The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Определение сеансов OpenVPN в транзитном трафике

17.03.2024 10:36

Группа исследователей из Мичиганского университета опубликовала результаты исследования возможности идентификации (VPN Fingerprinting) соединений к серверам на базе OpenVPN при мониторинге транзитного трафика. В итоге было выявлено три способа идентификации протокола OpenVPN среди других сетевых пакетов, которые могут использоваться в системах инспектирования трафика для блокирования виртуальных сетей на базе OpenVPN.

Тестирование предложенных методов в сети интернет-провайдера Merit, насчитывающего более миллиона пользователей, показало возможность идентификации 85% OpenVPN-сеансов при незначительном уровне ложных срабатываний. Для проверки был подготовлен инструментарий, который вначале в пассивном режиме на лету определял трафик OpenVPN, а затем удостоверяется в корректности результата через активную проверку сервера. На созданный исследователями анализатор был отзеркалирован поток трафика, интенсивностью примерно 20 Gbps.

В ходе эксперимента анализатор смог успешно определить 1718 из 2000 тестовых OpenVPN-соединений, установленных подставным клиентом, на котором было использовано 40 различных типовых конфигураций OpenVPN (метод успешно сработал для 39 из 40 конфигураций). Кроме того, за восемь дней проведения эксперимента в транзитном трафике было выявлено 3638 сеансов OpenVPN, из которых было подтверждено 3245 сеанса. Отмечается, что верхняя граница ложных срабатываний в предложенном методе на три порядка ниже, чем в ранее предлагавшихся методах, основанных на применении машинного обучения.

Отдельно была оценена работа методов защиты от отслеживания трафика OpenVPN в коммерческих сервисах - из 41 протестированного VPN-сервиса, использующего методы скрытия трафика OpenVPN, трафик удалось идентифицировать в 34 случаях. Сервисы, которые не удалось обнаружить, помимо OpenVPN использовали дополнительные слои для скрытия трафика (например, пробрасывание OpenVPN-трафика через дополнительный шифрованный туннель). В большинстве успешно определённых сервисов использовалось искажение трафика при помощи операции XOR, дополнительные слои обфускации без должного случайного дополнения трафика или наличие необфусцированных OpenVPN-служб на том же сервере.

Задействованные способы идентификации основываются на привязке к специфичным для OpenVPN шаблонам в незашифрованных заголовках пакетов, размеру ACK-пакетов и ответам сервера. В первом случае, в качестве объекта для идентификации на стадии согласования соединения может использоваться привязка к полю "opcode" в заголовке пакетов, которое принимает фиксированный диапазон значений и определённым образом меняется в зависимости от стадии установки соединения. Идентификация сводится в выявлению определённой последовательности изменения opcode в первых N-пакетах потока.

Второй способ основывается на том, что ACK-пакеты применяются в OpenVPN только на стадии согласования соединения и при этом имеют специфичный размер. Идентификация основывается на том, что ACK-пакеты заданного размера встречаются только в определённых частях сеанса (например, при использовании OpenVPN первый ACK-пакет обычно является третьим пакетом с данными, переданным в сеансе).

Третий метод является активной проверкой и обусловлен тем, что в ответ на запрос сброса соединения сервер OpenVPN отправляет определённый RST-пакет (проверка не работает при использовании режима "tls-auth" так как OpenVPN-сервер при нём игнорирует запросы от клиентов, не аутентифицированных через TLS).



  1. Главная ссылка к новости (https://news.ycombinator.com/i...)
  2. OpenNews: Доступен OpenVPN 2.6.0
  3. OpenNews: Уязвимости в OpenVPN и SoftEther VPN
  4. OpenNews: Уязвимость, позволяющая вклиниваться в TCP-соединения, осуществляемые через VPN-туннели
  5. OpenNews: NordVPN открыл код Linux-клиента и библиотек с реализацией MeshNet
  6. OpenNews: Серия атак TunnelCrack, направленных на перехват трафика VPN
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/60795-openvpn
Ключевые слова: openvpn, dpi, fingerprint
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (88) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (1), 11:05, 17/03/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +32 +/
    Дежурное и очевидное напоминание - OpenVPN никогда не задумывался как "скрытый" и цензуро-устойчивый. Это уже работа для других протоколов.
     
     
  • 2.18, OpenEcho (?), 12:43, 17/03/2024 [^] [^^] [^^^] [ответить]  
  • –5 +/
    И теперь пожалуйста обьясните, каким образом все описанное в статье сработает если изпользовать только ЮДП, нa не нестандартном порту, требовать прешаред ключ, - для обоих направлений и обязательно применяемый для обоих - дата и контрол каналов?

    Нет ключа - нет никакого ответа, сканируйте дальше и гадайте то ли это опенвпн, то ли что-то еще не известное

     
     
  • 3.22, Аноним (22), 13:10, 17/03/2024 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Это если только ты сможешь начать сеанс вообще... и сможешь затем продолжить работать по UDP
     
     
  • 4.29, OpenEcho (?), 13:34, 17/03/2024 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Да с этим все понятно, я с точки зрения защиты не от ISP, а от рэндомных бобиках с интернета.
    На уровне магистрали, понятно, что если все только по белому списку, а все остальное в трэш, то там ловить нечего, даже если просто пустить поток рандомного трафика, хотя... все же есть варианты, не с опенвпн в лоб конечно
     
  • 3.33, Аноним (-), 14:32, 17/03/2024 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > только ЮДП, нa не нестандартном порту, требовать прешаред ключ,
    > - для обоих направлений и обязательно применяемый для обоих - дата и контрол каналов?

    Много ли софта подымает именно TLS, именно поверх UDP, именно вот так? Ну вот и ответ на вопрос.

     
     
  • 4.38, OpenEcho (?), 14:40, 17/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Ну так оберните в клоаку и будет выглядеть как стандартный котико-смотритель.
     
     
  • 5.57, Аноним (-), 16:55, 17/03/2024 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > Ну так оберните в клоаку и будет выглядеть как стандартный котико-смотритель.

    Ну тогда и оборачивать туда лучше вайргада, его настраивать в цать раз проще.

     
     
  • 6.72, OpenEcho (?), 19:22, 17/03/2024 [^] [^^] [^^^] [ответить]  
  • +2 +/
    >> Ну так оберните в клоаку и будет выглядеть как стандартный котико-смотритель.
    > Ну тогда и оборачивать туда лучше вайргада, его настраивать в цать раз
    > проще.

    Можно и в него, но у овпн более плюшек на уровне роутинга и т.д.

     
     
  • 7.75, Аноним (-), 22:32, 17/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > Можно и в него, но у овпн более плюшек на уровне роутинга и т.д.

    В целом более мерзкая, кривая и интрузивная штука с своим SSL/TLS который до неких пор вообще влет бампался - любым клиентом.

    Скажем вайргад с его роумингом прозрачно восстанавливает сессию после отвалов и смен айпи и проч. Вроде в openvpn если очень приспичит то некое подобие изобразить можно. Но сложно, и идея пушинга конфиг с сервера в run time - очень жестко интерферит с этой затеей.

    С вайргадом очень круто когда можно роутер/сотовый модем ребутануть нахрен, траф запаузится но потом продолжит с того же места, ssh/чаты/рдесктопы и прочее подобное - не отвалится.

     
     
  • 8.91, FooType (?), 20:22, 19/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Все вами перечисленное реализуется на openvpn при необходимости У openvpn по ум... текст свёрнут, показать
     
     
  • 9.99, Аноним (-), 02:54, 20/03/2024 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Только требует в 20 раз больше внимания чтобы не налететь на какой-нибудь гадост... большой текст свёрнут, показать
     
     
  • 10.108, aname (?), 12:17, 21/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    gt оверквотинг удален Оказывается, софт надо уметь готовить И не по частным п... большой текст свёрнут, показать
     
  • 6.73, aname (?), 19:28, 17/03/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Боже, что вы там в OVPN настроить не смогли?
     
     
  • 7.76, Аноним (-), 22:34, 17/03/2024 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Боже, что вы там в OVPN настроить не смогли?

    Например resume сессии при отвале сессии сотового оператора, ребуте роутера и проч - так что айпи клиента или сервера при случае меняется. Вайргад прозрачно переживает это все. А вон то с его манерой пушить конфигу с сервака - очень склонно к отвалу всех TCP конектов при этом. А что делать если внутренний айпи с сервака - другой?! В этом месте фича становится багом...

     
     
  • 8.84, aname (?), 09:56, 18/03/2024 [^] [^^] [^^^] [ответить]  
  • –1 +/
    што DDNS никак Тебе скрипты дали, если надо извращаться или ты не способен нор... текст свёрнут, показать
     
     
  • 9.89, Аноним (-), 16:40, 18/03/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ну вот то самое OpenVPN позволяет серваку пушить дохреналион параметров - включ... большой текст свёрнут, показать
     
     
  • 10.92, FooType (?), 20:24, 19/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Глупости вы тут понаписали Не путайте ваше неумение работать с сетью и ваше неп... текст свёрнут, показать
     
     
  • 11.100, Аноним (-), 03:06, 20/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Я лично согласен с автором вайргада если кто делает впн - такие вещи должны раб... текст свёрнут, показать
     
     
  • 12.107, aname (?), 11:12, 21/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    А оно и работает по- дефолту, ибо Голимая энтерпрайзятина В Голимой энтерп... большой текст свёрнут, показать
     
  • 10.106, aname (?), 11:04, 21/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Но не заставляет Дефолтный конфиг- дефолтен Я не знаю, может в мире розовых те... большой текст свёрнут, показать
     
  • 3.80, qwdqwd (?), 07:57, 18/03/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    По передаваемым пакетам в начале сессии, а именно по их размерам и количеству.
    OpenVPN, при большом желании, можно определить по 3 первым пакетам даже в полностью зашифрованном (и, возможно, инкапсулированном в другой протокол) трафике.
     
  • 3.81, Товарищ майор (??), 09:00, 18/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Трафик есть, порт и ip известны. Пытаешься подключиться сам - тебе фига. Ну если тебя не пускают, то и другим не нужно - в бан.
     
     
  • 4.101, Аноним (-), 03:08, 20/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > Трафик есть, порт и ip известны. Пытаешься подключиться сам - тебе фига.
    > Ну если тебя не пускают, то и другим не нужно - в бан.

    Японцы примерно так зобанили китаю Windows Update. После чего прыть у банщиков резко поупала. Почему-то.

     
  • 3.90, butcher (ok), 11:24, 19/03/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Достаточно проследить первые три пакета сессии, в которых нужно смотреть только на первый байт и на размер данных. Даже XOR патч не поможет это спрятать.
     
  • 2.85, Проыыфыс (?), 10:09, 18/03/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Дежурное и очевидное напоминание - OpenVPN никогда не задумывался как "скрытый" и цензуро-устойчивый.

    Вообще-то все VPN изначально придуманы не для обхода цензуры, а для объединения удаленных рабочих офисов в одну локальную сеть. Предьявлять претензии по поводу цензуро-устойчивости вообще не в тему.

     

  • 1.3, Аноним (3), 11:24, 17/03/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    работает ли это все при прешаред ключах?
     
     
  • 2.24, OpenEcho (?), 13:15, 17/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Одних прешаред ключей мало, надо чтобы еще в обязаловку были сертификаты с обоих сторон, выданных для обоих, - сервера и клиента со своего собственного СА + UDP + запрет компрессии + оба направления и оба дата/контрол канала аутефицировались прешаред ключом. От не МИТМ защитит, но не от магитрали, на уровне магистрали, ну да, засекут что идет шифрованный трафик, а если еще его обернуть в ХТТПС, то удачи в реверсе потока, тем более в автомате и на магистрали
     
     
  • 3.34, Аноним (-), 14:36, 17/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > засекут что идет шифрованный трафик, а если еще его обернуть в ХТТПС, то удачи
    > в реверсе потока, тем более в автомате и на магистрали

    GFW пытается детектить впн по...
    1) Дофига конектов -> 1 хост.
    2) Вложенные тайминги, сетап вложенной HTTPS сессии ведет к характерным сочетаниям размеров пакетов vs время. Это в принципе может замечать любой впн или туннель, но не 100% надежно.
    3) А потом они чекают работал ли на том порту того айпи сервак такого типа. Если да - айпи в баню на какое-то время. Не навсегда, япы отучили от такого накормив автоцензора айпишниками винапдейта.

    Из-за этого всего сетевой софт от чайников очень продвинут.

     
     
  • 4.42, OpenEcho (?), 14:51, 17/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    1. на гитхабе где то есть специально генератор эмулирующий походы по интернету, сбивая таргетированную рекламу на нет + генерирует кучу мусора, - ну как правда обычный юзер

    2. Этот да, серьёзный зверь, но варианты тоже есть, как добавить сольку чтоб выглядело "как положенно"

    3. Если резать на уровне магистрали, реально нет 100% надежных решений. Мой первый пост не про это, а про тех кто вне ISP.

     
     
  • 5.58, Аноним (-), 16:59, 17/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    От вон того не поможет от слова вообще Китайцы его рагулярно дурят - но софт у ... большой текст свёрнут, показать
     
  • 4.46, Аноним (-), 15:16, 17/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Развивая тему GFW Оттуда можно извлечь ещё уроков, которые могут оказаться по... большой текст свёрнут, показать
     
     
  • 5.55, OpenEcho (?), 15:53, 17/03/2024 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Где гарантия, что младший научный сотрудник, не засланный казачок, который MITM проданный трафик и выявляет не угодных :)
     
     
  • 6.59, Аноним (-), 17:01, 17/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > Где гарантия, что младший научный сотрудник, не засланный казачок, который MITM проданный
    > трафик и выявляет не угодных :)

    Сам создатель GFW на встрече с студентами.... обошел GFW VPN'ом. За это его правда презрительно закидали ботинками (в восточном мире кинуть ботинок - высшая форма презрения к адресату).

    Ну вот такой вот зас(л,р)анец. Сам нагадил, сам обошел. Рекордсмен двойных стандартов.

     
  • 6.71, Аноним (-), 18:59, 17/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Вот оно потребительское мышление, мысли только о том, как бы потребить, да? Если у тебя такая паранойя, ты сам можешь стать этим младшим научным сотрудником и продавать другим доступ к vpn, многократно окупая стоимость vpsки. Или если совсем уж парализующая паранойя одолела, то не продавать и честно оплачивать vps из своего кармана.
     
     
  • 7.93, FooType (?), 20:27, 19/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Это не паранойя, а правильный и грамотный подход к обеспечению безопасности. Безграмотность-это делать наоборот, думать что такого не бывает.
     
     
  • 8.110, Аноним (-), 19:41, 21/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Это паранойя Надо различать здоровый страх и паранойю первое нормально и полез... большой текст свёрнут, показать
     

  • 1.4, Аноним (4), 11:28, 17/03/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +12 +/
    > метод успешно сработал для 39 из 40 конфигураций

    а можно этот 40й конфииг в студию? 🤔

     
  • 1.5, Аноним (5), 11:38, 17/03/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    Нужно что-то новое придумать. Чем будет больше малоизученных протоколов - тем сложней их будет вычислить.
     
     
  • 2.21, Аноним (4), 13:05, 17/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    SbO?
    Спорненько, но может и сработать
     
  • 2.26, OpenEcho (?), 13:19, 17/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Зачем? И тем более протоколы?

    Обфускация никогда не была защитой. Достаточно все обернуть в криптографию и пустить по не блокированному хттпс каналу

     
     
  • 3.36, Аноним (36), 14:39, 17/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    смешались кони, люди..
    что обернуть то в криптографию?
    что значит "не блокированному хттпс каналу"?
    что повашему значит "обфускация"?
     
     
  • 4.44, OpenEcho (?), 15:01, 17/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > что обернуть то в криптографию?

    Протоколы

    > что значит "не блокированному хттпс каналу"?

    443

    > что повашему значит "обфускация"?

    Протокол имеет свой неповторимый фингерпринт, по которому он может быть определен, поэтому создавая новый протокол, - это не защита, а обфускация. Даже если взять телеговый прокси, который просто поток "рандомных" байтов, то он имеет специфику - отсутсвие шаблона, а значит - в бан. Если же трафик завернуть в хттпс, и сделать его "правдоподобным", то ДПаЙ прийдется очень потрудится чтоб понять что внутри.

     
     
  • 5.47, Аноним (-), 15:18, 17/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > Если же трафик завернуть в хттпс, и сделать его "правдоподобным"

    Чем это не обфускация? Вопрос остаётся в силе: что по-вашему обфускация?

     
     
  • 6.50, OpenEcho (?), 15:34, 17/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    >> Если же трафик завернуть в хттпс, и сделать его "правдоподобным"
    > Чем это не обфускация? Вопрос остаётся в силе: что по-вашему обфускация?

    Протокол, - четко расписанный стандарт, формат
    Обфускация - нет. Это алгоритм смешивания протокола с мусором.
    Обфусцировать трафик, опубликовав это как **протокол**, это "нате, - ешьте"

     
     
  • 7.56, Аноним (56), 16:32, 17/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    м-даа..
    хорошо. а если я на сервак поставлю obfs4
    а на клиенте openvpn пущу через это соединение?
    а вот есть еще stunnel. поставлю на сервак
    и клиент пущу через него?
    и там и там генерации шума не будет.
    что из этого обфускация?
     
     
  • 8.68, OpenEcho (?), 18:51, 17/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Гениально, - вот вам список мостов, пользуйтесь оба, и мыши и коты работает к... текст свёрнут, показать
     
     
  • 9.74, Аноним (74), 19:31, 17/03/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    вердикт - учить матчасть ... текст свёрнут, показать
     
     
  • 10.96, FooType (?), 20:34, 19/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Это правильно, учит матчасть И если бы те кому надо учили матчасть, то понимали... текст свёрнут, показать
     
  • 10.103, Sem (??), 20:06, 20/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    По вашим ответам даже не понятно с чем вы не согласны Интересно услышать ваше о... текст свёрнут, показать
     
  • 9.95, FooType (?), 20:31, 19/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Глупости Они палятся точно так же, как и openvpn, без должного уровня реализаци... текст свёрнут, показать
     
     
  • 10.109, Аноним (-), 14:21, 21/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Не так же OpenVPN у меня прекратил работать пару недель назад Wireguard хоть и... текст свёрнут, показать
     
  • 2.94, FooType (?), 20:30, 19/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Достаточно хорошо знать TCP/IP, чтобы в подобных случаях просто правильно модифицировать уде существующие решения. Это как минимум сэкономит время и силы. Это называется целесообразность ради эффективности.

     

  • 1.6, Lui Kang (?), 11:42, 17/03/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    И другие VPN протоколы тоже обнаруживаются легко, использование WireGuard, L2TP сразу видно и можно заблокировать в легкую.
    Хотя блокировать протокол это неправильно, это все равно, что голову, которая болит - рубить, вместо того, чтобы выпить таблетку от головы.
     
     
  • 2.8, Аноним (8), 11:46, 17/03/2024 [^] [^^] [^^^] [ответить]  
  • +5 +/
    https://vc.ru/services/916559
     
     
  • 3.15, Lui Kang (?), 12:15, 17/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Носки тени так себе приблуда, есть способы маскировки по лучше
     
     
  • 4.28, OpenEcho (?), 13:21, 17/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Способы получше - в студию? ;)
     
     
  • 5.40, Аноним (36), 14:43, 17/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    а нет их,
    акромя обфускации то
     
     
  • 6.98, FooType (?), 20:37, 19/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    если в вас работающая логика, то обфускация и ВПН, это как лодка и весло. друг друга дополняют, а не вовсе не заменяют.
     
  • 5.97, FooType (?), 20:36, 19/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    VPN уже однозначно лучше носков, если конечно вы понимаете как устроена и работает сеть.
    Но ведь очевидно, что только лишь ВПН дело не ограничивается, тут нужно много дополнительной работы, а следовательно и специальных знаний.
     
  • 5.102, Жук (?), 10:40, 20/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    VLESS с XTLS-Vision, можно VLESS с XTLS-Reality.
    Сервер и клиент XRay или Sing-box
     
  • 4.104, Sem (??), 20:13, 20/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Пишут, что SS с протоколами 2022 еще не научились детектировать. Но есть проблема с клиентами. Такое ощущение, что поддержку добавили, а проверить не удосужились.
     
  • 3.39, Аноним (36), 14:42, 17/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Не заметно пока
    Смотрел у разных провайдеров
     
     
  • 4.82, iPony129412 (?), 09:20, 18/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    так это просто желание "надо бы блокировать"
    до технического решения вроде бы дело не дошло... пока
     
  • 2.37, Аноним (36), 14:40, 17/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Это вы РКН расскажите..
    что там правильно а что нет))
     

  • 1.12, Аноним (12), 12:07, 17/03/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Тем кому надо прятать сам факт использования давно заворачивает в TLS по TCP. А методы этого "исследования" известны любому DPI.
    Вообще то разрабы открыто об этом заявляют, продукт не для обхода "чего либо" а для безопасного соединения с шифрованием.
     
     
  • 2.16, Аноним (16), 12:18, 17/03/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Дипиаю они может и известны. Задача этому дипиаю не захлебнуться когда проверяет трафик на уровне магистрального провайдера.
     
     
  • 3.31, Аноним (12), 14:08, 17/03/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Магистральным провайдерам плевать какой идёт трафик, чем его больше - тем больше попадает в кассу.
    А вот всякие местные провайдеры в разных скрепных странах очень любят резать всё что не лень.
     

  • 1.14, Аноним (16), 12:15, 17/03/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    Те кому нужна приватность итак натягивают свои сети или общаются по радиоканалу. Кто с проводным телефонном серии ТА в армии бегал по полю знает.
     
     
  • 2.17, robot228 (?), 12:29, 17/03/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Так они делают законы чтобы ты не использовал свои сети.
    Радиочастоты они глушат.
    Протоколы радио дырявые.
     
     
  • 3.19, OpenEcho (?), 12:54, 17/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    А вот провод соединяющий два ТА, легко перекусить не получится :) Там такая "сталька", как в тросах, - хрен кусачками так сразу перекусишь. Кстати, та "сталька" может и прокормить, если ее вытащить из провода, сделать петельку и поставить на заячьей тропе. Главное добраться к добыче раньше волков и шакалов
     
     
  • 4.41, Аноним (36), 14:46, 17/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    я слышал изобрели кусачки такие..
    ими еще жд плобы перекусывают.. не?
    а еще болгарка на батарейках есть.. врут?
     
     
  • 5.45, OpenEcho (?), 15:08, 17/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > я слышал изобрели кусачки такие..

    Да есть конечно, я про те времена когда еще ТА пользовали, хотя и тогда штык ножом с акм-а перекусывалось

     

  • 1.23, Аноним (23), 13:14, 17/03/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +5 +/
    Группа исследователей, судя по всему, только что вылезла из криокамеры.
    Потому что иначе я не могу объяснить, как можно в 2024 году на полном серьезе обнаружить, что, оказывается, OpenVPN не является цензуроустойчивым. Кот бы мог подумать!
    А вот, кому интересно, что является https://habr.com/ru/articles/799751/
     
     
  • 2.25, Аноним (25), 13:18, 17/03/2024 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Не надо путать устойчивость теоретическую, криптобезопасниковую, и техническую возможность учета стада. Второе не обязательно следует из отсутствия первого. Для этого надо проделать определенную работу.
     
     
  • 3.27, Аноним (23), 13:19, 17/03/2024 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Технические возможности давным-давно продемонстрированы в Китае (и в других местах). Так что группа исследователей, видимо, изобретала велосипеды.
     
     
  • 4.32, OpenEcho (?), 14:26, 17/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Ну если за это платят, почему бы нет... странно, что китайцы, которые практически во всех популярных универах мира и которые пользуются разновидностями Врэя или обернутому в дырку от зопы того же ОпенВпн, но при этом не нашлось в группе иследователей никого, кто подумал бы как это определять... скорее всего, инсайдеры не хотели расскрываться
     
  • 4.52, Bob (??), 15:42, 17/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Осваивала грант та группа)
     
  • 2.64, Аноним (64), 18:06, 17/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    и что там является цензуроустойчивым? Как только у этого неуловимого джо будет заметная аудитория, точно так же будет заблочен по характеристикам трафика.
     
     
  • 3.66, Аноним (25), 18:31, 17/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    В штатах не блочат. Там собирают информацию и полицейских посылают на адрес.
     

  • 1.62, КО (?), 17:36, 17/03/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Вы думаете сервисы, которые зависят от клиентов махнут рукой на стабильный трафик?
    Удачи в блокировке
     
     
  • 2.63, Аноним (63), 18:06, 17/03/2024 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Не всякий трафик одинаково полезен. Кому нужны клиенты, которые в интернет ходить пока ещё могут, но вот заплатить денег за сервисы уже нет? Так что да, удачи в блокировках. Глядишь, будет время подумать что же пошло не так.
     
  • 2.65, myster (ok), 18:23, 17/03/2024 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Провайдеры рассуждают примерно так: "Клиентам и такой сервис сойдет, т.к. интернет им нужен всё-равно для развлечений, он не обязательно должен быть качественным. Нет Ютуба - так Рутуб используйте, глупунькие".  

    Пример такого домашнего интерента у провайдеров, которые отключают IPv6, хотя им не проблема включить поддержку. Это как детям прибивать игрушки к полу гвозьдями.

     
     
  • 3.67, fidoman (ok), 18:49, 17/03/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    так это обычный "бизнес подход", 90% клиентов типа довольны, оставшиеся объявляются токсичными и на их интересы плевать
     
  • 3.105, Sem (??), 20:21, 20/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    "хотя им не проблема включить поддержку"
    Это всегда проблема. Нужно оборудование, которое нормально работает с IPv6, нужно это все правильно настроить, а потом еще поддерживать и развивать. И саппорту клиентов поддерживать. Для провайдера это прям огромный пласт, который хочется выкинуть и не вспоминать.
     
     
  • 4.111, myster (ok), 15:59, 24/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > "хотя им не проблема включить поддержку"
    > Это всегда проблема. Нужно оборудование, которое нормально работает с IPv6, нужно это
    > все правильно настроить, а потом еще поддерживать и развивать. И саппорту
    > клиентов поддерживать. Для провайдера это прям огромный пласт, который хочется выкинуть
    > и не вспоминать.

    IPv6 это уже стандарт, без IPv6 услуга не подана полностью, а на тяп-ляп. Если так рассуждать, тогда давайте компьютеры выкинем и все технологии с этим связанные, потому что их надо поддерживать и развивать.

    Оборудование давно уже по умолчанию из коробки IPv6 поддерживает. Тут даже больше усилий по отключению от IPv6, чем по включению.
    Например, у Билайн отключен IPv6 для добашних пользователей, а для корпоративных включен. Им не проблема включить для всех.

     

  • 1.78, Аноним (78), 23:20, 17/03/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Юзайте хотя бы AmneziaWG и будет вам чуть большая иллюзия безопасности.
     
  • 1.83, ryoken (ok), 09:42, 18/03/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    >>необфускацированных

    Глаза чуть не сломал, пока прочёл. Точно более легкочитаемого термина нет?

     
     
  • 2.86, Sw00p aka Jerom (?), 10:10, 18/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Великий и могучий говорит - незапутанный, хотя лучше всего подойдет - безхитростный :)
     
     
  • 3.87, ryoken (ok), 10:33, 18/03/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Вот так гораздо читабельнее, спасибо :).
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру