LINUX.ORG.RU

Как скрыть факт наличия прокси/vpn

 , ,


2

6

Судя по новейшим сообщениям, вроде https://geektimes.com/post/300343/ пошла волна, что, уже просто сканируют любые приватные, даже запароленные прокси и впн на vps и абузят/банят, что найдут даже не утруждая какими-то обоснованиями.

Чувствую слабость своих познаний. Ну с публичными сервисами все понятно. А как например они просто путем сканирования находят приватные openvpn и прокси? Причем кое-кто говорит, что даже на нестандартный порт отреагировали. Вроде же без нужного пароля/сертификата просто сервис отключается по таймауту или сразу. wtf происходит ?

Из самого простого думаю, что пока лучше всего использовать вместо vpn туннель через ssh.

★★★★★

Ответ на: комментарий от madcore

stunnel

	
SSL Tunnel are done with stunnel, a multiplatform SSL Tunneling Proxy, open-source released under
GNU GPL 2 license.
Under Windows we provide a portable .zip version.

Secure Sockets Layer (SSL), are cryptographic protocols that provide communication security over the Internet. OpenVPN is already a VPN solution based on SSL/TLS. However, Deep Packet Inspection lets your ISP recognize the you are using an OpenVPN connection. Adding an additional SSL to connect OpenVPN over SSL is useful in all cases in which you wish to have all the security and features of OpenVPN, while at the same time you don't want to let your ISP know that you're using OpenVPN, at the price of a performance hit.

Advantages:

    OpenVPN typical fingerprint can not be detected anymore. Useful if you live in a country which tries to disrupt OpenVPN connections when detected.
    Contrarily to a «classic» SSL tunnel, there's no need to configure each application in order to have it tunneled.

Disadvantages:

    Performance hit

сорри, это был ответ TCу

Deleted ()
Последнее исправление: Deleted (всего исправлений: 1)

очевидно, что единственный вариант — это дропать всё кроме определенных айпишников.
как намутить ограниченное кол-во айпишников для мобильных клиентов уже другой вопрос.

system-root ★★★★★ ()
Ответ на: комментарий от Deleted

Интересно. Правда вроде это ориентировано против DPI, но vpn у людей похоже банили просто после сканирования. И вот этого я не понимаю. Вроде бы какого-то ответа сервера без валидного сертификата или пароля вообще нет, соединение тупо разрывается.

praseodim ★★★★★ ()

- использовать «нормального» хостера

- port knocking

- ограничение доступа по ип/подсетям

да куча вариантов

maverik ★★ ()
Ответ на: комментарий от maverik

- использовать «нормального» хостера

заканчиваются, их активно банят

- ограничение доступа по ип/подсетям

а мобильник без vpn-а пускать ? или в мобильный интернет не ходить, а как же публичные сети.

Dred ★★★★★ ()
Ответ на: комментарий от system-root

очевидно, что единственный вариант — это дропать всё кроме определенных айпишников.

К сожалению не вариант, именно потому что

как намутить ограниченное кол-во айпишников для мобильных клиентов уже другой вопрос.

А также бывает нужно выходить через разные wi-fi в разных местах. Притом не для обхода даже блокировок, а для безопасности от владельцев точек.

Да и просто нет гарантий, что IP сохранятся. Статика нынче не везде. Можно самого себя заблокировать.

praseodim ★★★★★ ()
Ответ на: комментарий от system-root

если айпишник не откликается, то вреда не будет от его блокировки

anonymous ()
Ответ на: комментарий от Dred

а мобильник без vpn-а пускать ? или в мобильный интернет не ходить, а как же публичные сети.

https://en.wikipedia.org/wiki/Port_knocking

The primary purpose of port knocking is to prevent an attacker from scanning a system for potentially exploitable services by doing a port scan, because unless the attacker sends the correct knock sequence, the protected ports will appear closed.

Deleted ()
Последнее исправление: Deleted (всего исправлений: 1)

Зачем ты сопротивляешься?

EXL ★★★★★ ()

Как скрыть факт наличия прокси/vpn

openvpn stunnel openvpn over shadowsocks openvpn xor patch openvpn over obfsproxy

anonymous ()
Ответ на: комментарий от anonymous

openvpn stunnel, openvpn over shadowsocks, openvpn xor patch, openvpn over obfsproxy

anonymous ()

для чужих обратившихся к твоему vps надо открывать сайт-визитку

anonymous ()
Ответ на: комментарий от maverik

- port knocking

Почитал по диагонали про port knocking

Вроде очень неплохая штука, но как я уже вижу с проблемами.

Вопрос все же еще и о том, как они умудряются так четко палить запароленные сервисы и нельзя ли тут что подкрутить.

praseodim ★★★★★ ()
Ответ на: комментарий от praseodim

и нельзя ли тут что подкрутить.

да банить надо роботов, которые сканят. Не защищаться, а нападать :)

Deleted ()
Ответ на: комментарий от Deleted

да банить надо роботов, которые сканят. Не защищаться, а нападать :)

Не так просто как кажется. Сканировать могут распределенно, а банить всех, кто пробовал подключиться глупо, можно и себя так забанить. Если же ввести исключение для отдельных IP, так проще сразу пытаться белые IP для сервера ставить.

praseodim ★★★★★ ()
Ответ на: комментарий от praseodim

ну значит будет чербурнет, лол. А телеграм продолжит работать

Deleted ()
Ответ на: комментарий от Deleted

Да речь сейчас даже не о том, как это со стороны провайдера выглядит, а что каким-то образом умудряются просто сканированием выявлять. Ну вот я проделал эксперимент, подключился телнетом к запароленному vpn. Тупо черный экран и ничего, через некоторое время соединение закрыто. Что они могли выявить не очень понимаю, но что-то выявили же или пострадавшие чего-то не договаривают.

praseodim ★★★★★ ()
Ответ на: комментарий от praseodim

подключился телнетом к запароленному vpn. Тупо черный экран и ничего,

так ты пошли туда приветствие openvpn, оно и ответит соответстввующе. Вот stunnel позволяет маскировать под https. Вешаешь на 443 порт и всё

Deleted ()
Ответ на: комментарий от Jopich1

Что ты под словом открытых имеешь ввиду? Если публичных, то как раз необязательно. Пошли жалобы владельцев своих частных запароленных проксей/vpn через которые только они ходили или даже не ходили.

praseodim ★★★★★ ()
Ответ на: комментарий от Deleted

«сканируется интернет на предмет прокси и VPN сервисов, позволяющих получить доступ к Telegram.» А как это достигается технически? Что за сканер такой ? - через который видно, что в vpn туннеле идет коннект к серверам telegram. Или они вообще всех хостеров банят, т.к. там могут быть средства анонимизации?

anonymous ()
Ответ на: комментарий от praseodim

а что каким-то образом умудряются просто сканированием выявлять

сканируют пользовательский трафик и смотрят не похожли он на ipsec/pptp/l2pt/opnvpn и блокируют адрес назначения. У меня на домашнем роутере несколько vpn, пока все норм.

Ну вот я проделал эксперимент, подключился телнетом к запароленному vpn.

Телнетом? Меняй пароль, ну так на всякий случай.

Тупо черный экран и ничего, через некоторое время соединение закрыто.

Бред какой-то, а что за провайдер?

Deleted ()
Ответ на: комментарий от Deleted

так ты пошли туда приветствие openvpn, оно и ответит соответстввующе.

Не пробовал. Точно специальное приветствие будет? Ну тогда ясно, конечно.

Вот stunnel позволяет маскировать под https. Вешаешь на 443 порт и всё

Уменьшает производительность, о чем вроде прямо сказано.

Просто думаю можно ли взять готовый или доработать vpn-сервер, чтобы никаких открытых приветствий не было. Не пойму даже почему так не сделали.

praseodim ★★★★★ ()
Ответ на: комментарий от Deleted

сканируют пользовательский трафик и смотрят не похожли он на ipsec/pptp/l2pt/opnvpn и блокируют адрес назначения. У меня на домашнем роутере несколько vpn, пока все норм.

Они (пока что) физически не могут пользовательский трафик сканировать. Они порты у хостера сканируют.

Телнетом? Меняй пароль, ну так на всякий случай.

А при чем тут пароль, я его даже не вводил, просто способ посмотреть на открытый порт.

Бред какой-то, а что за провайдер?

А что должно быть?

praseodim ★★★★★ ()
Ответ на: комментарий от anonymous

Минкомсвязи: Россия не намерена создавать свой файрвол по примеру китайского

Заместитель министра связи и массовых коммуникаций России Алексей Волин опроверг сообщения о намерениях правительства создать российский файрвол (сетевой фильтр) по блокировке доступа жителей страны к части интернет-ресурсов по примеру существующего в Китае.

«Это пустые опасения. При том, что мы активно дружим с Китаем и обмениваемся информацией по поводу развития медиарынка, — заявил Волин агентству “РИА Новости”.— Мы всегда исходили из того, что Россия есть Россия, Китай есть Китай. Мы никогда не пойдем по китайскому пути в отношении интернета. У нас свой российский путь и никакой речи о создании российского файрвола сегодня не идет».

Алексей Волин также напомнил, что создание подобного файрвола требует значительных финансовых вложений.

«Надо помнить о том, что штука эта крайне дорогая и затратная. Более того, находясь в Китае, могу точно сказать, что любой человек, у кого будет желание получить доступ к запрещенным в Китае интернет-ресурсам в течение 7 минут, этот доступ получит без всяких проблем.»

- новость https://news.mail.ru/politics/33293904/

iZEN ★★★★★ ()
Ответ на: комментарий от praseodim

Они порты у хостера сканируют.

И определяют какой сервис там висит?

anonymous ()

Socks5 over ssh.

ssh -f -N -D 127.0.0.1:1080 sshtunnel@vps-ip -p 22

KillTheCat ★★★★★ ()

Можно ещё по объёму трафика отследить. Это если через vpn что-то активно качают.

anonymous ()
Ответ на: комментарий от sergej

Когда говорят «мы никогда» нередко это означает, что уже думают над этим.

praseodim ★★★★★ ()

OpenVPN с опциями tls-auth или tls-crypt по UDP так не насканишь т.к. оно игнорирует пакеты, которые не подписаны/не зашифрованы конкретным ключем.

feanor ★★★ ()
Ответ на: комментарий от praseodim

Покупай у провайдера белый статистический IP и бань все остальные IP, отличные от твоего. Рандомный IP пускать только по ssh, если его запретят, то и доступа к серверам не будет. Будет Северная Корея.

peregrine ★★★★★ ()
Последнее исправление: peregrine (всего исправлений: 1)

Скрывай / не скрывай, а всё равно ты, как на ладоне.

Почитай, что такое netflow, fingerprinting и dpi.

PS: нестандатрные порты — карго-культ мамкиных какиров, не слушай их. Ничего они не дают.

beastie ★★★★★ ()

дефолтный порт, сигнатура начала соединения и всё такое

Harald ★★★★★ ()

Вот в Китае, предположительно, великий файервол банит неопознанные соединения, если по ним регулярно идёт много трафика. Т.е. сначала всё работает, а потом скорость падает в 0 и впн превращается в тыкву

Harald ★★★★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.