Всем привет, многие из Вас наверное слышали про такое самое мега крутое оборудование, которое может лочить неугодные сайты, причём эта штука реально крутая, что даже лочит OpenVPN, короче не вздохнуть не пёрнуть !
Наверное многие уже догадались, тадам речь идёт о DPI (Deep Packet Inspection) ! ;)
В общем давайте в этой теме порасcуждаем, как обойти этот DPI и так-ли он страшен на самом деле !
Для начала немного теории:
Наиболее простой способ обнаружения и блокировки OpenVPN-трафика — мониторинг файрволом стандартных OpenVPN-портов и их блокировка. Чаще всего блокируется 1194-й UDP-порт. Бороться с такого рода блокировками несложно. Обычно помогает конфигурация OpenVPN на использование 443-го порта, зашифрованный трафик на котором не должен вызывать ни у кого никаких подозрений — на нем работает HTTPS.
Да и кроме того, OpenVPN, как и HTTPS, использует SSL-шифрование, поэтому отличить HTTPS-и OpenVPN-трафик на 443-м порту очень сложно.
Но к сожалению, SSL-шифрование в OpenVPN немного отличается от того, что используется в HTTPS, и поэтому крутые устройства DPI (Deep Packet Inspection) смогут обнаружить эту разницу. Предположим, у твоего провайдера имеется такое оборудование (что, конечно, очень маловероятно). Что делать в таком случае? В таком случае можно воспользоваться утилитой obfsproxy (
Хотя и разрабатывается эта утилита командой Тог, она является независимым продуктом и легко конфигурируется для использования вместе с OpenVPN (подробнее здесь: bit.ly/obfsproxySetup).
Принцип действия последней утилиты заключается в оборачивании трафика в новый слой, например в обычные HTTP-пакеты. Таким образом, OpenVPN-трафик может спокойно пройти незамеченным мимо твоего провайдера.
Но бывают устройства DPI покруче, которые могут обнаружить и такой обман. В таком случае можно, как ни странно это звучит, пропускать OpenVPN-трафик через SSL-туннель.
Дополнительный слой шифрования не позволит никакому DPI добраться к OpenVPN-трафику и, соответственно, детектировать его. Для поднятия SSL-туннеля можно воспользоваться утилитой stunnel (
Правда, у такого способа есть один минус — из-за дополнительного слоя шифрования скорость передачи снижается.
Источник: По материалам из журнала «Хакер» + добавил кое-чо от себя ! ;)
Наверное многие уже догадались, тадам речь идёт о DPI (Deep Packet Inspection) ! ;)
В общем давайте в этой теме порасcуждаем, как обойти этот DPI и так-ли он страшен на самом деле !
Для начала немного теории:
Наиболее простой способ обнаружения и блокировки OpenVPN-трафика — мониторинг файрволом стандартных OpenVPN-портов и их блокировка. Чаще всего блокируется 1194-й UDP-порт. Бороться с такого рода блокировками несложно. Обычно помогает конфигурация OpenVPN на использование 443-го порта, зашифрованный трафик на котором не должен вызывать ни у кого никаких подозрений — на нем работает HTTPS.
Да и кроме того, OpenVPN, как и HTTPS, использует SSL-шифрование, поэтому отличить HTTPS-и OpenVPN-трафик на 443-м порту очень сложно.
Но к сожалению, SSL-шифрование в OpenVPN немного отличается от того, что используется в HTTPS, и поэтому крутые устройства DPI (Deep Packet Inspection) смогут обнаружить эту разницу. Предположим, у твоего провайдера имеется такое оборудование (что, конечно, очень маловероятно). Что делать в таком случае? В таком случае можно воспользоваться утилитой obfsproxy (
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки
).Хотя и разрабатывается эта утилита командой Тог, она является независимым продуктом и легко конфигурируется для использования вместе с OpenVPN (подробнее здесь: bit.ly/obfsproxySetup).
Принцип действия последней утилиты заключается в оборачивании трафика в новый слой, например в обычные HTTP-пакеты. Таким образом, OpenVPN-трафик может спокойно пройти незамеченным мимо твоего провайдера.
Но бывают устройства DPI покруче, которые могут обнаружить и такой обман. В таком случае можно, как ни странно это звучит, пропускать OpenVPN-трафик через SSL-туннель.
Дополнительный слой шифрования не позволит никакому DPI добраться к OpenVPN-трафику и, соответственно, детектировать его. Для поднятия SSL-туннеля можно воспользоваться утилитой stunnel (
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки
). Подробнее о настройке stunnel можно почитать здесь: bit.ly/stunSetup.Правда, у такого способа есть один минус — из-за дополнительного слоя шифрования скорость передачи снижается.
Источник: По материалам из журнала «Хакер» + добавил кое-чо от себя ! ;)