Как "заторить" сетевые консольные команды?
И опасна ли для анонимности работа демона ntpd?Сетевые запросы от консольных команд типа "whois", "dig" и т.п. идут напрямую в сеть. Как их заторить?
Синхронизация времени также идет напрямую, может ли это угрожать анонимности при браузинге сайтов, получении почты и т.п.? Например, как-то выдавая нахождение тебя в том или ином часовом поясе, или, не дай бог, реальный ip?
Если угрожает, можно ли заторить эти запросы? И чтобы при этом получать правильную информацию о времени.
Ссылки
[link1] http://www.pgpru.com/faq/anonimnostj#h41-13
[link2] http://www.pgpru.com/comment27735
[link3] http://proxychains.sourceforge.net/
[link4] http://www.pgpru.com/comment58276
[link5] http://www.pgpru.com/comment67817
[link6] http://habrahabr.ru/post/145436/
[link7] http://www.pgpru.com/comment67948
[link8] http://www.pgpru.com/chernowiki/rukovodstva/voprosykandidatyvfaq/anonimnostjobschievoprosy#h36800-2
[link9] http://www.pgpru.com/forum/anonimnostjvinternet/voiceovertor
ntpd? А разве он рабоет не по UDP?
как заторить всё в Линуксе[link1]
Про "NTP vs анонимность" вы уже не первый кто интересуется. Смотрите обсуждение здесь[link2].
Не забывайте, что большинство браузеров по умолчанию сообщают ваш числовой пояс. И если http-запросы с указанием часового пояса можно резать посредством privoxy, то с https сложнее (умеет только torbutton-плагин для firefox). Также, JS может стучать про уникальные параметры машины (там не только часовой пояс потенциально может быть, но и используемое разрешение экрана и т.д.). Есть много сайтов, котоырй тестируют вашу браузерную анонимность и позволяют узнать всё, что допускает браузер. Проверяйтесь там.
Используйте консольную тулзу proxychains[link3]. Кстати, dns-резолвинг она умеет делать через тор сама. Наряду с этим, умеет работать с цепочками произвольных проксей, а не только тором, который может быть лишь одной из проксей в цепочке (любители плести цепи заценят :) ).
unknown, не подскажите, а что делать в Дебиане, где есть псевдопользователь Тор? А то на страничке написано, что типа кроме Дебиана.
Разве не стоит создать специального юзера, опираясь только на работу с настройками псевдопользователя?
А что мешает повесить на псевдопользовтаеля Tor сервис тора? Процедура вроде бы стандартная. Читайте man tor каким опциями это включается, смотрите логи ошибок при запуске, и проследите за тем, чтобы этот псевдопользовтель имел доступ на чтение к нужным ему файлам типа конфигов тор.
в Дебиане всё, что нужно сделать для псевдопользовтеля Tor, уже сделано. На нём кроме самого сервиса tor как-раз ничего лишнего не висит и не должно. Что вы ещё собираетесь к нему прикрутить?
unknown, а где можно почитать по тому, как устроена работа tor под Debian?
Приложения то (бразуер, почтовый клиент, ком. строка) работаю под обычными юзерами, как обеспечить чтобы в этих случаях обычный юзер работал только посредством псевдопользователя tor, и не ломился в сеть напрямую?!
В нашем FAQ по анонимности. Из вышеприведённой ссылки.
unknown, в ФАГе нашел такое:
Не совсем понял, это правило заворачивает исходящий трафик из под псевдоюзера debian-tor в прокси, как я понимаю.
Однако сетевые приложения запускаются же не от него, а от других юзеров.
Пользователь, от имени которого запущен tor – это одно, а пользователи, которые работают с сетью через тор, т.е. шлют пакеты tor'у, работающему под вышеозначенным пользователем и слушающему на localhost:порт – другое.
— Гость (19/12/2009 10:51),
Дык как надежно под Debian заторить приложения, однако оставив возможность соединяться не через тор, когда нет необходимости в его использовании?
В FAQ по анонимности объяснено как раз на примере Debian.
Только не нужно путать двух пользователей.
Для демона tor в системе искаробочно уже создан пользователь debian-tor с ограниченными правами. Для работы с заворачиванием трафика в Tor нужно дополнительно создать другого полноценного пользователя, в примере он назван tornet_user — не для демона, а для себя (для пользователя).
Для tornet_user в iptables задаётся правило, заворачивающее весь его трафик в tor.
Можно работать одновременно или поочередно с обычным, незаторенным юзером или с заторенным.
Примеры комманд, конфигов и правил приведены.
Общая простейшая схема не зависит ни от ОС, ни от, тем более, дистрибутива.
При необходимости настроить privoxy для обычного браузинга инета без тора, а также при желании сделать прозрачную торификацию (это посложнее, чем просто зарезать порты, и больше подводных камней), правила, соответственно, дорабатываются.
Использование двух иксов возможно предпочтительнее в плане безопасности, но тут есть вопросы удобства и личного предпочтения.
Прозрачная торификация позволит работать любым программам через Tor, даже тем, которые не умеют socks (например иметь доступ к почте на скрытых сервисах). Но эти же программы могут слать уникальные/редкие/нефильтруемые/деанонимизирующие заголовки через сеть.
Злостный кошмар конфигурации — использование связки iptables-SELinux никем пока не был осуществлён.
Ещё есть способ через Xnest. Можно из физически одних иксов назапускать кучу "внутренних X-серверов" через Xnest, соответствующих разным пользователям с разными привелегиями (будет выглядеть как n десктопов, в каждом из которых свои окна/фреймы). Насколько это безопасно – пока не разбирался.
proxychains'овский proxyresolv можно пофиксить таким образом, чтобы он не делал все DNS-запросы сам у фиксированного DNS-сервера, а предоставлял эту возможность тору, что безопасней, т.к. DNS-разрешение в таком случае будет делать сама текущая exit-нода у своего DNS-сервера. Вот пример пофикса (умолчальный вариант закомменчен):
В данном случае, естественно, proxychains рулит все запросы только через один socks, который и есть тор.
UPD: в современных Linux эти файлы находятся в:
- /usr/lib/proxychains3/proxyresolv
- /usr/bin/proxychains
DNS_SERVER=4.2.2.2 прописан, как и ранее, поэтому пофикс желателен.вот здесь нет этого: export LD_PRELOAD=/usr/local/lib/libproxychains.so
там строка: export LD_PRELOAD=libproxychains.so.3
Вы же видите, что в комменте выше оно не закомменчено. Следовательно, таков был дефолт в той версии proxychains 4 года назад, и его не меняли пофиксом. Наверное, сейчас тоже можно ничего не менять в этой строке. Вообще, полный путь к файлу — /usr/lib/libproxychains.so.3, причём сам libproxychains.so.3 — симлинк на /usr/lib/libproxychains.so.3.0.0. В общем, должно работать без изменений в той строке.
ткните, где на форуме обсуждалось/объяснялось, как заторить весь трафик (не только тор браузер) под винды? tor.exe с какими-то параметрами или маршрутизацию прописывать или в прокси какой софт направлять
/comment58276[link4], /comment67817[link5], только тред внимательно читайте по ссылкам.
быть может подойдет это[link6] ?
А у меня похожая проблема. Нужно торифицировать VOIP трафик что прописывать в клиенте в STUN или STUD или как их там? 127.0.0.1:9050 не работает (
Вполне возможно, но оно требует установки виртуальных машин, не все хотят так заморачиваться.
Точки и запятые на забывайте ставить, никому не охота разбирать
бредпоток сознания. Конкретный софт, список торифицирумых протоколов — это тоже надо оговаривать. С проприетарными программами надёжны только универсальные методы типа этих[link7], прозрачной торификации и т.п.Что-то в последнее время увеливилось раздражение на форуме :-(
Да любой под оффтопик (виндовс) хоть Xlite, хоть Portgo... с чем реально заработает.
Там слишком тяжелое и куча дополнительного софта. А вопрос скорее теоретический: можно ли в софте для телефонии прописать торовский сокс как это делается в биткойновском софте?
А вы хотите ничего не знать, не уметь, не изучать, не напрягаться, но чтобы у вас всё было по высшему классу и вам за этого ничего не было? :)
Да стопудово можно, если настройки для сокса есть. Если нету, завернуть на сокс принудительным соксификатором (proxycap, proxyfier). Какой трафик после этого пойдёт в сокс, а какой и при каких обстоятельствах[link8]* напрямую в инет — вопрос другой, но вам же это не интересно.
*Текст устарел, но суть из него понять можно.
не, просто глюкодромы нехочется плодить...
Скачать tails:
https://tails.boum.org/
И посмотреть как "заторить" сетевые консольные команды.
Спасибо всем за ответы!
Помогите ленивому ламеру, подскажите где можно скачать безопасный софт для телефонии поддерживающий сокс?
Отблагодарю битками! Очень надо! (
Здесь.[link9]
Там ток торфон и всякие софтовые криптофоны с вокодерами(
Я эту ветвь читаю давно и торфон люблю, но в данном случае мне нужен полноценный SIP клиент чтобы звонить через совместимые сервисы IP телефонии. Или я невнимательно 20 страниц того треда прочел? Mumble это реализует или кто?
Если не сложно, дайте более точную ссылку на то что вы имели ввиду.
Повторю, что нужно завернуть трафик VOIP через SOCKS TOR-а "малой кровью" (без инсталляции лишнего) и т.к. комп не мой, то к сожалению под винды(
Поэтому ищу те клиенты VOIP, которые позволят у себя в настройках указать путь через SOCKS и чтобы их можно было использовать с коммерческими сервисами VOIP/SIP.
Если под телефонией имелся в виду SIP-клиент, то моя ссылка, конечно, нерелевантна.
В wikipedia есть страница comparison of VoIP Software. Отбираете оттуда софт с открытыми исходниками. Из него — тот, который существует под вашу ОС. Из него — тот, кторый дружит с вашими провайдерами. Получается первый список. Идёте на сайты проектов из этого списка и проверяете, могут ли они работать через SOCKS. Если из сайтов это не ясно, устанавливаете и проверяете самостоятельно. Когда выяснен список тех, кто ещё и SOCKS поддерживает, запускаете снифер и смотрите, какие пакеты идут мимо SOCKS, и зачем они нужны. Если вылечить нельзя, пытаетесь их заблокировать firewall'ом. В итоге что-нибудь с какими-нибудь призрачными гарантиями, возможно, заработает. Или не заработает. Я не поручусь что полученное множество не окажется нулевым. Готового ответа нет.
Вы не поняли! Клиент выше предлагает "Отблагодарю битками" если всю эту работу проделают за него :)
грошей хвата
битков тож
оплата принимаеться тильки свежими несавершенолетнеми бл*ми и новыми сипиунитами
нет бл*й – нет воипов с носками
тролляля
поделишься?
(дожил! побираться на пгп ру пришел)