fuccsoc 9 фев 2022 в 16:18

Обфускация трафика своими руками. Часть первая — OBFS4

4 мин

14K

Информационная безопасность *Сетевые технологии *

Из песочницы

+12

Комментарии 21

nkretov 09.02.2022 в 16:32

в ssh клиенте есть встроенный socks proxy:
ssh -D 8080 my_vm_in_amazon - и в браузере прокси указываем localhost:8080

fuccsoc 09.02.2022 в 16:38

Да, действительно. Но в некоторых случаях, операторы / государство может спустя какое-нибудь время после установления сессии обрезать скорость - работать в терминале все ещё будет реально, а вот серфить интернет - нет.

nkretov 09.02.2022 в 21:14

я правильно понимаю, что предлагается обфусцировать траффик а затем его еще и шифровать?

Spyder_Jerusalem 10.02.2022 в 17:24

Интересный проект, благодарю за наводку, я так понял что у них есть отдельные конфиги для шифрования траффика и их можно выставлять ключом вместо obfs4?

nalinor 09.02.2022 в 18:13

Хотелось бы увидеть применение obfs4 на практике: примеры использования, как человек посередине (например, провайдер) видит этот трафик, и существует ли возможность деобфусцировать его

olegtsss 09.02.2022 в 19:07

Да! Дампы покажите пожалуйста, очень интересно.

НЛО прилетело и опубликовало эту надпись здесь

edo1h 09.02.2022 в 19:21

какая-то куцая статья.
из неё совершенно непонятно, что именно подразумевается под обфускацией, что такое obfs4 и чем он отличается от альтернатив.

fuccsoc 09.02.2022 в 22:25

Обфкскация трафика простыми словами - либо его маскировка под другой вид (например Wireguard под HTTPS) или попытка сделать его не анализируемым (превращая в набор байт, как делает obfs4)

Цель статьи - не дать определения или сравнить, а скорее написать более-менее читаемые инструкции на русском языке, ибо когда я пытался все это развернуть, нехватка информации и гайдов реально ощущалась.

Спасибо за критику!

edo1h 09.02.2022 в 22:55

Цель статьи — не дать определения или сравнить, а скорее написать более-менее читаемые инструкции

ИМХО в корне неверный подход.
скриншотами next-next-done и так весь интернет завален, пользы от них если хочешь разобраться никакой.
хорошая статья должна начинаться с того, зачем мы что-то делаем (тут у вас есть живой пример, неплохо), потом говорить что мы будем делать (обфусцировать трафик, превращая его для стороннего наблюдателя в набор случайных байт, который невозможно детектировать на dpi) и почему именно этот путь выбран (ну хотя бы потому, что применение obfs4 в tor показало жизнеспособность этого решения).
а «как сделать» — это тема скорее не для статьи, а для плейбука ансибла или вообще шелл-скрипта.

fuccsoc 09.02.2022 в 23:01

цель конкретно данной статьи - рассказать о технологии obfs4. в дальнейшем, планируется рассмотреть остальные (типа V2Ray, Screamsuite и т.п.), чтобы уже потом сравнивать их и смотреть, что детектится на DPI, а что нет

edo1h 09.02.2022 в 23:24

цель конкретно данной статьи — рассказать о технологии obfs4

я не увидел рассказа о технологии, я увидел скрипт для установки/настройки конкретной реализации.

snp 10.02.2022 в 08:26

Wireguard под HTTPS

Wireguard работает по UDP и на kernel-level (это его главное преимущество, т.к. обеспечивает высокую скорость работы). Если мы его заворачиваем в TCP (https), то это будет некий софт в user-level, а значит — теряем в производительности. Ну и TCP для туннелей сам по себе плохой выбор.

Если надо получить рандомно выглядящие данные без какого-либо идентифицируемого формата, то хороший вариант — OpenVPN в режиме Static Key (без использования TLS). Правда, в этом случае ключ не меняется и не обеспечивается Forware Secrecy.

Кстати, только что нашёл ещё openvpn_xorpatch, его не пробовал. Он обфусцирует трафик OpenVPN в режиме TLS.

SerJ_82 10.02.2022 в 15:17

Вот вам пища для размышления: у всех провайдеров устанавливается оборудование ТСПУ. Помимо прочего оно умеет определить трафик по сигнатуру и если нужно, резать скорость в режиме реального времени.

Вопрос: поможет ли обфускация в этом случае?

fuccsoc 10.02.2022 в 15:47

Однозначно на этот вопрос до наступления "момента икс", когда что-то заблокируют или порежут нельзя. Но скорее всего да - для этого все и было придумано. Из технологий обфускации есть множество "маскировочных" - в отличии от obfs4 они превращают трафик в подобие другого, например, косят под HTTPS или HTTP.

В дальнейшем, я планирую разобрать именно такие технологии и попробовать протестировать посниффить обфусцированный трафик и сравнить его с "настоящим" HTTPS.

SerJ_82 10.02.2022 в 18:42

Вот это и интересно: как, точнее под что замаскировать трафик, генерируемый например Ютубом? Явно не под "просмотр статей на Хабре" =)

fuccsoc 11.02.2022 в 14:03

я сомневаюсь, что кто-то вручную будет анализировать большие пакеты.

а даже если и будет - можно маскировать, например, под загрузку какого-нибудь объемного файла

sakontwist 11.02.2022 в 01:25

На данный момент пара крупных провайдеров успешно подрезает bridge-трафик в obfs4. Не работает ни анонс моста, ни обращение клиентов к бриджу. Уже могут.

edo1h 10.02.2022 в 16:03

Вопрос: поможет ли обфускация в этом случае?

зависит от того как будут резать. если по белым спискам, то ничего не поможет, если только нет содействия со стороны владельцев серверов, попавших в белые списки

Runis 29.07.2022 в 22:43

Интересная статья, хоть и немного непонятая.

Хотелось бы узнать разницу между протоколами обфускации, можно ли их комбинировать, ну и чуть более подробнее описывать, тк не все читающие програмистами являются.

fuccsoc 02.08.2022 в 13:18

Обязательно напишу, как только появится свободное время

Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.