Pablo_P
Carder
- Messages
- 56
- Reaction score
- 13
- Points
- 8
Существует важное различие между обходом блокировок и сокрытием.
Обход (circumvention) — это когда вам всё равно, обнаружат ли использование Tor, ваша задача — просто пройти через сетевые фильтры любого рода, чтобы соединение прошло через файрвол. Обход используется в сетях, где, например, провайдеры не хотят, чтобы Tor работал, но в целом использование Tor не запрещено.
Сокрытие (hiding) — это когда вы не хотите, чтобы кто-либо обнаружил факт использования Tor, и пытаетесь скрыть сам факт подключения к сети Tor. Сокрытие необходимо в жёстко контролируемых сетях, где правительство запрещает VPN (например, в Китае) или стремится максимально блокировать такие возможности.
Теперь, когда мы разобрались с терминологией, сосредоточимся на OBFS4. Протокол OBFS4 не предназначен для сокрытия использования Tor, а для обхода ограничений в сетях, чтобы обеспечить доступ к Tor.
Простые способы скрыть использование Tor без OBFS4
Корректно настроенные VPN, SSH или современные прокси-туннели (например, XTLS) на стороне клиента и сервера.
Несмотря на утверждения на странице
[whonix org/wiki/Bridges]
Это мнение основано на предположениях (не подтверждённых фактами или исследованиями) из
[gitlab torproject org/legacy/trac/-/wikis/doc/TorPlusVPN#VPNSSHFingerprinting]
Такие атаки неэффективны против правильно настроенных VPN-решений. Хотя с точки зрения анонимности (взгляд глобального противника) не рекомендуется подключать VPN перед Tor, если у вас нет выбора или вы хотите полностью скрыть использование Tor это может быть вариантом.
Tor предоставляет дополнительные уровни защиты от подобных атак. Стоит отметить, что исследования по этим атакам рассматривают их с позиции противника, пытающегося определить, используете ли вы Tor внутри VPN (сценарий VPN(Tor)). Никто из исследователей не представил конкретных доказательств или обоснованных предположений, что противник может использовать такие атаки для определения сайтов, которые вы посещаете внутри этого зашифрованного туннеля. Это означало бы, что VPN-туннель был скомпрометирован заранее.
Добавление подключения через OBFS4 или, что ещё лучше, использование только .onion-сервисов сделает использование Tor неотличимым от любого другого VPN-соединения в сценарии Tor внутри VPN.
Ещё раз напоминаю про различие между обходом блокировок и сокрытием (circumvent vs hiding).
Простые способы обхода файрволов для использования Tor без OBFS4
Ограничения файрвола часто зависят от конкретного провайдера или сети. Чтобы лучше понять, что такое обход (circumvention), рассмотрим ситуацию, когда вы подключаетесь к сети в гостинице или на аэропортовом Wi-Fi, где обычно требуется оплата. Если вы разбираетесь в технике, можно обойти эти ограничения, подготовившись заранее.
Если обычные методы, такие как VPN с портами 80/443 или нестандартными портами, TLS-CRYPT, obfs4, SSH, SSL не работают есть другие варианты.
Например, можно запустить простой VPN-сервер, но пропустить трафик через порт 53 (DNS) и подключиться к нему до того, как вводить любые данные или оплачивать услуги. Многие сети настроены некорректно и позволяют пройти DNS-запросы к реальным IP-адресам сервисов. Для этого подходит инструмент iodine. Хотя пропускная способность будет ограничена и асимметрична, такой метод позволит выйти в сеть. После подключения к VPN вы сможете использовать Tor.
Дополнительное подключение через OBFS4 может быть полезно для скрытия использования Tor, как в примере с сокрытием.
Теперь основы рассмотрены.
Способы обхода ограничений для использования Tor с OBFS4 в жёстко контролируемых сетях
Протокол OBFS4 в своей стандартной конфигурации уже некоторое время распознаётся различными режимами, которые активно блокируют такие подключения в сетях своих стран. OBFS4 не особо хорошо скрывает сам факт подключения к Tor.
Тем не менее, OBFS4 нельзя считать бесполезным в большинстве случаев его использование предпочтительнее других предлагаемых методов (pluggable transports).
Мало обсуждаемая, но важная опция режим IAT (Inter-Arrival Time), с которым вы наверняка сталкивались в конце строк своих OBFS4-мостов. Некоторые из них имеют iat-mode 0, другие 1 или 2.
Подробнее можно прочитать на
[whonix.org/wiki/Bridges]
Режим IAT помогает нарушать тайминговые сигнатуры, отслеживаемые в жёстко ограниченных сетях, за счёт изменения времени между отправкой различных байтов фактически разбивая более крупные пакеты на более мелкие части.
[github.com/Yawning/obfs4/blob/master/transports/obfs4/obfs4.go]
Если изучить Go-файл по ссылке выше более подробно, можно увидеть, что включение режима 2 (параноидального) ухудшает производительность.
[computerscot.github.io/tor-obfs4-bridge-iat-mode-2.html & jmwample.github.io/ptrs/]
Если вы любитель визуального обучения, я предлагаю следующий веб-сайт (ВНИМАНИЕ: требуется включённый JavaScript), который демонстрирует и объясняет каждый байт OBFS4
Помните: режим IAT работает корректно только в случае, если он включён на обеих сторонах соединения. Если на сервере установлен iat-mode=0, а вы укажете 1 или 2 в torrc клиента эффекта не будет.
Отличное руководство по созданию собственного (приватного или публичного) OBFS4-моста с режимом IAT 2 (или 1)
Я читал исследование, в котором утверждалось, что эффект от IAT не стоит затрат. К сожалению, ссылку сейчас найти не могу возможно, кто-то из читателей откопает. Однако пользователи из таких стран, как Иран, Туркменистан и других с жёсткой цензурой сообщают об успешном использовании публичных OBFS4 мостов с IAT-MODE=2.
Корректно настроенные приватные OBFS4-мосты с IAT-MODE=2 в настоящее время успешно работают в Китае уже как минимум пару недель. Это вполне жизнеспособный вариант, если у вас есть возможность запускать несколько инстансов в месяц.
Дополнительные способы обхода, которые могут снизить вероятность блокировки серверов системой "Великий китайский файрвол" (GFW), включают размещение мостов в регионах, управляемых Китаем, или в дружественных ему странах.
На данный момент другие виды транспорта, предлагаемые Tor (например, webtunnel), не работают в Китае вовсе или доступны только на очень короткое время.
Обход (circumvention) — это когда вам всё равно, обнаружат ли использование Tor, ваша задача — просто пройти через сетевые фильтры любого рода, чтобы соединение прошло через файрвол. Обход используется в сетях, где, например, провайдеры не хотят, чтобы Tor работал, но в целом использование Tor не запрещено.
Сокрытие (hiding) — это когда вы не хотите, чтобы кто-либо обнаружил факт использования Tor, и пытаетесь скрыть сам факт подключения к сети Tor. Сокрытие необходимо в жёстко контролируемых сетях, где правительство запрещает VPN (например, в Китае) или стремится максимально блокировать такие возможности.
Теперь, когда мы разобрались с терминологией, сосредоточимся на OBFS4. Протокол OBFS4 не предназначен для сокрытия использования Tor, а для обхода ограничений в сетях, чтобы обеспечить доступ к Tor.
Простые способы скрыть использование Tor без OBFS4
Корректно настроенные VPN, SSH или современные прокси-туннели (например, XTLS) на стороне клиента и сервера.
Несмотря на утверждения на странице
[whonix org/wiki/Bridges]
Это мнение основано на предположениях (не подтверждённых фактами или исследованиями) из
[gitlab torproject org/legacy/trac/-/wikis/doc/TorPlusVPN#VPNSSHFingerprinting]
Такие атаки неэффективны против правильно настроенных VPN-решений. Хотя с точки зрения анонимности (взгляд глобального противника) не рекомендуется подключать VPN перед Tor, если у вас нет выбора или вы хотите полностью скрыть использование Tor это может быть вариантом.
Tor предоставляет дополнительные уровни защиты от подобных атак. Стоит отметить, что исследования по этим атакам рассматривают их с позиции противника, пытающегося определить, используете ли вы Tor внутри VPN (сценарий VPN(Tor)). Никто из исследователей не представил конкретных доказательств или обоснованных предположений, что противник может использовать такие атаки для определения сайтов, которые вы посещаете внутри этого зашифрованного туннеля. Это означало бы, что VPN-туннель был скомпрометирован заранее.
Добавление подключения через OBFS4 или, что ещё лучше, использование только .onion-сервисов сделает использование Tor неотличимым от любого другого VPN-соединения в сценарии Tor внутри VPN.
Ещё раз напоминаю про различие между обходом блокировок и сокрытием (circumvent vs hiding).
Простые способы обхода файрволов для использования Tor без OBFS4
Ограничения файрвола часто зависят от конкретного провайдера или сети. Чтобы лучше понять, что такое обход (circumvention), рассмотрим ситуацию, когда вы подключаетесь к сети в гостинице или на аэропортовом Wi-Fi, где обычно требуется оплата. Если вы разбираетесь в технике, можно обойти эти ограничения, подготовившись заранее.
Если обычные методы, такие как VPN с портами 80/443 или нестандартными портами, TLS-CRYPT, obfs4, SSH, SSL не работают есть другие варианты.
Например, можно запустить простой VPN-сервер, но пропустить трафик через порт 53 (DNS) и подключиться к нему до того, как вводить любые данные или оплачивать услуги. Многие сети настроены некорректно и позволяют пройти DNS-запросы к реальным IP-адресам сервисов. Для этого подходит инструмент iodine. Хотя пропускная способность будет ограничена и асимметрична, такой метод позволит выйти в сеть. После подключения к VPN вы сможете использовать Tor.
Дополнительное подключение через OBFS4 может быть полезно для скрытия использования Tor, как в примере с сокрытием.
Теперь основы рассмотрены.
Способы обхода ограничений для использования Tor с OBFS4 в жёстко контролируемых сетях
Протокол OBFS4 в своей стандартной конфигурации уже некоторое время распознаётся различными режимами, которые активно блокируют такие подключения в сетях своих стран. OBFS4 не особо хорошо скрывает сам факт подключения к Tor.
Тем не менее, OBFS4 нельзя считать бесполезным в большинстве случаев его использование предпочтительнее других предлагаемых методов (pluggable transports).
Мало обсуждаемая, но важная опция режим IAT (Inter-Arrival Time), с которым вы наверняка сталкивались в конце строк своих OBFS4-мостов. Некоторые из них имеют iat-mode 0, другие 1 или 2.
Подробнее можно прочитать на
[whonix.org/wiki/Bridges]
Режим IAT помогает нарушать тайминговые сигнатуры, отслеживаемые в жёстко ограниченных сетях, за счёт изменения времени между отправкой различных байтов фактически разбивая более крупные пакеты на более мелкие части.
[github.com/Yawning/obfs4/blob/master/transports/obfs4/obfs4.go]
Если изучить Go-файл по ссылке выше более подробно, можно увидеть, что включение режима 2 (параноидального) ухудшает производительность.
[computerscot.github.io/tor-obfs4-bridge-iat-mode-2.html & jmwample.github.io/ptrs/]
Если вы любитель визуального обучения, я предлагаю следующий веб-сайт (ВНИМАНИЕ: требуется включённый JavaScript), который демонстрирует и объясняет каждый байт OBFS4
Помните: режим IAT работает корректно только в случае, если он включён на обеих сторонах соединения. Если на сервере установлен iat-mode=0, а вы укажете 1 или 2 в torrc клиента эффекта не будет.
Отличное руководство по созданию собственного (приватного или публичного) OBFS4-моста с режимом IAT 2 (или 1)
Я читал исследование, в котором утверждалось, что эффект от IAT не стоит затрат. К сожалению, ссылку сейчас найти не могу возможно, кто-то из читателей откопает. Однако пользователи из таких стран, как Иран, Туркменистан и других с жёсткой цензурой сообщают об успешном использовании публичных OBFS4 мостов с IAT-MODE=2.
Корректно настроенные приватные OBFS4-мосты с IAT-MODE=2 в настоящее время успешно работают в Китае уже как минимум пару недель. Это вполне жизнеспособный вариант, если у вас есть возможность запускать несколько инстансов в месяц.
Дополнительные способы обхода, которые могут снизить вероятность блокировки серверов системой "Великий китайский файрвол" (GFW), включают размещение мостов в регионах, управляемых Китаем, или в дружественных ему странах.
На данный момент другие виды транспорта, предлагаемые Tor (например, webtunnel), не работают в Китае вовсе или доступны только на очень короткое время.
