просто нейтральная констатация факта. Вода - мокрая, огонь - горячий, дважды два - четыре, правящие элиты - мрази.
randomhabrcommentator
07.01.2023 23:30+3Послушайте, я не вижу ничего плохого в том, чтобы использовать хейт-спич с целью психотерапевтической разрядки. Серьезно. Элитам ваши грубости безразличны, а вам разрядка приносит облегчение. И это хорошо. Но не стоит вводить себя и окружающих в заблуждение, называя ваши бессодержательные оскорбления фактами.
vassabi
08.01.2023 01:46судя по вышим высказываниям - чрезвычайно опасно давать вам становиться "правящей элитой" ...
Miller777
08.01.2023 01:33отторгает всех кто не мразь и не психопат.
Это необходимые качества, но отнюдь не достаточные.
vladvul
07.01.2023 12:31проблема в том что вы сами руководствуетесь инстинктами. Власть не может опереться на рациональных людей, которые руководствуются своей выгодой. Власть опирается на пассивных людей. I bet у вас белая зарплата.
Nasreddin_Hodja
08.01.2023 16:10-2А представляете насколько мир был бы лучше, если бы не было всех этих блокировок (китайских, российских и прочих)?
Откуда инфа? Что-то мир в целом не особо пропагандирует такую идею, кроме немногочисленных фанатов-популистов. Сильно сомневаюсь что мир будет рад засилью китайцев в сети, особенно если они начнут везде в комментах что-то странное строчить. С аналогичной проблемой и Рунет сталкивается в последние годы.
То же и с Россией, на западе вовсе будут рады её изоляции и скорей всего сами помогут ей в этом.
GbrtR
07.01.2023 01:53+1Но так как количество серверов VPN Gate большое
иданный проект уже насчитывает 8634 узлов
как то не очень большое. Обнаружить 8000 серверов и заблокировать их, как мне кажется вполне посильная задача.Любым желающим помочь, которым не жалко поделиться интернет каналом, могут скачать пакет сервера
Тем более что китайцы могут креативненько подойти к вопросу и отправить несколько «правильных» писем/сообщений через эти узлы. Когда к нескольким владельцам СВАТ приедет, желающих сразу поубавится.
Prion
07.01.2023 02:22+2Нефига не понял, но очень интересно. Хотелось бы поподробнее с иллюстрациями и видео (если есть возможность), чем же система отличается от TOR? как я понимаю ресурс в основном чтобы статейки читать, а то если смотреть видосы 1024 К, то пользователи взвоют. А как делам с ТОR в китае? с теми что есть иллюстрациями тоже не очень всё понятно. хотелось бы понять где сам посетитель который хочет скрыться от файервола. мне кажется статья просто переводная и автор шибко не вникал в текст и не сопоставлял с картинками.
dartraiden
07.01.2023 04:36+1Отличается тем, что в Tor цепочка узлов, а тут клиент-сервер.
Отличается тем, что Tor - прокси, а тут - VPN.
Насчёт "статейки читать" зависит от ширины канала у добровольца, который решил стать сервером. В списке серверов видна скорость канала и количество подключенных пользователей, можно прикинуть перед подключением.
Prion
07.01.2023 04:41но узлы в тор тоже есть и там тоже держится на пользователях. то есть пользователь в тор тоже может стать добровольцем , это разве непохожий механизм как в статье? а как к слову со скоростью. с тором скорость была не очень.
dartraiden
07.01.2023 11:37Похожий лишь в том, что оба — средства анонимизации.
В Tor выходной узел не знает вашего адреса, поскольку есть промежуточные узлы. VPN-сервер — знает.
AiR_WiZArD
07.01.2023 06:17+1Хм, выглядит интересно. Надо будет попробовать поучавствовать, все равно VPS простаивает 99% времени
Sigest
07.01.2023 07:57+5Такая же ситуация, vps простаивает 99% времени, канал широкий, поделиться не жалко, я тот еще мамкин борец за свободу. Но меня все равно смущают цели использования моего сервера. Моя vps в европе, призывы «выходить на площадь» меня не пугают, но а вдруг с моего адреса будут торговать наркотой, оружием? В лучшем случае выключат мне vps, в худшем - попаду в какие-нибудь списки террористов. Так что очень непонятно автор раскрыл техническую часть, особенно в части анонимности.
im_last
07.01.2023 08:22+1"Моя vps в европе"
Если, юридически, вы владелец, то по идее вам статью могут приписать как соучастнику. Ну, а будет или не будет раскрывать ваши данные провайдер, в Европе, по запросу от прокуратуры, вопрос открытый.
AiR_WiZArD
07.01.2023 10:10+1Почитал про этот проект подробнее, анонимности он не предоставляет, все соединения логируются, прям на главной странице висит лента кто, откуда, когда и куда подключался, естественно в урезаном виде. Специально подставить скорее всего можно, но не думаю, что кто-то серьезно этим будет заниматься.
It is necessary to avoid abusing users who exploit VPN Gate to hide their IP address for wrongdoing. An in case of such abusing were occurred, it is necessary to trace the source IP address of such illegal user. Analyzing VPN Connection Log is helpful to investigate the source global IP address of him. We will disclosure the VPN Connection Logs to a policeman, a prosecutor, a lawyer or a court who is authorized by applicable laws.
izh-vii
07.01.2023 11:12Да, все логи транслируются куда-то на главный сервер и передается по запросу любому уполномоченному лицу. А кем эта деятельность спонсируется? Как я понимаю - правительством Японии?
penetration Автор
07.01.2023 12:41Это академический проект универа, по сути выходит так, ведь универ то государственный.
На основной сервер отправляются только логи подключений, и если к этому серверу подключены много людей, то теряется ваш след, чтобы уже точно вас найти, необходимо связаться с администратором vpn сервера.
Это VPN для обхода блокировок с хорошей скоростью, а не для анонимности, как к примеру в TOR
Stas_VTK
07.01.2023 11:00Можно было бы поднять зеркало для баз clamav и предоставить доступ нуждающимся...
dartraiden
07.01.2023 11:39+1в худшем — попаду в какие-нибудь списки террористов
В блэклисты вы попадёте, скорее, если с вашего адреса будет спам валить или что-то ещё.
И когда, например, захотите поднять на своей VPS себе почтовый сервер, то обнаружите, что много где от вас почту принимать не хотят, потому что у IP-адреса скверная репутация.penetration Автор
07.01.2023 12:40Кстати, в дефолтном файрволе стоит правило запрета на исходящий smtp протокол.
F0iL
07.01.2023 11:46Как вариант - ставить эту фигню на VPS, зарегистрированный и купленный через анонимное прдключение без предъявления личных данных (паспортные данные пока, к счасть, спрашивают не везде) и оплаченный криптовалютой :)
Можно попробовать ещё веселее вариант: сам сервер ставите на нормальный VPS (потому что ресурсов ему потребуется тоже нормально), а выход в интернет с него для "клиентов" завоначиваете в какой-нибудь туннель до помоечного low-end NAT VPS, где на IP-адресе кроме вас сидит ещё сотня человек и легко затеряться.
AiR_WiZArD
07.01.2023 13:19Да даже если и спришивают, все равно можно мусор вбить. Для своего хостера я гражданин Норвегии, плачу криптой. Единственная связь со мной - домен, тоже зарегистрированный на некого Ивана Иваныча Иванова, ну и домашний ip адрес, с которого подключаюсь, но это дело такое, можно спокойно затеряться, если поднимать у себя публичную ноду.
shasoftX
07.01.2023 08:13Судя по схеме работы можно так поучаствовать, что VPS будет простаивать 100% :)
penetration Автор
07.01.2023 10:25У меня уже 42гб раздано за 8 часов работы, это учитывая, что пока я на главный список не попал :)
И чем дальше, тем больше очков системы доверия и тем больше у раздачи.dartraiden
07.01.2023 11:43+1Да много чем можно канал забить. У меня нода I2P, в месяц спокойно по 5 терабайт трафика улетает.
olegtsss
07.01.2023 11:031) Хотелось бы подробнее узнать про технологию NAT Hole Punching .
2) Кстати, вами перечислены протоколы SSL-VPN (не слышал про такой), OpenVPN, L2TP/IPsec, MS-SSTP. Один из векторов блокировки подобных технологий - это непосредственное "ломание" (здесь даже не нужна блокировка) их сессий. Насколько мне известно в Китае как раз работает DPI, способная пытаться решать подобные задачи, но статья рассматривает его (DPI), как L3 Firewall, по аналогии с отечественным подходом к подобному делу.Gordon01
07.01.2023 12:391) Хотелось бы подробнее узнать про технологию NAT Hole Punching
Старо как мир: https://en.wikipedia.org/wiki/UDP_hole_punching
Реализуется буквально в 200 строк кода
Либо есть готовая реализация в https://libp2p.io/
olegtsss
07.01.2023 13:01Спасибо за ссылку на wiki, я думал у вас есть опыт работы с подобными технологиями, особенно в контексте пробива Firewall-ов или DPI.
olegtsss
07.01.2023 17:07Я бы назвал это термином "NAT helpers". И это вообще не про "где каждый пользователь, даже без белого IP, мог бы поделиться своей пропускной способностью". Меня на самом деле тут смутил клубок различных терминов, которые обозначают разное (NAT Hole Punching , серый IP, динамичные IP адреса участников за NAT, SSL-VPN каждый сгенерированный zip билд программы отличается размером, чтобы осложнить DPI анализ данных внутри и т.д.)
penetration Автор
07.01.2023 13:05Насчет второго вопроса, из-за того что протокол мимикрирует https, отличить его пассивным способом не всегда удаётся, поэтому с ним надо экспериметрировать, поговорить с помощью активных пробов, чтобы выявить признаки, сигнатуры, иначе под нож может попасться невинный протокол.
Вот диаграмма пробов по протоколам:
Как видите, они пытаются не слишком взаимодействовать с TLS.F0iL
07.01.2023 13:51из-за того что протокол мимикрирует https, отличить его пассивным способом не всегда удаётся
Уже неоднократно встречал свидетельства, что те же китайцы на своем GFW, судя по всему, даже научились определять TCP и TLS хендшейки внутри TLS-соединения, скорее всего, по размерам пакетов и паттернам трафика. Поэтому для устойчивости к DPI уже недостаточно завернуть туннель в TLS/HTTPS, необходим рандомизированный padding пакетов и прочие ухищрения.
penetration Автор
07.01.2023 13:55Да, так и есть, эти стандартные ухищрения присутствуют, иначе бы я и не написал эту статью, так как сеть просто бы не работала. Но даже эти атрибуты пакетов не дают точных сигнатур gfw, они ненадежные и можно только гадать.
Так же некоторыми из этих протоколов, как к примеру стандартный ms-sstp пользуются компании. Вот документация сети.F0iL
07.01.2023 14:24эти стандартные ухищрения присутствуют
В каком именно протоколе там есть рандомизированный паддинг передаваемых пакетов? В OpenVPN, SSTP и L2TP точно нет, в Softether, насколько я помню, тоже.
как к примеру стандартный ms-sstp пользуются компании
При достижении следующей эскалации уровня маразма проблема с корпоративными VPN решается белыми списками IP/AS для компаний по заявкам. РКН вон, помнится, какое-то время назад рассылал в банки письма с требованием сообщить, какие протоколы и на каких адресах у них используются.
penetration Автор
07.01.2023 15:19OpenVPN у них с плагином xor, SoftEther и SSTP я вам сказать не смогу, так как на сайте не много технической документации.
Про банки и т.д. тоже не в курсе, но если это всё ещё работает, значит есть какие-то методы маскировки.
Monstr0
07.01.2023 13:46Ничего не понил, но очень интересно )
Oll123
07.01.2023 18:21+2Спасибо за статью ! Похоже на e-donkey из нулевых, только для впна.
Просто для интереса - а есть оценочное количество клиентов ? Потому что протоколы то легко детектируемые вроде как.
Для шаринга в Азии поначалу был популярен тот же ed2k - но там быстро уехали в винки, ему на смену пришел Share, там так же можно было забирать и свежие равки и прочее, но после того как пару сидеров крупных нашли в Японии и посадили - сетки тоже вполне себе начали умирать. Тогда получалось так, что пока сеть не сильно большая и траффика не сильно много - то на нее и внимания не обращали, как сеть становилась "у всех на слуху", так сразу сажали и крупных поставщиков равок (и конечно не только raw, но и уголовно наказуемых материалов), ну и сеть начинали банить.Просто 8к выходных узлов по всему шарику, 5 петабайт за почти 10 лет, легко детектируемые протоколы.. как-то.. на фоне Китая который четко банит все что ему не нравится для миллиарда пользователей... больше похоже на то, что это работает в Китае потому что никому не интересно ?
penetration Автор
07.01.2023 18:33+1Точное число и о протоколах сказать не смогу, пользователи в сети динамичны, если только примерно, то больше 15 тысяч, так как на сайте нет четких технических ориентиров.
Но как я понял, даже если протокол сомнителен на уровне заголовков, с ним сначало надо пообщаться, чтобы выснить точно, чего защита сети не позволит.
Какие ещё маскировки используются в протоколах я не знаю, дефицит технической информации может быть связан с намерениями затруднить анализ gfw.
Про сеть точно не забыли.Oll123
07.01.2023 19:18+1Понятно.
Смотрите, не обязательно "пообщаться" с протоколом, что бы его заблокировать. Если ты знаешь его порт\паттерн\заголовки - ты можешь его блокировать на этапе инициализации сессии.
Перечисленные в статье OpenVPN, L2TP/IPsec, MS-SSTP (без дополнений для openvpn) - были заблочены в Китае много лет назад (Не включаю Гонконг\Тайвань). Последний раз когда я был Шенженене в 2015 году, вот это все не работало от слова совсем и не важно где была выходная нода, сессия не покидала территории Китая и умирала. Для получения стабильной сессии для этих протоколов, например для банковских операций международных банков, организации получали разрешения с указанием конкретных выходных IP для конкректных протоколов, после этого отделения товарищей типа HSBC соединялись своими центрами.
Такие протоколы как IPsec, бывает блочатся вообще в разных странах (я и в РФ таких провайдеров встречал), просто на базе "не хочу, разрешу за дополнительную плату".Китайский фаервол - это одна из причин появления скрывания(маскинга) траффика под валидный https траффик, и придумывания различных ухищрений для работы.
У меня вопрос, а эта штука - а она точно работает в Китае ? А то опять же, я исхожу из своего собственного опыта пребывания в Китае не один раз, ооочень многие заявляющие "у нас работает в Китае" по факту не работали даже в Шенжене (что как бы типа наш ответ Гонконгу, они даже физически рядышком), не говоря уже о настоящем континентальном Китае.penetration Автор
07.01.2023 19:26Это лучше вам ответил бы @ValdikSS, у него много опыта с событиями в Китае.
Un_ka
07.01.2023 22:24+1О, я этим почти год пользуюсь. Сам сайт в России заблокирован. Получается, чтобы получить конфиг одного из vpn серверов, нужен vpn. L2TP/IPsec можно настроить на Андроид, ничего не ставя. Правда я предпочитаю tcp openvpn.
Недавно пришлось им воспользоваться для установки grafana.
dartraiden
Смешно, ну какие логи… с адреса, присвоенного твоему устройству, призывали выходить на площади — добро пожаловать в СИЗО. И если повезет с оглаской, то посидишь там всего несколько месяцев. Если не повезет — год, ну а дальше у следователя есть возможность найти воображаемых соучастников, после чего ваше пребывание в СИЗО может по закону продляться и дальше.
penetration Автор
+