id: Гость   вход   регистрация
текущее время 11:38 28/03/2024
Автор темы: Гость, тема открыта 07/07/2010 12:33 Печать
Категории: анонимность
создать
просмотр
ссылки

Как возможно технически реализовать генерирование фейкового openvpn траффика с целью сокрытия реального коннекта с openvpn сервером(например, одновременное соединение с x openvpn серверами, каждый в разной стране, win)?
Изменение ttl действительно дает дополнительную анонимность?
Не считаете ли Вы "уязвимостью" способы оплаты большинства сервисов openvpn (yandex деньги, итд)?



 
Комментарии
— SATtva (07/07/2010 14:21)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
Как возможно технически реализовать генерирование фейкового openvpn траффика

Поднять где-нибудь OpenVPN-сервер и гнать через него вывод /dev/zero?
— Гость (07/07/2010 14:46)   <#>
Поднять где-нибудь OpenVPN-сервер и гнать через него вывод /dev/zero?

Как настроить нормально роутинг, чтобы если одновременно запущено несколько openvpn соединений, основной рабочий траффик шел через соединение x, а не через соединение y, которое тоже, в свою очередь шлет ненужные данные для "загаживания" лога?
— Гость (08/07/2010 00:41)   <#>
Не считаете ли Вы "уязвимостью" способы оплаты большинства сервисов openvpn (yandex деньги, итд)?
Мы вообще считаем вашу затею полностью глупой, не говоря уже об оплате :)

Изменение ttl действительно дает дополнительную анонимность?
А что вы хотите добиться? Какова угроза и предположения относительно противника? Последний, как всегда, предполагается полным идиотом, который будет атаковать вас строго в соответствии с вашим планом и способами, от которых вы уже защищены? :) По умолчанию ttl одинаково для всех пакетов, исходящих с компа. Для винды это число = 128. Можно поставить виндовый ttl, но есть и другие способы узнать, что генерит трафик не винда (типа фингерпринтинга трафика на проходящем сервере, nmap умеет делать и сам для стороннего узла).

Как настроить нормально роутинг, чтобы если одновременно запущено несколько openvpn соединений, основной рабочий траффик шел через соединение x, а не через соединение y, которое тоже, в свою очередь шлет ненужные данные для "загаживания" лога?
Зависит от ОС: в разных реализовано по-разному.

В Linux есть модная штука iproute2, где gw (gateway) можно назначить каждому пакету по отдельности. Реально оно при рождении пакета назначает ему некие рутинг-флажки, а iptables может фильтровать трафик (и, кажется, даже назначать другой gw) в соответствии с этими флажками. На практике не делал. Ранее были и другие способы средствами лишь одного iptables, но их выпилили за некошерностью.

В OpenBSD создаётся n таблиц рутинга, по одной на каждое VPN-соединение (см. fileслайды на стр. 23,24,25). Дефолтная таблица (под номером нуль) делается через нужный openvpn-сервис, и через который пойдёт полезная нагрузка и все пакеты "по умолчанию". Потом с помощью команд типа


запускается "покрывающий" трафик через остальные vpn-сервера (способ мануально назначить таблицу рутинга для нужной команды-программы).

Во FreeBSD делается аналогично, только для назначения таблицы рутинга для конкретной команды используется setfib.

Хинты: policy based routing, VRF, dynamic routing.
Если будете делать на OpenBSD, можете глянуть топики, где рассматривались похожие задачи: раз, два.

PS: средствами винды, ЕМНИП, задача не решается, так что если нужна именно она – то либо через внешний рутер с UNIX-системой, либо через виртуализацию (тогда см. опцию rtable для PF, которая позволяет назначить таблицу маршрутизации для входящего пакета).
— Антон (08/07/2010 08:17)   <#>
Да и средствами винды задача решается. По сути нужно просто правильно настроить таблицу маршрутизации независимо от ОС. Поднимаем фейковый openvpn делаем маршрут на него с определенных ИПов, поднимаем основной openvpn делаем его маршрутом по-умолчанию.
— Гость (08/07/2010 14:08)   <#>
Мы вообще считаем вашу затею полностью глупой, не говоря уже об оплате :)

Главная цель – запутать потенциального противника, усложнить разбор логов. Как вариант, решил рассмотреть эту идею. Что тут глупого, уважаемый?
Зависит от ОС: в разных реализовано по-разному.

Да и средствами винды задача решается.


Есть более подробный мануал (windows)?
— unknown (08/07/2010 14:43)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664

Обфускация не поддаётся формальному моделированию стойкости. Так же как защита программ от копирования, например. И результат обычно выходит примерно такой же.
— Гость (10/07/2010 00:57)   <#>
Поднимаем фейковый openvpn делаем маршрут на него с определенных ИПов, поднимаем основной openvpn делаем его маршрутом по-умолчанию.
IP по умолчанию один, т.к. машина одна, и транслируемого ею трафика попросту нет. Пакет по умолчанию будет рождаться c дефолтным gw и на дефолтном сетевом интерфейсе – чтобы было не так нужа поддержка спецфич на стороне ОС.

С другой стороны хватит и одной таблицы маршрутизации, если программы сами будут ломиться именно на (внутренние) vpn'овские IP фейковых openvpn'ов (из-за того что они будут в одной логической сети, "маршрутизация" будет напрямую). Правда, не ясно, какой оператор узла такое потерпит :) В той же схеме что я предложил вы можете слать через фейковые VPN'ы любой трафик и на любой нужный сервер в инете.

Что тут глупого, уважаемый?
Как оценивать меры защиты.

Есть более подробный мануал (windows)?
Есть.
  1. Снести Windows
  2. Установить UNIX-систему.
  3. Всё настроить.
  4. PROFIT!
Общая оценка документа [показать форму]
страница еще не оценена