Ломаем DPI


X-Shar

:)
Администрация
Регистрация
03.06.2012
Сообщения
6 165
Репутация
8 295
Всем привет, многие из Вас наверное слышали про такое самое мега крутое оборудование, которое может лочить неугодные сайты, причём эта штука реально крутая, что даже лочит OpenVPN, короче не вздохнуть не пёрнуть !

Наверное многие уже догадались, тадам речь идёт о DPI (Deep Packet Inspection) ! ;)
В общем давайте в этой теме порасcуждаем, как обойти этот DPI и так-ли он страшен на самом деле !

Для начала немного теории:

Наиболее простой способ обнаружения и блокировки OpenVPN-трафика — мониторинг файрволом стандартных OpenVPN-портов и их блокировка. Чаще всего блокируется 1194-й UDP-порт. Бороться с такого рода блокировками несложно. Обычно помогает конфигурация OpenVPN на использование 443-го порта, зашифрованный трафик на котором не должен вызывать ни у кого никаких подозрений — на нем работает HTTPS.

Да и кроме того, OpenVPN, как и HTTPS, использует SSL-шифрование, поэтому отличить HTTPS-и OpenVPN-трафик на 443-м порту очень сложно.

Но к сожалению, SSL-шифрование в OpenVPN немного отличается от того, что используется в HTTPS, и поэтому крутые устройства DPI (Deep Packet Inspection) смогут обнаружить эту разницу. Предположим, у твоего провайдера имеется такое оборудование (что, конечно, очень маловероятно). Что делать в таком случае? В таком случае можно воспользоваться утилитой obfsproxy ( ).

Хотя и разрабатывается эта утилита командой Тог, она является независимым продуктом и легко конфигурируется для использования вместе с OpenVPN (подробнее здесь: bit.ly/obfsproxySetup).

Принцип действия последней утилиты заключается в оборачивании трафика в новый слой, например в обычные HTTP-пакеты. Таким образом, OpenVPN-трафик может спокойно пройти незамеченным мимо твоего провайдера.

Но бывают устройства DPI покруче, которые могут обнаружить и такой обман. В таком случае можно, как ни странно это звучит, пропускать OpenVPN-трафик через SSL-туннель.

Дополнительный слой шифрования не позволит никакому DPI добраться к OpenVPN-трафику и, соответственно, детектировать его. Для поднятия SSL-туннеля можно воспользоваться утилитой stunnel ( ). Подробнее о настройке stunnel можно почитать здесь: bit.ly/stunSetup.

Правда, у такого способа есть один минус — из-за дополнительного слоя шифрования скорость передачи снижается.

Источник: По материалам из журнала «Хакер» + добавил кое-чо от себя ! ;)
 

Антоха

Уважаемый пользователь
Форумчанин
Регистрация
26.12.2012
Сообщения
2 780
Репутация
4 652
Наиболее простой способ обнаружения и блокировки OpenVPN-трафика — мониторинг файрволом стандартных OpenVPN-портов и их блокировка.
А ты можешь блокировать,например меня,если я спомощью OpenVPN лажу к тебе на сайт?Или я что-то не так понял?
 

X-Shar

:)
Администрация
Регистрация
03.06.2012
Сообщения
6 165
Репутация
8 295
А ты можешь блокировать,например меня,если я спомощью OpenVPN лажу к тебе на сайт?Или я что-то не так понял?
Могу, но нафиг мне это нужно, я не лочу не VPN не прокси !sm3888

Но в статье говорится больше про провайдеров, которые блокируют сайты по антипиратскому закону !WinkSmile
 

Антоха

Уважаемый пользователь
Форумчанин
Регистрация
26.12.2012
Сообщения
2 780
Репутация
4 652
Но в статье говорится больше про провайдеров
Как нае..ть провайдера придумают ещё тысячу и один способ.А ты можешь в реальном времени наблюдать кто пользует какую-нибудь технологию сокрытия своего IP и заходит к тебе на форум?
 

X-Shar

:)
Администрация
Регистрация
03.06.2012
Сообщения
6 165
Репутация
8 295
А ты можешь в реальном времени наблюдать кто пользует какую-нибудь технологию сокрытия своего IP и заходит к тебе на форум?
Ну у меня есть диапазон айпишников всех пользователей + если посмотреть логи сервера, можно во первых полностью посмотреть кто что делал, полезно кстати в определении кто пытается хакнуть, либо ддосить !sm3888

Ну и по айпишнику можно уже определить провайдера того-же VPN например, вот у HIDEME свой диапозон айпишников, у других провайдеров так-же...

И ещё здесь этого нет, но есть технология "Следящие куки", могут идентифицировать тебя даже после очистки истории браузера, глубоко так внедряются в систему, что хрен удалишь !Отдыхай!!!
 

Антоха

Уважаемый пользователь
Форумчанин
Регистрация
26.12.2012
Сообщения
2 780
Репутация
4 652
Ну у меня есть диапазон айпишников всех пользователей
Ну диапазон он и есть диапазон,по нему ты можешь лишь определить,максимум, город откуда тебя атаковали(при условии,что он не использует средств сокрытия своего адреса,ну или же того же "дедика").А вычислить индивидуума-это уже из области технологий спецслужб.
 
B

BioNIX

Гость
X-Shar, Ха это камень в мой огород полетел, вчера лазил по различным ресурсам и менял VPN в Hola и страница часто перезагружалась и часто надо было входить в логин и пароль из-за смены VPNDmeh-Smeh-Smeh!!! и ты посмотрел это в логах и пришла в голову такая идеяwink1
ЗЫ: Да и прокси использовал различных стран.Dmeh-Smeh-Smeh!!!
 

X-Shar

:)
Администрация
Регистрация
03.06.2012
Сообщения
6 165
Репутация
8 295

Антоха

Уважаемый пользователь
Форумчанин
Регистрация
26.12.2012
Сообщения
2 780
Репутация
4 652
Ну по этому я особо и не парюсь с этим, а вообще ддосы отражает больше тех. поддержка хостера нежели я что-то делаю !Dmeh-Smeh-Smeh!!! sm3888
Ну ддоссы тоже разные бывают.Сейчас на ресурсе,нашего старого друга,обосновалась группировка, проффесионально занимающаяся этим видом услуг.Они ходят по разным хак-ресурсам и собирают рекомендации от администрации этих сайтов (там можно воспользоваться тест-ддосом) и тут же станоятся ,типа официальным поставщиком такой услуги.Серьёзные по ходу ребятки,но и цены у них серьёзные.Таким под раздачу не желтельно попадать.
 
B

BioNIX

Гость
Ну ддоссы тоже разные бывают.Сейчас на ресурсе,нашего старого друга,обосновалась группировка, проффесионально занимающаяся этим видом услуг.Они ходят сейчас по разным хак-ресурсам и собирают рекомендации от администрации этих сайтов и тут же станоятся ,типа официальным поставщиком такой услуги.Серьёзные по ходу ребятки,но и цены у них серьёзные.Таким под раздачу не желтельно попадать.
Это не надолго будет. Если такие люди уже светанулись с услугами их скоренько прикроют
 
Верх Низ