Почему vpn не обходит блокировки
Перейти к содержимому

Почему vpn не обходит блокировки

  • автор:

Как обойти блокировку VPN?

VPN – программа, обеспечивающая пользователям доступ к любым запрещенным сайтам. Оригинальный инструмент позволяет легко обходить блокировку, ускоряет быстродействие интернета и защищает личную информацию пользователей. Сервис надежно прячет данные посетителей ресурсов даже от провайдеров. По некоторым причинам ВПН может стать недоступен для пользователей, и тогда разблокировать его можно несколькими методами. Обход блокировки VPN провайдером позволяет заходить на запрещенные ресурсы.

Как обойти блокировку VPN сервиса

Приемы блокировки интернета провайдером

Веб-аналитики выделяют 4 основных способа, которые применяют провайдеры для блокировки ВПН.

  1. Закрытие IP. Действие происходит из-за обнаружения поставщиком сети конечного адреса применяемого расширения. Провайдер знает IP-адрес пользователя и использующегося VPN. Он ограничивает доступ через firewall или закрывает подсоединение к сервису. Наличие подключения проверяется путем рассмотрения поступающей информации. Если она закодирована, то используется ВПН. При изучении данных поставщик может выявить отсутствие разрешения DNS. Оба фактора свидетельствуют об обходе запрета.
  2. Ограничение доступа порта. Как отключить блокировку VPN при подобном запрете? Данный вопрос часто задают пользователи. Провайдерам известны не только IP-адреса и серверы, но и используемые порты. Если поставщик считает их несущественными, то может убрать из реестра активных. Доступ ограничивается к таким позициям: протокол IPSec, 1194, протокол L2TP, UDP 4500. Их закрытие становится причиной блокировки ВПН.
  3. Применение DPI, запрет соединения. Deep Packet Inspection – это особый прием для подробного изучения интернет-трафика. Применение кодирования OpenVPN не застраховано от взлома. Такая особенность объясняется специальным протоколом. Если поставщик обнаруживает обходные действия, то блокирует трафик с помощью firewall либо тормозит его.
  4. Анализ пакетов GRE. Высокая скорость Интернет-соединения осуществляется с помощью протокола PPTP, поэтому он достаточно популярен. Данная позиция отличается низким уровнем безопасности из-за хакерских атак на кодированную информацию. Провайдеры дешифруют ее и анализируют пакеты GRE. Подозрение вызывают все отклонения от стандартных вариантов, поэтому они быстро выявляются и отключаются от сети.

Действия пользователя при блокировке VPN провайдером

Любая из перечисленных выше блокировок снимается. Ограничение доступа к IP-адресу убирается путем создания нового подсоединения к другому свободному VPN. Этот метод дает возможность получить новый IP, не подвергающийся отслеживанию провайдера. Доступ возобновляется путем использования порта 443.

Это классическая позиция для подключения HTTPS, поэтому поставщик не заблокирует адрес пользователя, поскольку такие действия перекроют связь со всеми ресурсами в интернете. Наша компания Alt VPN разрабатывает различные расширения, в которых используется порт 443, благодаря чему обеспечивается безопасность пользователей в сети.

Подмена провайдером DPI может восстановиться только путем обфускации. Такой прием скроет обычный трафик OpenVPN и идентифицирует его с HTTPS. Замена осуществляется с помощью проверенного провайдера – нашей компании Alt VPN. Для этого пользователю необходимо купить VPN. Клиенты компании получают консультации специалистов, если сделана блокировка VPN в России 2022.

Проблема решается отказом пользователя от применения протокола PPTP. В нашей компании Alt VPN можно приобрести один из 5 доступных пакетов услуг. Пользователи могут определиться с выбором сами или с помощью специалистов. Использование платных пакетов обеспечивает кодировку высокого уровня и совершенно не влияет на трафик.

Возможности для ограничения доступа от оператора

Многие веб-серферы пользуются подключением нескольких узлов и применяют двойные варианты. Такая особенность дает возможность повысить уровень безопасности кодировки. Провайдером осуществляется блокировка VPN-сервисов путем фиксации адреса первого расширения во время подсоединения, поэтому вся схема разрушается. За одним пользователем поставщик трафика наблюдать не будет. Слежка может происходить после подозрительной активности, приводящей к проявлениям более пристального внимания.

Если доступ к расширению ограничен, то изучать поток сведений о нем не удастся из-за процесса кодировки. Взломать шифр сложно, поэтому многие компании не тратят на это свои финансовые и временные ресурсы. Кодировка снимается путем использования протокола PPTP. Такая позиция характеризуется отсутствием полной безопасности. Информация о работе в сети становится открытой для третьих лиц – интернет-мошенников и рекламодателей, что весьма неблагоприятно сказывается на конфиденциальности пользователя.

Причины блокировки ВПН

Блокировка провайдером частных виртуальных сетей может происходить ошибочно. Такая проблема легко решается путем обычного звонка в техническую службу, отвечающую за соединение с интернетом. Провайдер может заблокировать доступ к сети по причинам, на которые стоит обратить внимание.

  1. Подозрение клиента в действиях, противоречащих правилам, установленных Роскомнадзором. Поставщик может решить, что посетитель пользуется особой кодировкой для того, чтобы получить закрытую информацию или зайти на незаконные сайты. Данный подход – предлог провайдера для отключения от интернета.
  2. Закон запрещает скачивать пиратские файлы и торренты, поэтому обнаружение такого нарушения чревато блокировкой пользовательского ВПН. Многие клиенты применяют обход блокировок, поэтому поставщик урезает трафик.
  3. Продавец интернета нередко ограничивает пропускную способность из-за финансовой выгоды. Если посетитель обходит запреты для того, чтобы увеличить объемы трафика, поставщик может быть недоволен такими действиями.
  4. Обход блокировки VPN в России непосредственно связан с санкциями, касающимися государства либо конкретного сайта. Таким способом правительство РФ старается ограничить своих граждан от ложных сведений. Контент некоторых сайтов подвержен строгой цензуре, поэтому провайдер не только ограничивает посещение, но и блокирует ВПН.
  5. Шифрование информации может не понравиться поставщику трафика из-за снижения дохода, поступающего от продавцов рекламы. Пользователи, задействующие частную виртуальную сеть, плохо поддаются тотальному контролю, поэтому считаются особенно опасными для провайдера.

Блокировка выполняется по усмотрению поставщика, из-за чего пользователи ищут всевозможные пути обхода запретов на применение VPN. Правильно подобранный сервис, снимающий все ограничения, дает возможность клиентам работать в сети интернет.

Ограничения на применение ВПН снимаются при помощи нескольких приемов, благодаря которым все анонимные данные клиентов надежно защищены от третьих лиц. Создатели программных обеспечений разработали 2 расширения, помогающие разблокировать запретные сайты: Virtual Private Network и Proxy.

Особенности работы с VPN

Вход на ресурсы, заблокированные в сети, выполняется, если подключить VPN сервис. ВПН безопасно соединяет персональный компьютер клиента с Интернетом путем шифрования личных сведений. Пользователь может заходить в сеть из страны, не запрещенной для использования данного ресурса. Virtual Private Network надежно скрывает сведения в туннелях сети, благодаря их кодированию.

Информация шифруется таким образом, что найти пользователя и рассекретить его локацию становится практически нереально, поскольку она надежно скрыта от посторонних лиц. ВПН сохраняет анонимность клиента, контролирует трафик и следит за тем, чтобы открытые сведения не вышли за границы интернета. Для того, чтобы подключить Virtual Private Network, следует скачать ПО и активировать его на устройстве.

Во время выхода пользователя в сеть его планшету, смартфону или ПК присваивается IP-адрес, характеризующийся оригинальностью. По IP человека можно многое узнать и следить за его передвижениями в интернете. Из-за этого конфиденциальная информация может попасть в руки мошенников. Активация VPN помогает гарантированно скрыть IP-адрес пользователя. Вместо него высвечивается локация виртуальной сети, что дает возможность снять ограничения, которые распространяются на ресурсы.

Выбор страны в настройках VPN, отличающейся от настоящего местоположения клиента, разрешает пользоваться сайтами, не запрещенными для выбранного местоположения. Специалисты нашей компании AltVPN научат, как обходить блокировку VPN в России и работать даже на запрещенных веб-ресурсах.

Обсудить на странице: —> —> —>

VPN в России: от блокировки сервисов к блокировке протоколов

Исследование о том, как россияне пользуются инструментами обхода блокировок и как реагируют на блокировки этих сервисов.

Выводы:

  • как минимум 6 из 15 исследуемых VPN-сервисов испытывали проблемы с доступом в Сеть при блокировке протоколов OpenVPN и Wireguard;
  • пользовательская стратегия перебора VPN-сервисов в поисках рабочего — большая уязвимость при блокировке популярных протоколов;
  • существует мало исследований работы ТСПУ;
  • законодательная база для блокировки VPN-сервисов становится всё шире.

Интернет-цензура в России активно развивается с каждым годом. В индексе свободы интернета страна с 2011 года стабильно теряет позиции. Это обусловлено как регуляторными изменениями, создающими нормативную базу для усиления цензуры, так и ростом числа и разнообразия блокируемых ресурсов.

График: Индекс свободы интернета России с 2011 по 2023 год

Сервисы обхода блокировок подвергаются активной цензуре в России с 2017 года, когда заработал запрет VPN-сервисам предоставлять доступ к заблокированным сайтам. В 2023 году государство пошло дальше и позволило Роскомнадзору блокировать саму информацию об обходе блокировок. Наконец, совсем недавно Совет Федерации попросил Роскомнадзор проверить и заблокировать более 50 VPN-сервисов, предоставляющих доступ к запрещённым в России соцсетям.

Вместе с тем востребованность VPN-сервисов и других инструментов по обходу блокировок резко выросла с началом «специальной военной операции», достигнув пиковых значений к середине марта 2022 года. По данным Atlas VPN, количество скачиваний различных VPN-сервисов увеличилось примерно в три раза по сравнению с 2021 годом, с 12 585 576 скачиваний в 2021-ом до 33 540 600 скачиваний в 2022-ом.

Г рафик: Количество ежедневных скачиваний Proton VPN с 14 февраля 2022 по 19 апреля 2022

В 2023 году спрос резко упал, и за первую половину 2023 года российские пользователи скачали VPN только 3 366 919 раза. В дальнейшем всплески скачиваний совпадали по времени с сообщениями о блокировках популярных VPN-сервисов.

Представляем исследование о том, как россияне пользуются инструментами обхода блокировок, какие сервисы наиболее популярны и как пользователи реагируют на их блокировки сервисов.

VPN-сервисы и VPN-протоколы: около половины исследуемых блокируется

На основе наиболее популярных сервисов по количеству поисковых запросов и по результатам нашего опроса среди пользователей, мы составили следующий список из 15 популярных сервисов:

  1. AdGuard VPN
  2. Express VPN
  3. Proton VPN
  4. Turbo VPN
  5. VPN Planet
  6. VPN Proxy Master
  7. Amnezia VPN
  8. Lantern VPN
  9. Psiphon VPN
  10. Outline VPN
  11. Secure VPN
  12. Nord VPN
  13. RedShield
  14. Hola VPN
  15. AntiZapret

По данным OONI, домены 8 из 15 самых популярных сервисов уже блокируются в РФ.
AdGuard VPN, AntiZapret, Hola, NordVPN, Psiphon, RedShield, TurboVPN и VPN Proxy Master либо недоступны для российских пользователей, либо доступны только на определенных сетях.

Основные протоколы, используемые этим 15 сервисами:

  • OpenVPN,
  • Wireguard,
  • Shadowsocks,
  • IKEv2,
  • V2Ray.

Из 15 сервисов 4 используют только протокол OpenVPN либо собственный протокол, созданный на основе OpenVPN, ещё 2 сервиса используют Wireguard в дополнение к OpenVPN.

OpenVPN считается одним из самых уязвимых для блокировки протоколов. В исследовании 2022 года CensoredPlanet в рамках эксперимента смогли идентифицировать 85 % трафика, идущего через OpenVPN.

При этом данному протоколу отдают предпочтение российские банки и коммерческие компании, использующие VPN.

Только 2 сервиса из 15 используют протокол Shadowsocks, это Amnezia VPN и Outline VPN.

Shadowsocks — единственный крупный протокол, который пока что не подвергся массовым блокировкам. Его сложнее определить.

Хотя нельзя гарантировать, что сервисы, использующие Shadowsocks не подвергнутся блокировкам со следующей волной. Также пока не блокируются сервисы обфускации (маскировки соединения), однако, к сожалению, немногие пользователи в России ими пользуются. Нельзя исключать и возможность блокировки обфусцированного трафика: исследования показывают, что соединение с помощью протокола OpenVPN можно достаточно легко обнаружить даже при использовании разных механизмов обфускации.

6 из 15 сервисов имеют встроенную возможность использовать обфускаторы. Только 5 сервисов предлагают встроенные инструменты обеспечения анонимности.

Таким образом, когда в августе 2023 года начали блокировать протоколы OpenVPN и Wireguard, как минимум 6 из 15 сервисов начали испытывать проблемы с доступом в сеть.

В зависимости от эффективности обфускации остальных сервисов и осведомлённости пользователей о существовании подобной настройки, ещё как минимум три сервиса (Express VPN, Nord VPN, Proton VPN) могли оказаться заблокированы.

Так как блокировки с помощью ТСПУ (технические средства противодействия угрозам) не всегда осуществляются по решению суда или включению ресурса в реестр Роскомнадзора, некоторые сервисы смогли подать иск к Роскомнадзору с требованием отменить блокировку. Пока неизвестно, чем закончится этот процесс, но этот иск может стать хорошим прецедентом в юридической практике.

�� «Роскомсвобода » ведет собственный рейтинг VPN Love, составленный экспертами в сфере инфобезопасности и цифровыми правозащитниками.

От запрещённой информации до запрета информации о VPN

VPN-сервисы в России блокировались в разном масштабе начиная с 2017 года, когда вступил в силу закон о запрете использования VPN-сервисов и анонимайзеров для доступа к запрещённой информации.

В 2019 году Роскомнадзор начал требовать от VPN-сервисов, действующих на территории РФ подключения к Федеральной государственной информационной системе (ФГИС).

В 2021 году появлялись первые сообщения о протокольных блокировках.

О проблемах в работе сервисов сообщали и продолжают сообщать в 2022 году и в 2023 году. Также в 2023 году государство позволило Роскомнадзору блокировать саму информацию об обходе блокировок.

С марта 2024 года маркетплейсы должны будут удалять приложения VPN-сервисов по требованию Роскомнадзора. В следующем году он может начать блокировать все VPN-сервисы, которые предоставляют доступ к заблокированным в России сайтам. В первую очередь блокировка коснётся сервисов в магазинах приложений.

Интернет-цензура в целом приняла всеобъемлющие масштабы в 2023 году. Так, в середине 2023 года Роскомнадзор отчитался об увеличении числа блокировок на 85 % по сравнению с 2022 годом. При этом ещё в 2022 году уже было заблокировано большинство сайтов независимых медиа, активно блокировались зеркала независимых ресурсов, сайты правозащитных проектов и политических организаций. По данным OONI, цензура в России затронула практически все типы контента — от коммерческих бизнесов до экологических и просветительских проектов.

Подробнее о цензуре в России в целом читайте здесь.

Выводы: мало данных о ТСПУ, мало навыков у пользователей

В рамках этого исследования мы обнаружили несколько лакун, на которые нам бы хотелось обратить внимание правозащитного, технологического и исследовательского сообщества в России.

Исследование работы ТСПУ. На данный момент опубликовано всего несколько академических исследований о том, сколько российских ТСПУ установлено на данный момент и как они фильтруют трафик российских пользователей. Так как ТСПУ являются ключевым элементом российской цензуры, который позволяет усилить ее за счёт централизации, мы считаем, что технологическому и исследовательскому сообществу нужно больше взаимодействовать для изучения этой темы.

Осведомление пользователей о механзмах работы VPN-сервисов и обфускации. Текущая пользовательская стратегия перебора VPN-сервисов в поисках рабочего приложения может стать большой уязвимостью при блокировке основных популярных протоколов.

Цензура в России усиливается с каждым годом. Увеличивается как число, так и разнообразие блокируемых сервисов. Если раньше блокировки часто были непоследовательными и одни и те же ресурсы могли блокироваться разными способами и в разной степени у разных провайдеров на различных сетях, то в 2021 году в России для блокировки впервые были применены ТСПУ.

В октябре 2023 Amnezia VPN анонсировала свой протокол AmneziaWG, предназначенный для стран со строгой цензурой.

В 2022 году исследователи показали, что с помощью DPI устройств можно сравнительно легко обнаруживать соединения, осуществляемые с помощью одного из самых распространенных протоколов OpenVPN даже при использовании обфускации.

В 2023 году мы видим, как ТСПУ применяется в России для блокировки отдельных VPN-протоколов и как эти блокировки могут происходить скоординировано в одно и то же время у разных провайдерах в разных регионах.

Несмотря на то, что большинство российских пользователей пользуются VPN-сервисами и знают о существовании интернет-цензуры и блокировок, многие из них недостаточно осведомлены о том, как именно работают инструменты обхода блокировок.

Такая неосведомленность, с одной стороны, приводит к тому, что люди выбирают неблагонадёжные сервисы, предпочитая более дешёвые или бесплатные приложения, с другой стороны, в случае блокировки отдельных протоколов не имеют достаточных знаний, чтобы настроить используемый сервис и обойти блокировку.

Цензура в России реализуется не только на уровне сети, но также и на уровне отдельных сервисов, в том числе на уровне социальных сетей и поисковых платформ. Такую цензуру намного сложнее отследить, во многом нам приходится опираться на данные и заявления отдельных сервисов.

Полный текст исследования читайте здесь.

Интернет-цензура и обход блокировок: не время расслабляться

Disclaimer: практически всё, описанное в статье, не является чем-то принципиально новым или инновационным — оно давно известно и придумано, используется в разных странах мира, реализовано в коде и описано в научных и технических публикациях, поэтому никакого ящика Пандоры я не открываю.

Нередко на Хабре в темах, посвященных блокировкам ресурсов, встречаются забавные заявления вида «Я настроил TLS-VPN, теперь будут смотреть что хочу и цензоры мой VPN не заблокируют», «Я использую SSH-туннель, значит все ок, не забанят же они весь SSH целиком», и подобное. Что ж, давайте проанализируем опыт других стран и подумаем, как же оно может быть на самом деле.

0

Итак, допустим мы купили у какого-то сервиса, или, как подкованные пользователи, установили в личном облаке/VPS и настроили VPN-сервер для себя. Допустим, это популярные WireGuard или OpenVPN. Знаете что? WireGuard — это такой прекрасный протокол, который всеми своими пакетами просто кричит «Смотрите все, смотрите, я — VPN». И это, в принципе, не удивительно, потому что авторы на сайте проекта прямым текстом пишут, что обфускация не входила и не будет входить в их цели и планы.

Соответственно, на оборудовании DPI (оно же ТСПУ) при небольшом желании протокол WireGuard выявляется и блокируется на раз-два. IPSec/L2TP — аналогично. С OpenVPN то же самое — это, наверное, вообще самый первый протокол, который китайцы научились выявлять и банить на своем «великом китайском фаерволе» (GFW). We are fucked.

1

Окей, допустим мы сделали выводы, и вместо совсем уж палевных протоколов решили использовать TLS-VPN, такие как SSTP, AnyConnect/OpenConnect или SoftEther — трафик в них ходит внутри TLS, начальная установка соединения производится по HTTP — что должно быть совсем никак неотличимо от обычного подключения к любому обычному сайту. Ну, как сказать.

В случае с MS SSTP цензоры, желая выяснить, а чем же вы таким занимаетесь, просто сделают запрос на ваш сервер с URL /sra_/ c HTTP-методом SSTP_DUPLEX_POST, как это описано в стандарте протокола, и сервер радостно подтвердит в ответ, что он — да, действительно MS SSTP VPN.

SoftetherVPN в ответ на GET-запрос с путем /vpnsvc/connect.cgi, типом application/octet-stream и пэйлоадом ‘VPNCONNECT‘ выдаст в ответ 200 код и предсказуемый бинарный блоб с рассказом о том, кто он такой.

AnyConnect/OpenConnect при обращении по / или по /auth ответят очень характерной XML’кой. И от всего этого вы не избавитесь никак — это определено в протоколах, и именно через эту логику работают VPN-клиенты. We are fucked.

2

Ясно, мы будем умнее, и поскольку у нас все-таки TLS, давайте поставим перед VPN-сервером reverse-прокси (например, haproxy) и будем разруливать всё по SNI (server name identification): подключения с определенным доменом в запросе будем отправлять на VPN-сервер, а все остальные — на безобидный сайт с котиками. Можно даже попробовать спрятаться за какой-нибудь CDN — не забанят же они весь CDN, правда, и наш трафик из общего трафика ко всей CDN выцепить не смогут, да?

Правда, есть одно «но». В нынешних версиях TLS поле SNI не шифруется, соответственно цензоры легко его подсмотрят и сделают запрос именно с тем именем домена, что надо. На расширение Encrypted Client Hello (ECH), ранее известное как eSNI, можно не рассчитывать: во-первых, оно находится еще в состоянии Draft и неизвестно когда будет принято и повсеместно использоваться, а во-вторых, цензоры могут взять и просто-напросто заблокировать все соединения TLSv1.3 с ECH, как это сделали в Китае. Проблемы индейцев шерифа не волнуют. We are fucked.

3

Шутки в стороны, мы настроены решительно. Например, мы пропатчили OpenConnect-сервер, чтобы он принимал подключения только со специальным словом в URL’е (благо, AnyConnect/OpenConnect-клиенты такое позволяют), а всем остальным отдавал правдоподобную заглушку. Или настроили обязательную аутентификацию по клиентским сертификатам.

Или же мы подключаем тяжелую артиллерию от товарищей-китайцев, которые на обходе блокировок собаку съели. Shadowsocks (Outline) отпадает, ибо его версии до 2022 года уязвимы к replay-атакам и даже active probing’у, но вот V2Ray/XRay с плагином VMess и VLess поверх Websockets или gRPC, либо Trojan-GFW — это то что надо. Они работают поверх TLS, могут делить один и тот же порт с HTTPS-вебсервером, и не зная заветной секретной строчки, которую подслушать снаружи не получится, выявить наличие туннеля и подключиться к нему, казалось бы нельзя, значит все хорошо?

Давайте подумаем. Каждый TLS-клиент при подключении передает серверу определенный набор параметров: поддерживаемые версии TLS, поддерживаемые наборы шифров, поддерживаемые расширения, эллиптические кривые и их форматы. У каждой библиотеки этот набор свой, и его варианты можно анализировать. Это называется ClientHello fingerprinting. Отпечаток (fingerprint) библиотеки OpenSSL отличается от отпечатка библиотеки GnuTLS. Отпечаток TLS-библиотеки языка Go отличается от fingerprint’а браузера Firefox.

И когда с вашего адреса будут зафиксированы частые и долгие подключения к некому сайту клиентом с библиотекой GnuTLS (которая не используется ни в одном популярном браузере, но используется в VPN-клиенте OpenConnect), или с мобильного телефона через мобильного оператора подключается какой-то клиент на Go (на котором написан V2Ray), we are fucked. Такое детектирование, например, производится в Китае и в Туркменистане.

4

Ладно. Допустим, мы пересобрали наш V2Ray-клиент не со стандартной TLS-либой, а с uTLS, которая может маскироваться под популярные браузеры. Или вообще взяли исходники самого популярного браузера, выдрали оттуда весь код сетевого стека и написали свой прокси-клиент на его базе, чтобы быть совсем уже неотличимыми от обычного браузерного TLS. Или решили пойти в сторону маскировки под другие протоколы типа SSH, или взяли OpenVPN с XOR-патчем. Или какой-нибудь KCP/Hysteria с маскировкой под DTLS.

Короче говоря, допустим у нас что-то более редкое и незаметное. Казалось бы, все хорошо? Ну как сказать. Помните «пакет Яровой»? Тот самый, который требует, чтобы интернет-сервисы сохраняли все метаданные сессий, а интернет-провайдеры так вообще записывали дампы трафика своих абонентов? Многие, еще тогда смеялись — мол, ну тупые, что им дадут гигабайты зашифрованных данных, которые они все равно не расшифруют? А вот что.

Пользуетесь вы, допустим, своим туннельчиком, смотрите всякие там запрещенные сайты. А потом — клик! — и случайно заходите через свой туннель на какой-нибудь отечественный сайт или сервис, замеченный в сотрудничестве с государством — условные там VK/Mail.ru/Яндекс или еще что-нибудь. Или на каком-нибудь безобидном сайте попадается виджет, баннер или счетчик от них же. Или кто-нибудь в комментарии вбросит ссылку на какой-нибудь сайт-honeypot, косящий под новостной ресурс, и вы на нее нажмете.

И вот тут произойдет самое интересное. Что внутри TLS, что внутри SSH, что внутри OpenVPN+xor, данные передаются в зашифрованном виде, и их не расшифровать. Но вот «внешняя форма» (размеры пакетов и тайминги между ними) у зашифрованных данных точно такая же, как и у нешифрованных. Цензоры видят, что от абонента к какому-то неизвестному серверу и обратно ходит трафик, а поток со стороны какого-нибудь подконтрольного сервиса видит, что с того же IP-адреса, что у «неизвестного сервера», туда прилетают какие-то запросы и улетают ответы, и — вот интересно — размеры пакетов и временные моменты практически полностью совпадают. Что весьма характерно говорит о том, что у нас тут прокси, возможно VPN, Андрюха, по коням!

И да, если вы поступите мудрее и у вашего сервера будет два IP-адреса, один на вход, а другой на выход, то сопоставить ваш «вход» и «выход» по адресам не получится, но по «форме» переданных данных, хоть и ощутимо сложнее, но при желании по прежнему можно. We are fucked again.

5

Не так уж плохо дело. Мы настроили для своего туннеля rule-based access. А именно, будем ходить по нему только туда, куда надо, и тогда, когда надо — а во всех остальных случаях пусть пакетики бегают сразу по обычному интернет-подключению. Правда, добавлять каждый раз новый ресурс в список — тот еще геморрой, особенно когда вы держите прокси/VPN не только для себя, но и, например, для далеко живущих немолодых родителей, которые, например, хотят читать всяких там иноагентов — но это, на самом деле, мелочи, мы справимся.

Допустим, мы по-прежнему используем SSH-туннель. Правда, проработает он, скорее всего, недолго. Почему? Потому что дело во всех тех же паттернах трафика. И нет, записывать и мучительно сравнивать ничего никуда уже не надо. Паттерны трафика у ssh-as-console, ssh-as-ftp и ssh-as-proxy очень разные и элементарно выявляются довольно просто должным образом натренированной нейросетью. Поэтому китайцы и иранцы уже давно всё подобное «неправильное» использование SSH выявляют и режут скорость подключения до черепашьей, что в терминале работать вы еще сможете, а вот серфить — практически нет.

Ну или, допустим, вы все-таки используете whatever-over-TLS-туннель с учетом всего приведенного в этой статье. Но проблема в том, что все сказанное в предыдущем абзаце, применимо и к нему — а именно, TLS-inside-TLS выявляется сторонним наблюдателем с помощью эвристик и машинного обучения, которое еще можно дополнительно натренировать на наиболее популярных сайтах. We are still fucked.

6

Ладно. Мы добавили в наш тайный туннель random padding — «дописывание» в конец пакета какого-нибудь мусора случайно длины, чтобы сбить с толку наблюдателей. Или специально бьём пакеты на маленькие кусочки (и получаем проблемы с MTU, ой, придется потом старательно пересобирать). Или, наоборот, когда у нас внутри туннеля устанавливается TLS-соединение с каким-нибудь сервером, мы начинаем слать эти пакеты as-is без дополнительного слоя шифрования, таким образом выглядя со стороны на сто процентов как обычный TLS без двойного дна (правда, придется еще потратить несколько итераций на доведение протокола до ума и затыкание очень тонких и очень неочевидных уязвимостей реализации). Казалось бы, happy end, we are not fucked anymore?

А тут начинается все самое интересное. А именно, рано или поздно в вопросах выявления туннелей и блокировок, особенно с развитием технологий их обхода (в конце концов, мы ещё не затронули стеганографию и много других интересных вещей), начинает расти то, что называется collateral damage — ущерб, возникший случайно в ходе атаки намеренной цели. Например, как говорят инсайдеры и подтверждают сводки с полей, то самое упомянутое выше выявление tls-inside-tls даже с random padding’ом китайцы научились выявлять примерно с точностью 40%. Понятно дело, что при такой точности возможны также ложные срабатывания, но когда проблемы индейцев волновали шерифа?

Протоколы, которые снаружи не похожи ни на что (например, shadowsocks obfs4, и т.д.) тоже при большом желании можно выявить по. статистике нулей и единичек в байтах, потому что у зашифрованного трафика это соотношение очень близко к 1:1 — хотя, понятное дело, при этом могут пострадать невиновные. Можно банить адреса, когда висят слишком много или слишком долго подключения к не-являющимися-очень-популярными-сайтам. Подобных вариантов довольно много, и если вы думаете, что цензоров остановят ложноположительные срабатывания и ущерб от блокировок добропорядочных сайтов — то вы заблуждаетесь.

Когда Роскомнадзор пытался заблокировать Telegram, они вносили в бан-лист целые подсети и хостинги, таким образом побанив кучу ни в чем невиновных сайтов и сервисов — и им за это ничего не было. В Иране, в связи с популярностью упомянутого выше похожего-на-браузер-прокси-клиента, цензоры вообще тупо запретили подключения с Chrome TLS fingerprint к популярным облачным сервисам. В Китае массово попадают под раздачу CDN, услугами которых пользуются безобидные и невиновные сайты и сервисы. В Туркменистане так вообще заблокирована почти треть (!) всех существующих в мире IP-адресов и подсетей, потому что стоит цензорам только выявить хотя бы один VPN или прокси, как в бан отправляется целый диапазон адресов около него или даже вся AS.

Вы, наверное, можете спросить, а что же делать юрлицам, которые тоже пользуются VPN для работы, или чьи сервисы могут случайно попасть под раздачу? Этот вопрос легко решается белыми списками: если юрлицу нужен VPN-сервер, или нужно обезопасить от случайной блокировки какие-либо свои сервисы, то стоит обязать их заранее сообщать о нужных адресах и протоколах в соответствующие ведомства, чтобы те добавили их в какой надо список — именно такие запросы Роскомнадзор через ЦБ рассылал в банки, задумывая что-то нехорошее, и механизм таких списков уже существует.

Ну и, естественно, вполне вытекающим продолжением из этого будет «все что не разрешено — то запрещено». Закон о запрете VPN и анонимайзеров в целях обхода блокировок в РФ уже есть. Запрет использования несертифицированных средств шифрования — тоже. Подкрутить и расширить их зоны применения и многократно ужесточить наказания за такие «нарушения» — дело несложное. В Китае вежливые ребята пришли в гости к разработчикам небезизвестных ShadowSocks и GoAgent и сделали им предложения, от которых те никак не смогли отказаться. В Иране есть случаи возбуждения дел в связи с использованием VPN для доступа к запрещенным сайтам. Механизм стукачества в органы на неблагонадежных соседей был отлично отработан еще в прошлом веке в СССР. У государств есть монополия на насилие, не забывайте. We are fucked again?

4294967295

Как я уже сказал, большая часть того, что описано в статье, не является выдумками или голой теорией — оно давно известно, используется в некоторых странах мира, реализовано в коде и даже описано в научных публикациях.

Обход блокировок это постоянная борьба щита и меча, и одновременно игра в кошки-мышки: иногда ты ешь медведя, иногда медведь ест тебя иногда ты догоняющий, иногда догоняемый.

Если у вас сейчас есть прокси или VPN, и он работает — не расслабляйтесь: вы всего-лишь на полшага впереди недоброжелателей. Можно, конечно, спокойно сидеть и думать «Да они там все дураки и криворукие обезьяны и ниасилят ничего сложного и реально работающего», но, как говорится, надейся на лучшее, а готовься к худшему. Всегда есть смысл изучить опыт тех же китайских коллег и присмотреться к более сложновыявляемым и более цензуроустойчивым разработкам. На чем больше шагов вы будете впереди цензоров, тем больше времени у вас будет в запасе чтобы адаптироваться к изменившейся ситуации. Если вы разработчик и разбираетесь в сетевых протоколах и технологиях — можно присоединиться к одному из существующих проектов, помочь с разработкой и подумать над новыми идеями. Люди всего мира скажут вам спасибо.

Интересными и полезными в этом плане будут Net4People, No Thought is a Crime, дискуссии в проекте XTLS (там большая часть на китайском, но автопереводчик на английский справляется неплохо), GFW report. Если кто-то знает ещё хорошие ресурсы и сообщества по этой теме — напишите в комментарии

Ну и не стоит забывать, что рано или поздно, не имея возможности противостоять подобному свободолюбию технически, государство может начать противостоять административно (та самая монополия на насилие), причем так, что с вашей стороны, в свою очередь, технически противостоять может уже не получиться. Но это уже совсем другая история, требующая отдельной статьи, и, скорее всего, на другом ресурсе.

Когда я писал эту публикацию, я хотел вставить в нее картинки из какого-нибудь мрачного киберпанк-фильма, где в результате развития технологиий слежения и цензуры и невозможности противостоять этому, люди целиком и полностью стали подконтрольны государствам и потеряли все права на свободу мысли и приватность личной жизни. Но я надеюсь, до этого не дойдет. Все в наших руках.

Если вы хотите сказать спасибо автору — сделайте пожертвование в один из благотворительных фондов: «Подари жизнь», «Дом с маяком», «Антон тут рядом».

Attention: Пользователь в Telegram с таким же ником, как у меня — мошенник, не имеющий никакого отношения к автору статьи.

Поднимаем свой VPN за 5 минут, который точно не заблокируют

Поднимаем свой VPN за 5 минут, который точно не заблокируют

Для решения поставленной задачи обратимся к нашим друзьям по Китаю и Ирану, и там и там существуют тотальные блокировки ящурных сервисов. Китайские ребята придумали как обходить, а иранцы сделали это удобным. Важно отметить, что данный VPN поможет обойти блокировки в Туркменистане (в личку пару раз обращались за помощью наши братья туркмены).

�� Для Туркменистана существует проблема заблокированных хостингов, если найдете рабочие сервера то сообщите пожалуйста.

И так представляю вам чудо VPN, он же прокси, он же обфускатор VLESS xtls-reality. Если вкратце, то мы будем упаковывать свой трафик в HTTPS и прятаться за чужими доменами. То есть даже если провайдер будет проверять наш трафик то он получит данные и сертификат сайта за которым мы прикрываемся. И заблокировать у провайдеров всё это получится очень не скоро.

Как работает данная технология хорошо описана в статье на Хабре, а мы как обычные пользователи не будем углубляться и просто и быстро поднимем свой VPN сервер.

Как купить и провести первоначальную настройку есть в моем прошлом гайде:

Как поднять свой VPN за 139р/мес за 30 минут для чайников. Обновлено!

В связи с предстоящей блокировкой Инстаграма я решил поставить себе ВПН, быстро и без запар. (Шутка, клал я на этот инстаграм). Главный плюс этого ВПН то что он будет работать на L2TP/IPSec, то есть не требует установки отдельных приложений итд. Так как данный протокол уже встроен во все современные устройства.

Поднимаем свой VPN за 5 минут, который точно не заблокируютПоднимаем свой VPN за 5 минут, который точно не заблокируютПоднимаем свой VPN за 5 минут, который точно не заблокируютПоднимаем свой VPN за 5 минут, который точно не заблокируютПоднимаем свой VPN за 5 минут, который точно не заблокируютПоднимаем свой VPN за 5 минут, который точно не заблокируютПоднимаем свой VPN за 5 минут, который точно не заблокируютПоднимаем свой VPN за 5 минут, который точно не заблокируютПоднимаем свой VPN за 5 минут, который точно не заблокируютПоднимаем свой VPN за 5 минут, который точно не заблокируют Поднимаем свой VPN за 5 минут, который точно не заблокируютПоднимаем свой VPN за 5 минут, который точно не заблокируютПоднимаем свой VPN за 5 минут, который точно не заблокируют Поднимаем свой VPN за 5 минут, который точно не заблокируют

Главное не забывайте перезагружать панель после введенных изменений. Возможностей масса главное немного разобраться, можете изучить все это самостоятельно.

Каждый кто дочитал тот молодец и хочу разыграть среди вас 3 штуки VPN на 1 год которым вы можете распоряжаться как хотите, для этого оставьте любой коммент с фразой «х-уй» и я вам отправлю QR-код. Итоги подведем в эту субботу.

ПС. Ну и как всегда задавайте ваши вопросы помогу чем смогу.

ППС. Домашнее задание: настройте файрвол на сервере, сделайте отдельного пользователя в системе под которым будет работать панель с ВПНом, сделайте разграничение трафика чтобы он ходил через ВПН только на запрещенные сайты и сервисы.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *