Как возможно технически реализовать генерирование фейкового openvpn траффика с целью сокрытия реального коннекта с openvpn сервером(например, одновременное соединение с x openvpn серверами, каждый в разной стране, win)?
Изменение ttl действительно дает дополнительную анонимность?
Не считаете ли Вы "уязвимостью" способы оплаты большинства сервисов openvpn (yandex деньги, итд)?
комментариев: 11558 документов: 1036 редакций: 4118
Поднять где-нибудь OpenVPN-сервер и гнать через него вывод /dev/zero?
Как настроить нормально роутинг, чтобы если одновременно запущено несколько openvpn соединений, основной рабочий траффик шел через соединение x, а не через соединение y, которое тоже, в свою очередь шлет ненужные данные для "загаживания" лога?
А что вы хотите добиться? Какова угроза и предположения относительно противника? Последний, как всегда, предполагается полным идиотом, который будет атаковать вас строго в соответствии с вашим планом и способами, от которых вы уже защищены? :) По умолчанию ttl одинаково для всех пакетов, исходящих с компа. Для винды это число = 128. Можно поставить виндовый ttl, но есть и другие способы узнать, что генерит трафик не винда (типа фингерпринтинга трафика на проходящем сервере, nmap умеет делать и сам для стороннего узла).
Зависит от ОС: в разных реализовано по-разному.
В Linux есть модная штука iproute2, где gw (gateway) можно назначить каждому пакету по отдельности. Реально оно при рождении пакета назначает ему некие рутинг-флажки, а iptables может фильтровать трафик (и, кажется, даже назначать другой gw) в соответствии с этими флажками. На практике не делал. Ранее были и другие способы средствами лишь одного iptables, но их выпилили за некошерностью.
В OpenBSD создаётся n таблиц рутинга, по одной на каждое VPN-соединение (см. слайды на стр. 23,24,25). Дефолтная таблица (под номером нуль) делается через нужный openvpn-сервис, и через который пойдёт полезная нагрузка и все пакеты "по умолчанию". Потом с помощью команд типа
запускается "покрывающий" трафик через остальные vpn-сервера (способ мануально назначить таблицу рутинга для нужной команды-программы).
Во FreeBSD делается аналогично, только для назначения таблицы рутинга для конкретной команды используется setfib.
Хинты: policy based routing, VRF, dynamic routing.
Если будете делать на OpenBSD, можете глянуть топики, где рассматривались похожие задачи: раз, два.
PS: средствами винды, ЕМНИП, задача не решается, так что если нужна именно она – то либо через внешний рутер с UNIX-системой, либо через виртуализацию (тогда см. опцию rtable для PF, которая позволяет назначить таблицу маршрутизации для входящего пакета).
Главная цель – запутать потенциального противника, усложнить разбор логов. Как вариант, решил рассмотреть эту идею. Что тут глупого, уважаемый?
Есть более подробный мануал (windows)?
комментариев: 9796 документов: 488 редакций: 5664
Обфускация не поддаётся формальному моделированию стойкости. Так же как защита программ от копирования, например. И результат обычно выходит примерно такой же.
С другой стороны хватит и одной таблицы маршрутизации, если программы сами будут ломиться именно на (внутренние) vpn'овские IP фейковых openvpn'ов (из-за того что они будут в одной логической сети, "маршрутизация" будет напрямую). Правда, не ясно, какой оператор узла такое потерпит :) В той же схеме что я предложил вы можете слать через фейковые VPN'ы любой трафик и на любой нужный сервер в инете.
Как оценивать меры защиты.
Есть.