Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Режим отображения отдельной подветви беседы		[ Отслеживать ]

Определение сеансов OpenVPN в транзитном трафике, opennews (??), 17-Мрт-24, (0) [смотреть все] Дежурное и очевидное напоминание - OpenVPN никогда не задумывался как скрытый , Аноним (1), 11:05 , 17-Мрт-24, (1) +32 // И теперь пожалуйста обьясните, каким образом все описанное в статье сработает ес, OpenEcho (?), 12:43 , 17-Мрт-24, (18) –5 // Это если только ты сможешь начать сеанс вообще и сможешь затем продолжить раб, Аноним (22), 13:10 , 17-Мрт-24, (22) –1 // Да с этим все понятно, я с точки зрения защиты не от ISP, а от рэндомных бобиках, OpenEcho (?), 13:34 , 17-Мрт-24, (29) –1 Много ли софта подымает именно TLS, именно поверх UDP, именно вот так Ну вот и , Аноним (-), 14:32 , 17-Мрт-24, (33) +2 // Ну так оберните в клоаку и будет выглядеть как стандартный котико-смотритель , OpenEcho (?), 14:40 , 17-Мрт-24, (38) Ну тогда и оборачивать туда лучше вайргада, его настраивать в цать раз проще , Аноним (-), 16:55 , 17-Мрт-24, (57) –2 Можно и в него, но у овпн более плюшек на уровне роутинга и т д , OpenEcho (?), 19:22 , 17-Мрт-24, (72) +2 В целом более мерзкая, кривая и интрузивная штука с своим SSL TLS который до нек, Аноним (-), 22:32 , 17-Мрт-24, (75) Все вами перечисленное реализуется на openvpn при необходимости У openvpn по ум, FooType (?), 20:22 , 19-Мрт-24, (91) Только требует в 20 раз больше внимания чтобы не налететь на какой-нибудь гадост, Аноним (-), 02:54 , 20-Мрт-24, (99) –1 gt оверквотинг удален Оказывается, софт надо уметь готовить И не по частным п, aname (?), 12:17 , 21-Мрт-24, (108) Боже, что вы там в OVPN настроить не смогли , aname (?), 19:28 , 17-Мрт-24, (73) +1 Например resume сессии при отвале сессии сотового оператора, ребуте роутера и пр, Аноним (-), 22:34 , 17-Мрт-24, (76) +2 што DDNS никак Тебе скрипты дали, если надо извращаться или ты не способен норма, aname (?), 09:56 , 18-Мрт-24, (84) –1 Ну вот то самое OpenVPN позволяет серваку пушить дохреналион параметров - включ, Аноним (-), 16:40 , 18-Мрт-24, (89) +1 Глупости вы тут понаписали Не путайте ваше неумение работать с сетью и ваше неп, FooType (?), 20:24 , 19-Мрт-24, (92) Я лично согласен с автором вайргада если кто делает впн - такие вещи должны раб, Аноним (-), 03:06 , 20-Мрт-24, (100) А оно и работает по- дефолту, ибо Голимая энтерпрайзятина В Голимой энтерп, aname (?), 11:12 , 21-Мрт-24, (107) Но не заставляет Дефолтный конфиг- дефолтен Я не знаю, может в мире розовых тер, aname (?), 11:04 , 21-Мрт-24, (106) По передаваемым пакетам в начале сессии, а именно по их размерам и количеству Op, qwdqwd (?), 07:57 , 18-Мрт-24, (80) +1 Трафик есть, порт и ip известны Пытаешься подключиться сам - тебе фига Ну если, Товарищ майор (??), 09:00 , 18-Мрт-24, (81) // Японцы примерно так зобанили китаю Windows Update После чего прыть у банщиков р, Аноним (-), 03:08 , 20-Мрт-24, (101) Достаточно проследить первые три пакета сессии, в которых нужно смотреть только , butcher (ok), 11:24 , 19-Мрт-24, (90) +1 Вообще-то все VPN изначально придуманы не для обхода цензуры, а для объединения , Проыыфыс (?), 10:09 , 18-Мрт-24, (85) +1 работает ли это все при прешаред ключах , Аноним (3), 11:24 , 17-Мрт-24, (3) // Одних прешаред ключей мало, надо чтобы еще в обязаловку были сертификаты с обоих, OpenEcho (?), 13:15 , 17-Мрт-24, (24)   // GFW пытается детектить впн по 1 Дофига конектов - 1 хост 2 Вложенные таймин, Аноним (-), 14:36 , 17-Мрт-24, (34)   // 1 на гитхабе где то есть специально генератор эмулирующий походы по интернету, , OpenEcho (?), 14:51 , 17-Мрт-24, (42)   От вон того не поможет от слова вообще Китайцы его рагулярно дурят - но софт у н, Аноним (-), 16:59 , 17-Мрт-24, (58)   Развивая тему GFW Оттуда можно извлечь ещё уроков, которые могут оказаться по, Аноним (-), 15:16 , 17-Мрт-24, (46)   Где гарантия, что младший научный сотрудник, не засланный казачок, который MITM , OpenEcho (?), 15:53 , 17-Мрт-24, (55) +2   Сам создатель GFW на встрече с студентами обошел GFW VPN ом За это его прав, Аноним (-), 17:01 , 17-Мрт-24, (59)   Вот оно потребительское мышление, мысли только о том, как бы потребить, да Если, Аноним (-), 18:59 , 17-Мрт-24, (71)   Это не паранойя, а правильный и грамотный подход к обеспечению безопасности Без, FooType (?), 20:27 , 19-Мрт-24, (93)   Это паранойя Надо различать здоровый страх и паранойю первое нормально и полез, Аноним (-), 19:41 , 21-Мрт-24, (110)   а можно этот 40й конфииг в студию 129300 , Аноним (4), 11:28 , 17-Мрт-24, (4) +12 Нужно что-то новое придумать Чем будет больше малоизученных протоколов - тем сл, Аноним (5), 11:38 , 17-Мрт-24, (5) +3 // SbO Спорненько, но может и сработать, Аноним (4), 13:05 , 17-Мрт-24, (21) Зачем И тем более протоколы Обфускация никогда не была защитой Достаточно все , OpenEcho (?), 13:19 , 17-Мрт-24, (26) // смешались кони, люди что обернуть то в криптографию что значит не блокированно, Аноним (36), 14:39 , 17-Мрт-24, (36) // Протоколы443Протокол имеет свой неповторимый фингерпринт, по которому он может б, OpenEcho (?), 15:01 , 17-Мрт-24, (44) Чем это не обфускация Вопрос остаётся в силе что по-вашему обфускация , Аноним (-), 15:18 , 17-Мрт-24, (47) Протокол, - четко расписанный стандарт, форматОбфускация - нет Это алгоритм сме, OpenEcho (?), 15:34 , 17-Мрт-24, (50) м-даа хорошо а если я на сервак поставлю obfs4а на клиенте openvpn пущу через , Аноним (56), 16:32 , 17-Мрт-24, (56) Гениально, - вот вам список мостов, пользуйтесь оба, и мыши и коты работает ка, OpenEcho (?), 18:51 , 17-Мрт-24, (68) вердикт - учить матчасть, Аноним (74), 19:31 , 17-Мрт-24, (74) +1 Это правильно, учит матчасть И если бы те кому надо учили матчасть, то понимали , FooType (?), 20:34 , 19-Мрт-24, (96) По вашим ответам даже не понятно с чем вы не согласны Интересно услышать ваше оп, Sem (??), 20:06 , 20-Мрт-24, (103) Глупости Они палятся точно так же, как и openvpn, без должного уровня реализаци, FooType (?), 20:31 , 19-Мрт-24, (95) Не так же OpenVPN у меня прекратил работать пару недель назад Wireguard хоть и, Аноним (-), 14:21 , 21-Мрт-24, (109) Достаточно хорошо знать TCP IP, чтобы в подобных случаях просто правильно модифи, FooType (?), 20:30 , 19-Мрт-24, (94) И другие VPN протоколы тоже обнаруживаются легко, использование WireGuard, L2TP , Lui Kang (?), 11:42 , 17-Мрт-24, (6) // https vc ru services 916559, Аноним (8), 11:46 , 17-Мрт-24, (8) +5 // Носки тени так себе приблуда, есть способы маскировки по лучше, Lui Kang (?), 12:15 , 17-Мрт-24, (15) // Способы получше - в студию , OpenEcho (?), 13:21 , 17-Мрт-24, (28) а нет их,акромя обфускации то, Аноним (36), 14:43 , 17-Мрт-24, (40) если в вас работающая логика, то обфускация и ВПН, это как лодка и весло друг д, FooType (?), 20:37 , 19-Мрт-24, (98) VPN уже однозначно лучше носков, если конечно вы понимаете как устроена и работа, FooType (?), 20:36 , 19-Мрт-24, (97) VLESS с XTLS-Vision, можно VLESS с XTLS-Reality Сервер и клиент XRay или Sing-bo, Жук (?), 10:40 , 20-Мрт-24, (102) Пишут, что SS с протоколами 2022 еще не научились детектировать Но есть проблем, Sem (??), 20:13 , 20-Мрт-24, (104) Не заметно покаСмотрел у разных провайдеров, Аноним (36), 14:42 , 17-Мрт-24, (39) // так это просто желание надо бы блокировать до технического решения вроде бы дел, iPony129412 (?), 09:20 , 18-Мрт-24, (82) Это вы РКН расскажите что там правильно а что нет , Аноним (36), 14:40 , 17-Мрт-24, (37) Тем кому надо прятать сам факт использования давно заворачивает в TLS по TCP А , Аноним (12), 12:07 , 17-Мрт-24, (12) –1 // Дипиаю они может и известны Задача этому дипиаю не захлебнуться когда проверяет, Аноним (16), 12:18 , 17-Мрт-24, (16) +1 // Магистральным провайдерам плевать какой идёт трафик, чем его больше - тем больше, Аноним (12), 14:08 , 17-Мрт-24, (31) +1 Те кому нужна приватность итак натягивают свои сети или общаются по радиоканалу , Аноним (16), 12:15 , 17-Мрт-24, (14) –2 // Так они делают законы чтобы ты не использовал свои сети Радиочастоты они глушат , robot228 (?), 12:29 , 17-Мрт-24, (17) +1 // А вот провод соединяющий два ТА, легко перекусить не получится Там такая ста, OpenEcho (?), 12:54 , 17-Мрт-24, (19) // я слышал изобрели кусачки такие ими еще жд плобы перекусывают не а еще болгар, Аноним (36), 14:46 , 17-Мрт-24, (41) Да есть конечно, я про те времена когда еще ТА пользовали, хотя и тогда штык нож, OpenEcho (?), 15:08 , 17-Мрт-24, (45) Группа исследователей, судя по всему, только что вылезла из криокамеры Потому чт, Аноним (23), 13:14 , 17-Мрт-24, (23) +5 // Не надо путать устойчивость теоретическую, криптобезопасниковую, и техническую в, Аноним (25), 13:18 , 17-Мрт-24, (25) –1 // Технические возможности давным-давно продемонстрированы в Китае и в других мест, Аноним (23), 13:19 , 17-Мрт-24, (27) +2 // Ну если за это платят, почему бы нет странно, что китайцы, которые практическ, OpenEcho (?), 14:26 , 17-Мрт-24, (32) Осваивала грант та группа , Bob (??), 15:42 , 17-Мрт-24, (52) и что там является цензуроустойчивым Как только у этого неуловимого джо будет з, Аноним (64), 18:06 , 17-Мрт-24, (64) // В штатах не блочат Там собирают информацию и полицейских посылают на адрес , Аноним (25), 18:31 , 17-Мрт-24, (66) Вы думаете сервисы, которые зависят от клиентов махнут рукой на стабильный трафи, КО (?), 17:36 , 17-Мрт-24, (62) // Не всякий трафик одинаково полезен Кому нужны клиенты, которые в интернет ходит, Аноним (63), 18:06 , 17-Мрт-24, (63) –1 Провайдеры рассуждают примерно так Клиентам и такой сервис сойдет, т к интерн, myster (ok), 18:23 , 17-Мрт-24, (65) +2 // так это обычный бизнес подход , 90 клиентов типа довольны, оставшиеся объявляю, fidoman (ok), 18:49 , 17-Мрт-24, (67) +1 хотя им не проблема включить поддержку Это всегда проблема Нужно оборудование,, Sem (??), 20:21 , 20-Мрт-24, (105) // IPv6 это уже стандарт, без IPv6 услуга не подана полностью, а на тяп-ляп Если т, myster (ok), 15:59 , 24-Мрт-24, (111) Юзайте хотя бы AmneziaWG и будет вам чуть большая иллюзия безопасности , Аноним (78), 23:20 , 17-Мрт-24, (78) Глаза чуть не сломал, пока прочёл Точно более легкочитаемого термина нет , ryoken (ok), 09:42 , 18-Мрт-24, (83) // Великий и могучий говорит - незапутанный, хотя лучше всего подойдет - безхитрост, Sw00p aka Jerom (?), 10:10 , 18-Мрт-24, (86) // Вот так гораздо читабельнее, спасибо , ryoken (ok), 10:33 , 18-Мрт-24, (87) 1,3,4,5,6,12,14,23,62,78,83

Сообщения

[Сортировка по времени | RSS]

	24. "Определение сеансов OpenVPN в транзитном трафике"	+/–
	Сообщение от OpenEcho (?), 17-Мрт-24, 13:15
	Одних прешаред ключей мало, надо чтобы еще в обязаловку были сертификаты с обоих сторон, выданных для обоих, - сервера и клиента со своего собственного СА + UDP + запрет компрессии + оба направления и оба дата/контрол канала аутефицировались прешаред ключом. От не МИТМ защитит, но не от магитрали, на уровне магистрали, ну да, засекут что идет шифрованный трафик, а если еще его обернуть в ХТТПС, то удачи в реверсе потока, тем более в автомате и на магистрали
	Ответить | Правка | Наверх | Cообщить модератору

	34. "Определение сеансов OpenVPN в транзитном трафике"	+/–
	Сообщение от Аноним (-), 17-Мрт-24, 14:36
	> засекут что идет шифрованный трафик, а если еще его обернуть в ХТТПС, то удачи > в реверсе потока, тем более в автомате и на магистрали GFW пытается детектить впн по... 1) Дофига конектов -> 1 хост. 2) Вложенные тайминги, сетап вложенной HTTPS сессии ведет к характерным сочетаниям размеров пакетов vs время. Это в принципе может замечать любой впн или туннель, но не 100% надежно. 3) А потом они чекают работал ли на том порту того айпи сервак такого типа. Если да - айпи в баню на какое-то время. Не навсегда, япы отучили от такого накормив автоцензора айпишниками винапдейта. Из-за этого всего сетевой софт от чайников очень продвинут.
	Ответить | Правка | Наверх | Cообщить модератору

	42. "Определение сеансов OpenVPN в транзитном трафике"	+/–
	Сообщение от OpenEcho (?), 17-Мрт-24, 14:51
	1. на гитхабе где то есть специально генератор эмулирующий походы по интернету, сбивая таргетированную рекламу на нет + генерирует кучу мусора, - ну как правда обычный юзер 2. Этот да, серьёзный зверь, но варианты тоже есть, как добавить сольку чтоб выглядело "как положенно" 3. Если резать на уровне магистрали, реально нет 100% надежных решений. Мой первый пост не про это, а про тех кто вне ISP.
	Ответить | Правка | Наверх | Cообщить модератору

	58. "Определение сеансов OpenVPN в транзитном трафике"	+/–
	Сообщение от Аноним (-), 17-Мрт-24, 16:59
	> 1. на гитхабе где то есть специально генератор эмулирующий походы по интернету, От вон того не поможет от слова вообще. > 2. Этот да, серьёзный зверь, но варианты тоже есть, как добавить сольку > чтоб выглядело "как положенно" Китайцы его рагулярно дурят - но софт у них продвинутый. Вплоть до multipath конструкций. Умеющих порой еще и избыточность. Так и тайминги, и тормоза, и даже потери пакетов относительно пофиг. > 3. Если резать на уровне магистрали, реально нет 100% надежных решений. Мой > первый пост не про это, а про тех кто вне ISP. Ну вон китайцы таки придумали немало интересных вещиц. Против своего GFW который даже хуже магистрали - он на выходе из китайнета фильтрует. И цензоряет все что не китайнет по энным рулесам и аналитике, включая и давление впнов, по крайней мере - популярных серваков.
	Ответить | Правка | Наверх | Cообщить модератору

	46. "Определение сеансов OpenVPN в транзитном трафике"	+/–
	Сообщение от Аноним (-), 17-Мрт-24, 15:16
	Развивая тему GFW... Оттуда можно извлечь ещё уроков, которые могут оказаться полезными не только там. Неофициальная политика КПК -- нефильтрованный доступ к интернету для академии. Официально нельзя всем, но неофициально... Преподы студентам первых курсов рекомендуют обратиться к студентам старших курсов за инструкциями, как получить доступ к гуглу без которого первокурам не удастся выполнять задания преподов. Один из вариантов таких дыр через GFW -- предприимчивый младший научный сотрудник, который держит vps и продаёт доступ тем, кто его смог найти по знакомству. Предположу, что если он попытается скалировать бизнес и набрать сотни клиентов, или если он ещё каким-то образом начнёт досаждать КПК, то его загребут, но пока он совесть имеет и держит масштабы поменьше, его терпят, но это уже мои умозрительные предположения. Какой там софт он использует -- я не знаю, все факты я подчерпнул из статьи американского профессора работавшего в китайском вузе, и тот хоть и общался с таким локальным "впн-провайдером" вживую, но будучи гуманитарием про софт не спросил.
	Ответить | Правка | К родителю #34 | Наверх | Cообщить модератору

	55. "Определение сеансов OpenVPN в транзитном трафике"	+2 +/–
	Сообщение от OpenEcho (?), 17-Мрт-24, 15:53
	Где гарантия, что младший научный сотрудник, не засланный казачок, который MITM проданный трафик и выявляет не угодных :)
	Ответить | Правка | Наверх | Cообщить модератору

	59. "Определение сеансов OpenVPN в транзитном трафике"	+/–
	Сообщение от Аноним (-), 17-Мрт-24, 17:01
	> Где гарантия, что младший научный сотрудник, не засланный казачок, который MITM проданный > трафик и выявляет не угодных :) Сам создатель GFW на встрече с студентами.... обошел GFW VPN'ом. За это его правда презрительно закидали ботинками (в восточном мире кинуть ботинок - высшая форма презрения к адресату). Ну вот такой вот зас(л,р)анец. Сам нагадил, сам обошел. Рекордсмен двойных стандартов.
	Ответить | Правка | Наверх | Cообщить модератору

	71. "Определение сеансов OpenVPN в транзитном трафике"	+/–
	Сообщение от Аноним (-), 17-Мрт-24, 18:59
	Вот оно потребительское мышление, мысли только о том, как бы потребить, да? Если у тебя такая паранойя, ты сам можешь стать этим младшим научным сотрудником и продавать другим доступ к vpn, многократно окупая стоимость vpsки. Или если совсем уж парализующая паранойя одолела, то не продавать и честно оплачивать vps из своего кармана.
	Ответить | Правка | К родителю #55 | Наверх | Cообщить модератору

	93. "Определение сеансов OpenVPN в транзитном трафике"	+/–
	Сообщение от FooType (?), 19-Мрт-24, 20:27
	Это не паранойя, а правильный и грамотный подход к обеспечению безопасности. Безграмотность-это делать наоборот, думать что такого не бывает.
	Ответить | Правка | Наверх | Cообщить модератору

	110. "Определение сеансов OpenVPN в транзитном трафике"	+/–
	Сообщение от Аноним (-), 21-Мрт-24, 19:41
	Это паранойя. Надо различать здоровый страх и паранойю: первое нормально и полезно, второе же нарушает мышление. Мы видим выше именно нарушение мышления, у чувака очко жимкнуло, что младший научный сотрудник может быть агентом ЦРУ, и мозги у него на этом этапе отключились. Если ты присмотришься, то ты увидишь, что я не предлагал покупать услуги этого сотрудника, я никаких советов вовсе не давал, я привёл этот интересный факт как точку данных позволяющую дальнейшие умозаключения. Но у него, и мне кажется что у тебя тоже, страх такого уровня, что переклинивает мозги и думать уже не получается, остаётся способность только очевидные любому банальности озвучивать. И это как раз паранойя. Таблетки пить надо, потому что парализующая мысли паранойя контрпродуктивна задаче обеспечения безопасности, которая требует активного мышления.
	Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема