Jump to content

Recommended Posts

42 минуты назад, vasek00 сказал:

На много все проще - глубокий анализ пакетов на уровни DPI (сами данные кодированы не кодированы роли не играют они не нужны для провайдера), т.е. суть всего найти нужные "метки" в пакете по которым можно его заблокировать.

не, при секьюрном хэндшейке на лету они, скорее всего, могут ток, например, DN/CN публичного ключа (сертификата) хоста заматчить и дать RST в трубу.

при остальных правильных требованиях к шифрованию - не выйдет точечно, ток все подряд, а тут и словят =)

***
т.е. под потенциальным ударом только фронт-энд сервиса в плане удобства доступности, на уровне движа ничего им не светит.

Edited by IgaX
Link to comment
Share on other sites

4 минуты назад, IgaX сказал:

не, при секьюрном хэндшейке на лету они, скорее всего, могут ток, например, DN/CN публичного ключа (сертификата) хоста заматчить и дать RST в трубу.

при остальных правильных требованиях к шифрованию - не выйдет точечно, ток все подряд, а тут и словят =)

Так как в данном случае "пакет в пакете", то не нужен ни какой просмотр шифрования самих данных они не нужны, а нужно обработать только начальные байты заголовка на предмет вложенности пакета и определить его метки для данного сервера и ответы сервера для клиента. Речь идет о метки по которой можно определить принадлежность данного пакета данному приложению, т.е. это как поиск вируса по сигнатуре в файле.

Link to comment
Share on other sites

30 минут назад, vasek00 сказал:

на предмет вложенности пакета

вложенная матрешка зашифрована со всеми потрохами, при должном шифровании - сигнатуры, если и будут применены, смогут давать очень большой процент ложных срабатываний (а поток еще ведь и собрать надо). все что видно: транспортный L4 и зашифрованный до мозга костей payload со всеми вложенными .. и флаг им в руки и барабан на шею =) .. ну вот как по приложению - если только наугад по номеру порта, а его вот поменять и .. усе .. ушел под воду.

Edited by IgaX
Link to comment
Share on other sites

Скрытый текст

Источник http://bit.samag.ru/archive/article/1333

....

– Давайте подробно рассмотрим каждую из названных составляющих. Итак, что такое Deep Packet Inspection?

– Говоря кратко, это технология низкоуровневой проверки и фильтрации сетевых пакетов по их содержимому. Коренное отличие от привычных брандмауэров заключается в том, что DPI не столько анализирует заголовки пакетов (что, конечно, тоже может), сколько зарывается в содержимое транзитного трафика на уровнях модели OSI со второго и выше. Подчеркну, все это делается в режиме реального времени, и внешнему наблюдателю никаких задержек или манипуляций с трафиком не видно.

....

Поэтому главный критерий степени серьезности DPI – глубина анализа транзитного трафика, который может позволить себе система, чтобы при этом сохранять приемлемый уровень латентности.

...

– Переходим ко второму китайскому дракону. Что такое «Сonnection probe»?

– Это дальнейшая эволюция DPI – сращивание прокси-сервера и низкоуровневого фильтрующего механизма. При попытке подключения к любому сервису за пределами национального сетевого шлюза сначала происходит «заморозка» такого запроса и потом последующее опережающее подключение по целевому адресу уже от имени DPI. Это, так сказать, проактивная система тестирования и идентификации типа запрашиваемых во внешнем Интернете сервисов.

...

– Кстати, что можно сказать о системах типах Tor, i2p или VPN? Насколько они эффективны в условиях подобной агрессивной сетевой цензуры?

– Они малоэффективны и вовсе не так живучи, как об этом шумит «народная молва», – все упомянутые системы в Китае давно заблокированы. Более того, заблокировать Tor или i2p можно десятком разных способов, самый простой из них – блокировка bootstrap-процедуры в момент инициализации их клиентов. Заблокировать подобным образом входные ноды этих сетей (например, Tor directory nodes) – тривиальная задача даже для администратора средней руки. Если же учитывать возможности, которые есть у правительства Китая, в первую очередь я имею в виду высокотехнологическую дубинку DPI, – это и вовсе не проблема.

Вы можете заглянуть в i2p netDB – там нет нод с китайскими IP, если же посмотреть на открытую статистику пользователей сервиса Tor, то они фиксируют максимум 1000 уникальных китайских IP в месяц, и это на такую многомиллиардную страну, как Китай, у которой самое большое количество интернет-пользователей в мире. Кстати, в этом случае «прорыва» китайцами применяется obfsproxy, хотя и его блокировка, насколько я могу судить, на данном этапе развития Великого китайского файрвола не представляет технических сложностей, просто это лишено смысла в силу малочисленности пользователей экзотической технологии, а также постоянным сбоям в ее работе.

...

– Как обстоят дела с VPN и SSH?

– Ситуация с VPN довольно противоречивая – отдельные провайдеры его агрессивно подавляют, некоторые – почти нет. Своими блокировками широко известен China Unicom – один из крупнейших магистральных провайдеров континентального Китая. Сейчас им определяется и блокируется более пяти разновидностей VPN. Если быть более конкретным, это OpenVPN, PPTP, L2TP, SSTP и Cisco . К тому же, когда проходит очередной съезд Коммунистической партии Китая, Интернет фильтруют так, что даже то, что работало в спокойные времена, может перестать работать в эти дни.

Насколько мне известно, правительство Поднебесной собирается лицензировать сферу использования VPN, то есть после соответствующей государственной регистрации разрешить применение VPN в целях легального бизнеса, и это будет своя собственная версия протокола на базе OpenVPN. После вступления данного закона в силу все отличные от государственного варианта VPN-протоколы будут тотально «резаться» на трансграничном шлюзе.

Что же касается сервиса SSH – попытки его блокировок также есть. По ряду косвенных признаков подобные испытания проводятся и в публичных сетях, в таких случаях в логах можно найти множество сброшенных или неудачных соединений с типичной ошибкой «Bad protocol version identification». При этом, подключаясь к серверам вне Китая, впоследствии можно увидеть несколько ложных попыток подключения с китайских IP, предшествующих самому сброшенному подключению. Предположительно это скрининг принимающего сервера по типу Сonnection probe, который мы уже обсудили.

...

– Можно ли сказать, что планируемое внедрение Ростелекомом «всероссийского» DPI – это некое зловещее предзнаменование, черная метка для всего Рунета?

– Нужно понимать, что DPI – мощнейший современный инструмент, и как он будет использован , зависит от моральных и профессиональных принципов тех людей, в чьих руках он окажется. Так, DPI позволяет выполнять огромное количество полезной для сети работы – многие мировые провайдеры применяют ее для контроля и балансировки своего трафика, мобильные операторы с ее помощью собирают подробную статистику для каждого отдельного пользователя, технология дает возможность адаптивно управлять скоростью передачи отдельных пакетов (QoS) и многое другое. В целом DPI обеспечивает огромное количество уникальных возможностей в широком спектре – от высококачественного шейпинга до создания продвинутых шпионских систем типа PRISM.

....

 

DPI.jpg

Link to comment
Share on other sites

49 минут назад, IgaX сказал:

 - если только наугад по номеру порта, а его вот поменять и .. усе .. ушел под воду.

Это уже пройденный этап - пользователю остается оперативно отслеживать мену порта и IP.

Link to comment
Share on other sites

1 минуту назад, vasek00 сказал:

Это уже пройденный этап - пользователю остается оперативно отслеживать мену порта и IP.

даже ведущие антивирусы нифига не детектяд в запаролированных архивах .. и вот, например, ovpn мимикровал на, например, 8531-й и .. эм .. скажем, превратился в "wsus over https", tls1.2 пройден, rsa под 2048, dhe под 2048 или ecdhe под 256, csr и crt шли с sha-2 .. и какие действия? и вот dpi прямо вот сразу по зубам от TLS_DHE_RSA_WITH_AES_128_GCM_SHA256 или TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 .. а есть и выше, но перформанс .. имхо dpi даже не узнает, что там внутри нет http .. или, может, в следующей жизни =) но если по-чесноку - правоверные даже не посмотрят на 8531-й, пока не покажут, а их там вагон, где встать можно.

Link to comment
Share on other sites

56 минут назад, IgaX сказал:

даже ведущие антивирусы нифига не детектяд в запаролированных архивах .. и вот, например, ovpn мимикровал на, например, 8531-й и .. эм .. скажем, превратился в "wsus over https", tls1.2 пройден, rsa под 2048, dhe под 2048 или ecdhe под 256, csr и crt шли с sha-2 .. и какие действия? и вот dpi прямо вот сразу по зубам от TLS_DHE_RSA_WITH_AES_128_GCM_SHA256 или TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 .. а есть и выше, но перформанс .. имхо dpi даже не узнает, что там внутри нет http .. или, может, в следующей жизни =) но если по-чесноку - правоверные даже не посмотрят на 8531-й, пока не покажут, а их там вагон, где встать можно.

С начала эту сессию нужно начать

Link to comment
Share on other sites

Вы забываете про статистический анализ. Пакеты от обычного HTTPS и от OpenVPN/TLS сильно отличаются по статистическим особенностям размера и характера передачи во времени.

Link to comment
Share on other sites

1 час назад, Le ecureuil сказал:

про статистический анализ

=)

как серфинг и voip .. но педалируя до tcp congestion с паттерном уже будет проблематично

Link to comment
Share on other sites

Проще заблокировать control-channel OpenVPN по содержимому пакета, которое особо не обфусцируется.

Для раздумья: есть такие вещи как штатное openvpn'овское port-share либо мультиплексоры типа sslh, позволяющие запустить OpenVPN в TCP на 443 порту одновременно с вебсервером. Удобно для работы из всяких местечковых wifi-сетей (типа кампусовых сетей университетов), на которых до сих пор доступ в интернет через HTTP-прокси, отдающееся через WPAD. Если мультиплексор легко детектит тип до хендшейка - то и DPI сможет, и стойкость шифров тут ни при чем.

Это надо либо туннелировать через SSH (впрочем, в китае и это режется - тупо скорость SSH делается такой, что в консоли работать номрмально, но как прокси - невозможно, медленно), либо через https и какой-нибудь websockets. Оверхед правда будет огого...

Edited by KorDen
Link to comment
Share on other sites

16 минут назад, KorDen сказал:

штатное openvpn'овское port-share

проксирование самим openvpn.

я ж говорю, tls1.2, дерзайте с dpi, остальные уже некошерные вроде .. как разгрызут как раз неубиваемый 1.3 подойдет .. как этот разгрызут, надеюсь, уже Марс или Луну начнем колонизировать и на эту хрень кому чего запрещать времени уже не будет =)

ну вот где там в tls-хендшейке есть возможность привязаться к разграничению на уровне application? .. к тому моменту cipher suite уже взлетает и усеее .. хава нагила =)

Link to comment
Share on other sites

tls для шифрования только начала соединения (handshake, тут не зашифрованная инфа), далее соединение установлено и вся инфа шифруется с помощью SSL

openvpn это тоннель зашифрованный вне зависимости от tls.

Скрытый текст

В полном комплекте что было на 2012год http://nag.ru/articles/article/22432/dpi.html

2016год "Защита от кибератак расшифровка SSL" http://www.jetinfo.ru/stati/zaschita-ot-kiberatak-rasshifrovka-ssl

Так же наверное уже читали 2016год лето "Как легко расшифровать SSL-трафик ...." https://roem.ru/26-08-2016/231745/novosibirsk-privacy/

 

 

 

 

Link to comment
Share on other sites

10 часов назад, vasek00 сказал:

tls для шифрования только начала соединения (handshake, тут не зашифрованная инфа), далее соединение установлено и вся инфа шифруется с помощью SSL

openvpn это тоннель зашифрованный вне зависимости от tls.

Вроде при --key-method 2 используется TLS PRF function, так что формально туннель используется.

10 часов назад, vasek00 сказал:
  Показать содержимое

В полном комплекте что было на 2012год http://nag.ru/articles/article/22432/dpi.html

2016год "Защита от кибератак расшифровка SSL" http://www.jetinfo.ru/stati/zaschita-ot-kiberatak-rasshifrovka-ssl

Так же наверное уже читали 2016год лето "Как легко расшифровать SSL-трафик ...." https://roem.ru/26-08-2016/231745/novosibirsk-privacy/

Имхо, что важно:

1) Сбивают, видимо, в основном на ClientHello, где plain text и SNI, да и вообще надо смотреть все оптимизации и extensions;
2) Если очень захотеть, то можно заодно подвязать к ALPN extension (если его используют);
3) В теории, можно дополнительно верифицировать по сертификату в ServerHello, а то, вдруг, не та бездна;
4) Если dpi с mitm, то совсем незаметно выйдет только если "втюхать" в "trusted"-хранилище клиента левый сертификат или CA его удостоверивший .. просто для корпоративного пространства это норма, но частный доступ - святая корова;
5) Если при этом "борзеть" притворством с trusted chain, то специально обученный проект это выяснит и вся планета скажет "фи";
6) Чтобы дешифровать сессию без очень значительных вычислительных мощностей нужно либо снимать сессионные ключи с того же клиента, либо иметь доступ к приватным ключам (а некоторым службам, по идее, не отказывают), но и там палки в колеса может ставить dhe/ecdhe;
7) Часто сервисы/службы имеют определенный footprint, зная его и имея доступ к определенным исходникам, в теории, можно стоять незаметно под фонарем открытых портов даже для продвинутых зондеркоманд.

Так что .. на мой взгляд, - не те джунгли, где dpi может быть комфортно.

Edited by IgaX
Link to comment
Share on other sites

12 часа назад, IgaX сказал:

6) Чтобы дешифровать сессию без очень значительных вычислительных мощностей нужно либо снимать сессионные ключи с того же клиента, либо иметь доступ к приватным ключам (а некоторым службам, по идее, не отказывают), но и там палки в колеса может ставить dhe/ecdhe;

Так что .. на мой взгляд, - не те джунгли, где dpi может быть комфортно.

Опять же фишка в том, что данное устройство в маршруте пакета стоит в разрыве между клиентом и сервером, т.е. Сервер ----- устройство ---- Клиент. Он клиент будет думать что работает с сервером хотя на самом деле он работает с устройством.

На счет комфортности, тут вы не правы так как в настоящие время железки уже есть http://www.qtech.ru/catalog/dp/, цена по нашим меркам существенная но для верхней 10 провайдеров/связи она посильна.

Интересен DPI в качестве приорит.трафика и фильтрация - xt_nDPI  https://github.com/vel21ripn/nDPI/tree/netfilter

Скрытый текст

#iptables -m ndpi --help

ndpi match options:
--ftp Match for FTP protocol packets.
--pop Match for POP protocol packets.
--smtp Match for SMTP protocol packets.
--imap Match for IMAP protocol packets.
--dns Match for DNS protocol packets.
--ipp Match for IPP protocol packets.
--http Match for HTTP protocol packets.
--mdns Match for MDNS protocol packets.
--ntp Match for NTP protocol packets.
--netbios Match for NETBIOS protocol packets.
--nfs Match for NFS protocol packets.
--ssdp Match for SSDP protocol packets.
--bgp Match for BGP protocol packets.
--snmp Match for SNMP protocol packets.
--xdmcp Match for XDMCP protocol packets.
--smb Match for SMB protocol packets.
--syslog Match for SYSLOG protocol packets.
--dhcp Match for DHCP protocol packets.
--postgres Match for PostgreSQL protocol packets.
--mysql Match for MySQL protocol packets.
--tds Match for TDS protocol packets.
--ddl Match for DirectDownloadLink protocol packets.
--i23v5 Match for I23V5 protocol packets.
--applejuice Match for AppleJuice protocol packets.
--directconnect Match for DirectConnect protocol packets.
--socrates Match for Socrates protocol packets.
--winmx Match for WinMX protocol packets.
--vmware Match for VMWare protocol packets.
--pando Match for PANDO protocol packets.
--filetopia Match for Filetopia protocol packets.
--iMESH Match for iMESH protocol packets.
--kontiki Match for Kontiki protocol packets.
--openft Match for OpenFT protocol packets.
--fasttrack Match for Kazaa protocol packets.
--gnutella Match for Gnutella protocol packets.
--edonkey Match for eDonkey protocol packets.
--bittorrent Match for Bittorrent protocol packets.
--off Match for OFF protocol packets.
--avi Match for AVI protocol packets.
--flash Match for Flash protocol packets.
--ogg Match for OGG protocol packets.
--mpeg Match for MPEG protocol packets.
--quicktime Match for QuickTime protocol packets.
--realmedia Match for RealMedia protocol packets.
--windowsmedia Match for Windowsmedia protocol packets.
--mms Match for MMS protocol packets.
--xbox Match for XBOX protocol packets.
--qq Match for QQ protocol packets.
--move Match for MOVE protocol packets.
--rtsp Match for RTSP protocol packets.
--feidian Match for Feidian protocol packets.
--icecast Match for Icecast protocol packets.
--pplive Match for PPLive protocol packets.
--ppstream Match for PPStream protocol packets.
--zattoo Match for Zattoo protocol packets.
--shoutcast Match for SHOUTCast protocol packets.
--sopcast Match for SopCast protocol packets.
--tvants Match for TVAnts protocol packets.
--tvuplayer Match for TVUplayer protocol packets.
--veohtv Match for VeohTV protocol packets.
--qqlive Match for QQLive protocol packets.
--thunder Match for Thunder protocol packets.
--soulseek Match for Soulseek protocol packets.
--gadugadu Match for GaduGadu protocol packets.
--irc Match for IRC protocol packets.
--popo Match for Popo protocol packets.
--jabber Match for Jabber protocol packets.
--msn Match for MSN protocol packets.
--oscar Match for Oscar protocol packets.
--yahoo Match for Yahoo protocol packets.
--battlefield Match for Battlefield protocol packets.
--quake Match for Quake protocol packets.
--vrrp Match for VRRP protocol packets.
--steam Match for Steam protocol packets.
--hl2 Match for Halflife2 protocol packets.
--worldofwarcraft Match for World_of_Warcraft protocol packets.
--telnet Match for Telnet protocol packets.
--stun Match for STUN protocol packets.
--ipsec Match for IPSEC protocol packets.
--gre Match for GRE protocol packets.
--icmp Match for ICMP protocol packets.
--igmp Match for IGMP protocol packets.
--egp Match for EGP protocol packets.
--sctp Match for SCTP protocol packets.
--ospf Match for OSPF protocol packets.
--ipip Match for IP_in_IP protocol packets.
--rtp Match for RTP protocol packets.
--rdp Match for RDP protocol packets.
--vnc Match for VNC protocol packets.
--pcanywhere Match for PCAnywhere protocol packets.
--ssl Match for SSL protocol packets.
--ssh Match for SSH protocol packets.
--usenet Match for USENET protocol packets.
--mgcp Match for MGCP protocol packets.
--iax Match for IAX protocol packets.
--tftp Match for TFTP protocol packets.
--afp Match for AFP protocol packets.
--stealthnet Match for StealthNet protocol packets.
--aimini Match for Aimini protocol packets.
--sip Match for SIP protocol packets.
--truphone Match for Truphone protocol packets.
--icmpv6 Match for ICMPv6 protocol packets.
--dhcpv6 Match for DHCPv6 protocol packets.
--armagetron Match for Armagetron protocol packets.
--crossfire Match for CrossFire protocol packets.
--dofus Match for Dofus protocol packets.
--fiesta Match for Fiesta protocol packets.
--florensia Match for Florensia protocol packets.
--guildwars Match for Guildwars protocol packets.
--httpactivesync Match for HTTP_Application_Activesync protocol packets.
--kerberos Match for Kerberos protocol packets.
--ldap Match for LDAP protocol packets.
--maplestory Match for MapleStory protocol packets.
--mssql Match for msSQL protocol packets.
--pptp Match for PPTP protocol packets.
--warcraft3 Match for WARCRAFT3 protocol packets.
--wokf Match for World_of_Kung_Fu protocol packets.
--meebo Match for MEEBO protocol packets.
--facebook Match for FaceBook protocol packets.
--twitter Match for Twitter protocol packets.
--dropbox Match for DropBox protocol packets.
--gmail Match for Gmail protocol packets.
--gmaps Match for Google_Maps protocol packets.
--youtube Match for YouTube protocol packets.
--skype Match for Skype protocol packets.
--google Match for Google protocol packets.
--dcerpc Match for DCE_RPC protocol packets.
--netflow Match for NetFlow_IPFIX protocol packets.
--sflow Match for sFlow protocol packets.
--httpconnect Match for HTTP_Connect_SSL_over_HTTP protocol packets.
--httpproxy Match for HTTP_Proxy protocol packets.
--citrix Match for Citrix protocol packets.
--netflix Match for Netflix protocol packets.
--lastfm Match for LastFM protocol packets.
--grooveshark Match for Grooveshark protocol packets.
--skyfileprepaid Match for SkyFile_Prepaid protocol packets.
--skyfilerudics Match for SkyFile_Rudics protocol packets.
--skyfilepostpaid Match for SkyFile_Postpaid protocol packets.
--citrixonline Match for CitrixOnline protocol packets.
--apple Match for Apple_iMessage_FaceTime protocol packets.
--webex Match for Webex protocol packets.
--wgatsapp Match for WhatsApp protocol packets.
--appleicloud Match for Apple_iCloud protocol packets.
--viber Match for Viber protocol packets.
--appleitunes Match for Apple_iTunes protocol packets.
--radius Match for Radius protocol packets.
--windowsupdate Match for Windows_Update protocol packets.
--teamviewer Match for TeamViewer protocol packets.
--tuenti Match for Tuenti protocol packets.
--lotusnotes Match for Lotus_Notes protocol packets.
--sap Match for SAP protocol packets.
--gtp Match for GTP protocol packets.
--upnp Match for uPnP protocol packets.
--llmnr Match for LLMNR protocol packets.
--remotescan Match for Remote_Scan protocol packets.
--spotify Match for Spotify protocol packets.
--webm Match for WebM protocol packets.
--h323 Match for H323 protocol packets.
--openvpn Match for OpenVPN protocol packets.
--noe Match for NOE protocol packets.
--ciscovpn Match for CiscoVPN protocol packets.
--teamspeak Match for Teamspeak protocol packets.
--tor Match for TOR protocol packets.
--rsync Match for Skinny protocol packets.
--skinny Match for Corba protocol packets.
--rtcp Match for RTCP protocol packets.
--rsync Match for RSync protocol packets.
--oracle Match for Oracle protocol packets.
--corba Match for Corba protocol packets.
--ubuntuone Match for UbuntuOne protocol packets.

 

Edited by vasek00
Link to comment
Share on other sites

1 час назад, vasek00 сказал:

Опять же фишка в том, что данное устройство в маршруте пакета стоит в разрыве между клиентом и сервером, т.е. Сервер ----- устройство ---- Клиент. Он клиент будет думать что работает с сервером хотя на самом деле он работает с устройством.

Нет тут никакой фишки. На устройство завернули, предъявили фейковый сертификат, клиент слопал, после чего устройство прямо совершает невозможное и открывает туннель в сторону настоящей цели и пропускает через себя все. В том же браузере виден сертификат конца туннеля - не надо думать, что устройство никто не заметит, если имитировать этот конец.

Фишка будет, когда пров скажет, что для доступа к интернету установите наш удостоверяющий центр в целях борьбы .. не знаю .. чего там жить мешает .. с лестницами, риск падения с которых почти в 3 раза превышает риск нападения с применением огнестрельного оружия.

1 час назад, vasek00 сказал:

Интересен DPI в качестве приорит.трафика и фильтрация

Угу, уже давно:1310_thumbsup_tone1:;) .. а там м.б. и заодно удобный L7-роутинг .. и все остальное за что голосовали =)

Edited by IgaX
Link to comment
Share on other sites

58 минут назад, IgaX сказал:

Нет тут никакой фишки.

Угу, уже давно:1310_thumbsup_tone1:;) .. а там м.б. и заодно удобный L7-роутинг .. и все остальное за что голосовали =)

Про то и речь.

Про DPI уже было упоминание - что его в реализации не будет, но думаю время покажет и все расставит по местам.

Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...