全球主机交流论坛

标题: OpenVPN被墙拦截的解决方案 [打印本页]

作者: victzhang 时间: 2012-12-16 16:37
标题: OpenVPN被墙拦截的解决方案
本帖最后由 victzhang 于 2012-12-16 16:40 编辑

目前墙采用了机器学习算法，识别能力逐渐增强，各种vpn纷纷悲剧。。。

具体内容参见方校长的一篇文章“网络流量分类研究进展与展望”。。。

解决方案是用Obfsproxy承载openvpn数据，混淆openvpn的数据包

https://www.torproject.org/projects/obfsproxy-instructions.html.en

http://sourceforge.net/mailarchive/message.php?msg_id=28851866

再加一篇 http://www.void.gr/kargig/blog/2012/10/05/bypassing-**ship-devices-by-obfuscating-your-traffic-using-obfsproxy/

作者: xiasl 时间: 2012-12-16 16:39

作者: ☆校长☆ 时间: 2012-12-16 16:42
嗯，学习了

作者: html5 时间: 2012-12-16 16:43
提示: 作者被禁止或删除内容自动屏蔽

作者: 哈P哥 时间: 2012-12-16 16:46
学海无涯，支持了

作者: 匿名用户 时间: 2012-12-16 16:47
自己开发加密隧道

作者: mzppfen 时间: 2012-12-16 16:48

作者: coollyct 时间: 2012-12-16 16:49
mark一下。

作者: 0987363 时间: 2012-12-16 17:05
试试看，最后一个链接不对

作者: lazyzhu 时间: 2012-12-16 17:10
Stunnel + OpenVPN 也可以

作者: enta 时间: 2012-12-16 17:34
SSH足矣，简单，VPN太麻烦了

作者: qy117121 时间: 2012-12-16 17:51
学习一下

作者: wwwroot 时间: 2012-12-16 17:53
学习一下

作者: android 时间: 2012-12-16 17:57
这么麻烦

作者: gaogeli 时间: 2012-12-16 21:55
前些天刚看过这个文章，墙现在做的还是蛮牛的，以后做软件，单考虑加密、混淆都不行了，还得加上模拟其他协议。

作者: onlybird 时间: 2012-12-16 22:13
UDP模式能破麼

作者: victzhang 时间: 2012-12-17 06:39
目前UDP模式还没有很好的办法。。。除非修改openvpn的源代码

作者: bzdk 时间: 2012-12-17 09:40

victzhang 发表于 2012-12-17 06:39
目前UDP模式还没有很好的办法。。。除非修改openvpn的源代码

UDP目前墙封的又快又准，TCP加TLS-Auth走22/3389等可以稳定用。

作者: 哈P哥 时间: 2012-12-17 09:52

victzhang 发表于 2012-12-17 06:39
目前UDP模式还没有很好的办法。。。除非修改openvpn的源代码

难道不能像6楼说的自己弄？

作者: 13407 时间: 2012-12-17 11:25
封锁越来越厉害了。

作者: lgsr 时间: 2012-12-17 11:34

其实俺就是看看有图比，就自己一个人用，换个端口用不了2天就封，有必要这么赶尽杀绝吗？
我现在是用SSH+OPENVPN

作者: 眼镜 时间: 2012-12-17 13:41
你们是哪的帝都么？我这pptp挺好的。

作者: victzhang 时间: 2012-12-17 13:56

哈P哥发表于 2012-12-17 09:52
难道不能像6楼说的自己弄？

OpenVPN的数据包已经是加密过的，一般的过滤方法没法识别。现在G。F。W的做法是查找openvpn数据包的特征（比如包的长度、某些关键字节特称等），采用机器学习方法，识别出哪些数据包可能是OpenVPN的数据包。
理论上来说，即使是采用SSH隧道加密，虽然不知道数据包的真实内容，但利用机器学习方法也可以从加密的数据包中区分出哪些是HTTP、哪些是DNS数据包等，据说准确率可以到90%+。
最可靠的办法是伪装成其他协议，或者让协议变得毫无特称无法识别。像电驴，原来很多ISP都封掉了ED2K的协议，后来电驴就开发了“迷惑协议”防止封锁。T。O。R。的SSL/TLS认证过程是模仿FireFox的。
现在需要为OpenVPN加入类似的功能。估计指望官方加入这个功能不大可能，毕竟OpenVPN本身的设计初衷不是用于FQ。期待牛人自己fork一个带迷惑协议功能（特别是UDP）的OpenVPN。

作者: 哈P哥 时间: 2012-12-17 16:09

victzhang 发表于 2012-12-17 13:56
OpenVPN的数据包已经是加密过的，一般的过滤方法没法识别。现在G。F。W的做法是查找openvpn数据包的特征 ...

牛人自己开发出来也不见得给你用。

作者: godstar 时间: 2012-12-17 16:16
天朝在开发这些功能上边真是不遗余力啊~

作者: 哈P哥 时间: 2012-12-17 16:17

godstar 发表于 2012-12-17 16:16
天朝在开发这些功能上边真是不遗余力啊~

这方面的技术可能跟国际接轨了

作者: uuis 时间: 2012-12-17 16:50
可以将Tor流量伪装成Skype视频呼叫，

该程序被称为SkypeMorph，加拿大滑铁卢大学的计算机科学家Ian Goldberg教授是Tor Pr
oject理事会理事，他指出它的目标是让流量看起来像是其它不太可能被屏蔽的协议，除非
关闭互联网，但埃及已有先例。SkypeMorph依赖于微软的Skype服务在终端用户和网桥之间
建立加密通道。Tor用户首先向网桥发送一个Skype短消息，执行Diffie Hellman 密钥交换
以确保连接可信任。一旦传送完成，SkypeMorph启动Skype视频呼叫网桥，然后立即挂断，
网桥和终端用户随后使用正常的Tor协议安全通信。为了防止Tor流量被网络流量分析识别
出来，SkypeMorph利用流量调整功能，将Tor数据包转变成Skype使用的用户数据报协议包
。流量调整还模拟了正常的Skype视频通话产生的数据包大小和时间控制。观察流量的审查
者只会看到有人在进行Skype通信。

相关：
http://internet.solidot.org/internet/12/04/04/1058222.shtml?tid=120
http://software.solidot.org/software/11/09/16/0157258.shtml?tid=120
http://goo.gl/eCmEY
http://crysp.uwaterloo.ca/software/
http://crysp.uwaterloo.ca/software/SkypeMorph-0.5.tar.gz
http://www.cs.uwaterloo.ca/~iang/
http://bbs.sjtu.edu.cn/bbscon,board,Security,file,M.1333633193.A.html

作者: k2775739 时间: 2012-12-17 16:50
用自己的端口自己的密道让别人羡慕去吧

作者: gaogeli 时间: 2012-12-17 17:06
迷惑协议才是王道啊，这才叫Q高一尺，F高一丈。

作者: xiasl 时间: 2012-12-17 18:02

作者: M100700 时间: 2012-12-17 22:14
我的22端口都被墙封了。郁闷，估计是直接把TCP协议给我断了。

作者: foxconndmd 时间: 2012-12-17 22:18
最近openvpn多种不正常。。。。

欢迎光临全球主机交流论坛 (https://443502.xyz/)