Как возможно технически реализовать генерирование фейкового openvpn траффика с целью сокрытия реального коннекта с openvpn сервером(например, одновременное соединение с x openvpn серверами, каждый в разной стране, win)?
Изменение ttl действительно дает дополнительную анонимность?
Не считаете ли Вы "уязвимостью" способы оплаты большинства сервисов openvpn (yandex деньги, итд)?
Изменение ttl действительно дает дополнительную анонимность?
Не считаете ли Вы "уязвимостью" способы оплаты большинства сервисов openvpn (yandex деньги, итд)?
Поднять где-нибудь OpenVPN-сервер и гнать через него вывод /dev/zero?
Как настроить нормально роутинг, чтобы если одновременно запущено несколько openvpn соединений, основной рабочий траффик шел через соединение x, а не через соединение y, которое тоже, в свою очередь шлет ненужные данные для "загаживания" лога?
Мы вообще считаем вашу затею полностью глупой, не говоря уже об оплате :)
А что вы хотите добиться? Какова угроза и предположения относительно противника? Последний, как всегда, предполагается полным идиотом, который будет атаковать вас строго в соответствии с вашим планом и способами, от которых вы уже защищены? :) По умолчанию ttl одинаково для всех пакетов, исходящих с компа. Для винды это число = 128. Можно поставить виндовый ttl, но есть и другие способы узнать, что генерит трафик не винда (типа фингерпринтинга трафика на проходящем сервере, nmap умеет делать и сам для стороннего узла).
Зависит от ОС: в разных реализовано по-разному.
В Linux есть модная штука iproute2, где gw (gateway) можно назначить каждому пакету по отдельности. Реально оно при рождении пакета назначает ему некие рутинг-флажки, а iptables может фильтровать трафик (и, кажется, даже назначать другой gw) в соответствии с этими флажками. На практике не делал. Ранее были и другие способы средствами лишь одного iptables, но их выпилили за некошерностью.
В OpenBSD создаётся n таблиц рутинга, по одной на каждое VPN-соединение (см. слайды[link1] на стр. 23,24,25). Дефолтная таблица (под номером нуль) делается через нужный openvpn-сервис, и через который пойдёт полезная нагрузка и все пакеты "по умолчанию". Потом с помощью команд типа
запускается "покрывающий" трафик через остальные vpn-сервера (способ мануально назначить таблицу рутинга для нужной команды-программы).
Во FreeBSD делается аналогично, только для назначения таблицы рутинга для конкретной команды используется setfib.
Хинты: policy based routing, VRF, dynamic routing.
Если будете делать на OpenBSD, можете глянуть топики, где рассматривались похожие задачи: раз[link2], два[link3].
PS: средствами винды, ЕМНИП, задача не решается, так что если нужна именно она – то либо через внешний рутер с UNIX-системой, либо через виртуализацию (тогда см. опцию rtable для PF, которая позволяет назначить таблицу маршрутизации для входящего пакета).
Да и средствами винды задача решается. По сути нужно просто правильно настроить таблицу маршрутизации независимо от ОС. Поднимаем фейковый openvpn делаем маршрут на него с определенных ИПов, поднимаем основной openvpn делаем его маршрутом по-умолчанию.
Главная цель – запутать потенциального противника, усложнить разбор логов. Как вариант, решил рассмотреть эту идею. Что тут глупого, уважаемый?
Есть более подробный мануал (windows)?
Обфускация не поддаётся формальному моделированию стойкости. Так же как защита программ от копирования, например. И результат обычно выходит примерно такой же.
IP по умолчанию один, т.к. машина одна, и транслируемого ею трафика попросту нет. Пакет по умолчанию будет рождаться c дефолтным gw и на дефолтном сетевом интерфейсе – чтобы было не так нужа поддержка спецфич на стороне ОС.
С другой стороны хватит и одной таблицы маршрутизации, если программы сами будут ломиться именно на (внутренние) vpn'овские IP фейковых openvpn'ов (из-за того что они будут в одной логической сети, "маршрутизация" будет напрямую). Правда, не ясно, какой оператор узла такое потерпит :) В той же схеме что я предложил вы можете слать через фейковые VPN'ы любой трафик и на любой нужный сервер в инете.
Как оценивать меры защиты[link4].
Есть.