LINUX.ORG.RU

Туннели которые прикидываются http/imap/ftp

 , ,


0

1

Всем привет. Лорчую из Минска, у нас после выборов сделали dpi фильтр на интернет (уже все ок), так что встал вопрос о туннелях, которые мимикрируют под обычные tcp протоколы : imap, smtp, http, ftp и так далее.

Сразу скажу что не работало :
- udp туннели вообще все
- obfs и всякое левое непонятное tcp
- openvpn/tcp даже через ssh
- socks

Работало :
- ssh и tls, но не на всех провайдерах
- ping (не точно)
- http точно , возможно websockets
- dns (не точно)

Соответственно можно было только сидеть комфортно через туннель, который имитировал http обмен данными. Например gost, chisel.

Влазить в dns, icmp туннели не хочется, потому что они менее производительные.

В данном топике хочу спросить, может кто знает, есть ли туннели, которые имитируют imap, ftp, smtp?
Например, есть точно туннель, который имитирует Facebook messenger, но это tls, а его может не быть.

★★★★★
Ответ на: комментарий от Bers666

ну тут за что купил — за то продаю, сам я айтиротную заглушку не застал. может и ругался

vedowi6419
()
Ответ на: комментарий от Scondo

Для того, чтобы сделать MITM SSL надо иметь (иметь возможность выпустить) закрытый ключ сертификата для сервера. Это то, что собирались делать в Казахстане, но у них не получилось.

Иметь закрытый ключ трушного сертификата необязательно, если у тебя не стоит в браузере плагин для залочки по отпечаткам сертов, а возможность выпуска обусловлена только внедрением своего CA в общую цепочку доверенных сертификатов?

Так что если не страдать паранойей в духе «все власти в сговоре и имеют доступ к закрытым ключам корневых сертификатов» - они таки не могут MITM SSL.

А разве они не в сговоре?

anonymous
()
Ответ на: комментарий от anonymous

ipfs://linux.org.ru

В твоей теории есть одно слабое место:

1 Автоматически плодить сервера

Сервера пока будут сервера будет кого банить, кого ломать и админ сервера, за которым товарищ майор будет бегать с паяльником и требовать ключи с паролями.

IPFS. Нормальные бровзеры и сайты уже ее поддерживают изкаробки. А ваш?

И злобный модератор никогда уже не потрет пост за нацпол.

anonymous
()
Ответ на: комментарий от anonymous

внедрением своего CA в общую цепочку доверенных сертификатов Да, именно это пытались сделать в КЗ и обломались.

А разве они не в сговоре? Пока всё говорит что нет. Я не могу опровергнуть вашу паранойю, но её ничто не может опровергнуть в этом смысле…

Scondo
()
Ответ на: ipfs://linux.org.ru от anonymous

Тоже была мысль про распределенность для обмена адресами через ZeroNet, какие-нибудь криптомонеты (не по назначению) или тупо Bittorrent.

anonymous
()
Ответ на: комментарий от anonymous

Как варик персонифицировать сервера и банить подписки, которые многократно оказываются в фильтрах? Но ведь они могут быть невиноватые, таргетированные атаки на них никто не отменял однако.

anonymous
()
Ответ на: комментарий от Scondo

Осторожно HTTPS !!!

они таки не могут MITM SSL.

А ты таки наивный. В https стандарты заложили трояна чтобы иметь возможность смотреть кто где шарится: Почему корневые сертификаты спасают от MITM атаки? (комментарий)

https://www.opennet.ru/opennews/art.shtml?num=53520 возможно TLS 1.3 + TLS-расширение ESNI уже сложннее расшифровать пока не смотрел...

DPI наверно этот используют: Ndpi https://www.opennet.ru/opennews/art.shtml?num=52097 https://www.opennet.ru/prog/info/3752.shtml

Наработки противодействия есть: https://www.opennet.ru/opennews/art.shtml?num=52249

ЗЫ: юзайте ipfs и забудьте наконец о цензуре, банах и модераторах удаляющих контент!

anonymous
()
Ответ на: комментарий от anonymous

А вообще можно ведь сделать максимальную персонификацию сети гейтов, автоматически рандомно развернутой на бесплатных хостингах, для каждой подписки персонально.

И тогда Васе будет фиолетово, как часто банят Петю.

anonymous
()
Ответ на: комментарий от anonymous

Не надо никаких хостинга и ничего развертывать. Бровзеры с поддержкой ipfs://... и все. В url ipfs заложены даже контрольные суммы и оно автоматом проверяет целостность каждой скачаной страница. Контент оседает в кеше и каждый клиент автоматом стает сервером раздающие контент. И побоку DPI на границе, контент Вася скачает на огромной скорости с компа Вовы в соседнем подъезде.

Любая временная дыра в DPI будет синхронизировать контент между странами. IPFS рассчитана на ооочень плохую связь, она разрабатывается для межпланетарного интернета будущего, когда контент разделится на Земной и Марсианский. Она работает даже в онлайне, можно контент, при полном отключении границы привести на дисках и залить в сеть страны. Забанить или цензурировать невозможно.

anonymous
()
Ответ на: комментарий от anonymous

Прошу всех ответственно относится к вашему контенту в IPFS. Все что вы залили в IPFS сегодня останется в ней навечно, без возможности изменить первичную версию, без возможности ограничить доступ и в будущем улетит с Земли на другие планеты.

anonymous
()
Ответ на: комментарий от anonymous

А чем IPFS лучше, чем другие варианты распределенных хранилищ:

Peer network node data stores

    BitTorrent
    Blockchain (database)
    Chord project
    Freenet
    GNUnet
    IPFS
    Mnet
    Napster
    NNTP (the distributed data storage protocol used for Usenet news)
    Unity, of the software Perfect Dark
    Share
    Storage@home
    STORJ
    Tahoe-LAFS
    Winny
    ZeroNet

https://en.wikipedia.org/wiki/Distributed_data_store

anonymous
()

А через ssh socks поднять пробовал?

Shadow ★★★★★
()
Ответ на: комментарий от sergej

Интересно, они 25 считают? Его тогда можно как тормозной гейт использовать.

Shadow ★★★★★
()
Ответ на: комментарий от anonymous

и в будущем улетит с Земли на другие планеты.

Вот это вряд ли, оно даже nat пробить не в состоянии.

Все что вы залили в IPFS сегодня останется в ней навечно

До первого забития кэшей оно останется. Никакого залития нет, всё «залитие» — это просто закладка в локальное хранилище.

anonymous
()
Ответ на: комментарий от anonymous

IPFS рассчитана на ооочень плохую связь

И именно поэтому я не могу соединить два узла пассивно и через netcat.

anonymous
()
Ответ на: Осторожно HTTPS !!! от anonymous

ЗЫ: юзайте ipfs и забудьте наконец о цензуре, банах и модераторах удаляющих контент!

Кроме тех случаев, когда всё-таки бан сделали сверху или начали отслеживать тех, кто держит контент:

https://github.com/ipfs-inactive/faq/issues/176

resolve Resolve any type of name

anonymous
()
Ответ на: комментарий от anonymous

И побоку DPI на границе, контент Вася скачает на огромной скорости с компа Вовы в соседнем подъезде.

Осталось понять, почему в соседнем подъезде лежит контент и почему Вова не говорит всем про свой контент одинаково, включая курсанток МВД из третьего подъезда.

anonymous
()
Ответ на: комментарий от anonymous

Забанить или цензурировать невозможно.

ipfs swarm addrs - List known addresses. Useful for debugging.

anonymous
()
Ответ на: ipfs://linux.org.ru от anonymous

пока будут сервера

В P2P-модели сервер — это ты.

anonymous
()

есть ли туннели

Предлагаю ознакомиться с apt-cache. При отсутствии искомого можно поиграть с expect, netcat в режиме слушателя и найти файлик tuntap.txt в документации на Linux.

anonymous
()
Ответ на: комментарий от anonymous

Ну немножко по верхам: BitTorrent - при включённом DHT очень похож на IPFS но механизм адресации привязан к «раздаваемой папке», более ограничен в вариантах протоколов.

Freenet - больше рассчитан на анонимность, файлы при публикации принудительно передаются на некоторые компьютеры сети в результате крайне сложно отследить источник. Также компьютеры хостят случайный контент, а не просто тот, что скачивали. При этом контент зашифрован до скачивания - нельзя определить куски чего лежат у тебя на компьютере.

Napster - раннее поколение распределённых хранилищ, полагается на сервер для координации.

ZeroNet - обёртка над торрентом.

P.S. Ах да, онтопик: в IPFS есть механизм создания туннелей в духе ssh. В большинстве остальных этого нет.

Scondo
()
Последнее исправление: Scondo (всего исправлений: 1)
Ответ на: комментарий от Scondo

раздаваемой папке

папке

Отучайся, пожалуйста.

anonymous
()
Ответ на: комментарий от Scondo

При этом контент зашифрован до скачивания - нельзя определить куски чего лежат у тебя на компьютере.

Кроме как брутфорсом (скачиванием), так и спалили одного педобира. Отключили ему сеть наружу и перебирали до победного.

в IPFS есть механизм создания туннелей в духе ssh

Это где?

anonymous
()
Ответ на: комментарий от anonymous

Это где?

ipfs config --bool Experimental.Libp2pStreamMounting true

ipfs p2p listen
ipfs p2p forward

https://github.com/ipfs/go-ipfs/issues/3994

Кроме как брутфорсом (скачиванием), так и спалили одного педобира.

Поскольку компьютер может скачивать участки в рамках протокола без действий пользователя - при этом сложно обвинить в скачивании и тем более в создании. А вот обнаружить кто качает педофилию - да, можно. Что в целом не рассматривается как уязвимость: цель Фринета скрывать источники, а не скачивающих.

Scondo
()
Последнее исправление: Scondo (всего исправлений: 1)
Ответ на: комментарий от anonymous

Предлагаю ознакомиться с apt-cache.

Ну ознакомься для меня, если не трудно.

При отсутствии искомого можно поиграть с expect, netcat в режиме слушателя и найти файлик tuntap.txt в документации на Linux.

Ты ОП-пост читал? Сказано же, левое TCP не пропускало. Нужен *настоящий валидный* протокол который добавлен там у них в DPI в белый список а не *кастомное TCP-нечто*.

Bers666 ★★★★★
() автор топика
Ответ на: комментарий от anonymous

https://web.archive.org/web/20200901104134/https://www.cnews.ru/news/top/2020...

Власти Белоруссии отключали интернет по всей стране на время выборов президента страны. Этот факт подтвердило издание Bloomberg – по мнению его экспертов, для этого применялось «железо», разработанное в США.

Речь идет об оборудовании для работы технологии Deep Packet Inspection (DPI) американской компании Sandvine. DPI применяется для фильтрации сетевого трафика и считается более эффективной на фоне обычных брандмауэров (файрволлов). Это достигается за счет того, что DPI проверяет и заголовки пакетов данных, и полное их содержимое.

Власти Белоруссии закупили оборудование Sandvine, по информации BBC, в 2018 г. в рамках контракта на $2,5 млн. В своей заявке на приобретение «железа» они заявили, что им требуется помощь по борьбе с нарушениями, связанными с онлайн-активностью.

http://nosql.ru/forum/topic.php?fid=3&tid=35147&gotomsg=1518010

anonymous
()
Ответ на: комментарий от anonymous

начали отслеживать тех, кто держит контент:

Так в этом и дело что контент лежит не на серваках, а на компах всех пользователей. Чтобы забанить контент товарищу майору надо забанить ВСЕХ пользователей которые этот контент имеют.

anonymous
()
Ответ на: комментарий от anonymous

Осталось понять, почему в соседнем подъезде лежит контент и почему Вова не говорит всем про свой контент одинаково, включая курсанток МВД из третьего подъезда.

Вова скачал раньше Васи.

Товарищ майор с третьего подъезда тоже может скачать контент, если он ему интересен.

anonymous
()
Ответ на: комментарий от anonymous

Ipfs не про анонимность.

ipfs://... поддерживается УЖЕ некоторыми, правильными, бровзерами из каробки, как http, https, ftp. Это значительно снижает порог вхождения и расширяет круг пользователей. Просто в html страничке пользователь тыкает на ссылку ipfs://... и бровзер абсолютно прозрачно грузит, показывает и раздает страницу с ipfs.

anonymous
()
Ответ на: комментарий от anonymous

по мнению его экспертов, для этого применялось «железо», разработанное в США.

Железо понятно, что не Белорусское. Все железо разрабатывается в США, а производится в Китае.

Власти Белоруссии закупили оборудование Sandvine, по информации BBC, в 2018 г. в рамках контракта на $2,5 млн.

Могли бы уже в КГБ отдельчик создать и свой DPI замутить на базе: https://www.ntop.org/products/deep-packet-inspection/ndpi/ ,а сэкономленные миллионы долларов выплатить как премию омону.

anonymous
()
Ответ на: комментарий от anonymous

Никак не мог понять, для чего же все таки нужен Terraform и Kubernetes, пока не увидел вашу ветку, теперь хоть буду знать :)

anonymous
()
Ответ на: комментарий от anonymous

Попробуй обмануть DPI, фрагментируя пакеты ;
https://github.com/bol-van/zapret

вот это тема! типичное поделие русского хакера, работает отлично, полно вариантов. Разблокировал пару оппо-сайтов безо всяких впнов ( Беларусь ).

Bers666 ★★★★★
() автор топика
Ответ на: комментарий от unstable-case

бесплатно

они ещё и футболку с разными надписями про ipv6 присылают, если настроишь всё правильно.

sergej ★★★★★
()
Ответ на: комментарий от Bers666

Получилось запихать BrainFuck_PsiphonGO (Alpine 32 bit) и Telegram (Devuan Chimaera 32 bit + IceWM) в отдельные докер контейнеры внутри KVM виртуалки Devuan Bewulf 32 bit. И даже удалось собрать поддержку ZFS. Можно использовать на древних 32битных компах 686 с меньшим количеством зондов, чем у современных. Все это добро отъедает меньше гига оперативки:


root@beowulf:~# pstree
init─┬─agetty
     ├─cron
     ├─dhclient
     ├─dockerd─┬─docker-containe─┬─docker-containe─┬─starter.sh─┬─bash───bash
     │         │                 │                 │            ├─redsocks
     │         │                 │                 │            └─screen───starter─┬─psiphon-tunnel-───7*[{psiphon-tunnel-}]
     │         │                 │                 │                               ├─3*[psiphon-tunnel-───8*[{psiphon-tunnel-}]]
     │         │                 │                 │                               └─14*[{starter}]
     │         │                 │                 └─10*[{docker-containe}]
     │         │                 ├─docker-containe─┬─bash─┬─Xtigervnc───4*[{Xtigervnc}]
     │         │                 │                 │      ├─at-spi-bus-laun─┬─dbus-daemon
     │         │                 │                 │      │                 └─3*[{at-spi-bus-laun}]
     │         │                 │                 │      ├─at-spi2-registr───2*[{at-spi2-registr}]
     │         │                 │                 │      ├─dbus-daemon
     │         │                 │                 │      ├─dbus-launch
     │         │                 │                 │      └─vncserver───Xvnc-session─┬─vncconfig
     │         │                 │                 │                                 └─x-session-manag─┬─icewm───xterm───bash───telegram-deskto───21*[{telegram-deskto}]
     │         │                 │                 │                                                   └─icewmbg
     │         │                 │                 └─9*[{docker-containe}]                                                                                                    
     │         │                 └─13*[{docker-containe}]                                                                                                                     
     │         ├─3*[docker-proxy───6*[{docker-proxy}]]                                                                                                                        
     │         └─16*[{dockerd}]                                                                                                                                               
     ├─6*[getty]                                                                                                                                                              
     ├─sshd─┬─sshd───bash───pstree                                                                                                                                            
     │      └─2*[sshd───bash───bash───docker───8*[{docker}]]                                                                                                                  
     └─udevd                                                                                                                                                                  
root@beowulf:~# free
              total        used        free      shared  buff/cache   available
Mem:        1024672      439976       92616        8192      492080      446572
Swap:             0           0           0
root@beowulf:~# modinfo zfs | head
filename:       /lib/modules/5.7.0-0.bpo.2-686-pae/extra/zfs/zfs/zfs.ko
version:        0.8.4-2~bpo10+1
license:        CDDL
author:         OpenZFS on Linux
description:    ZFS
alias:          devname:zfs
alias:          char-major-10-249
srcversion:     09E8B8381184D7F026F2687
depends:        spl,znvpair,icp,zlua,zunicode,zcommon,zavl
retpoline:      Y


anonymous
()
Ответ на: комментарий от anonymous

Таргетированно поблочили мне сифон, не знаю только для моего исходящего IP или всем. Прям бесят уже нереально они меня, никакого зла не хватает. Вот специально сделаю эту прогу максимально доступной для всех, чтобы эти паразиты больше никогда никого не блокировали.

Пожалуйста, предлагайте способы для разблокировки, хочу сделать бесплатную программу на шарпе для рулежки разблокировкой proprietary или даже open source.

Пока такие идеи по автоматике:

1) Подбор паблик прокси (зенкой, aparser и т.п.) и переключение в proxychains для psiphon и подобных программ
2) Развертывание своего psiphon в Linode и потом в других хостингах через Teraform, + аналогично SSH+OBFS, проверить со смарткартами в т.ч. Nitrokey - будет также?
3) Замена IP адреса VM (удаление и создание нового IP адреса в облачном VPS)
Управление микросервисом по SSH (со смарт картой)+OBFS+public proxy 

Т.е. смысл такой, что зарубежом в виртуалке будет крутиться скриптик, который будет принимать короткие простые команды по SSH+OBFS+ключи_на_смарткарте+паблик_прокси.

В свою очередь этот скриптик будет сам развертывать новые ноды для Docker, контейнеры, менять у них айпи адреса, сообщать текущее состояние. И локальный скриптик, который при возможности будет дергать удаленный или легко перенастраиваться вручную.

Вероятно, раз поблочили наглухо, что соединение вообще не устанавливается, то это тупо блокировка по IP?

Предлагайте ваши идеи, фичи и т.п., надеюсь плотно заняться этим через месяц.

anonymous
()
Ответ на: комментарий от anonymous

Потом это можно будет оформить в Kubernetes кластер, у всех будут свои персональные ноды, мало того туннели до персональных нод можно объединять в бондинги и тогда искусственное ограничение скорости будет малоэффективным.

Вообще с моей точки зрения, ограничение доступа в интернет - это серьезное нарушение прав человека, такие нарушения прав человека нужно пресекать максимально эффективно с помощью самых современных средств и технологий.

Если же они: https://habr.com/ru/company/itsumma/blog/521316/ хотят бороться с экстремизмом, то в первую очередь они должны давать людям достаточно образования и знаний, чтобы люди могли взвешивать происходящее всесторонне, а не однобоко. Для этого нужно наоборот максимально открывать каналы связи, но проводить достаточно эффективную разъяснительную компанию по тому, что такое хорошо и что такое плохо, а не тупо поголовно блокировать все подряд.

anonymous
()
Ответ на: комментарий от anonymous

Чем пытаться заблокировать неблокируемое, не проще ли создать некое сообщество доверенных сайтов, куда вход осуществляется по ЭЦП токену, а лучше по УЭК.

Так же как к себе домой вы заходите, открывая дверь ключом, и закрываете ее на ключ, чтобы там не было насрано невесть кем.

anonymous
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.