Как защитится от dpi?

serj888 · May 31, 2024, 12:53pm

Обход меня не сильно беспокоит, больше беспокоит то, что с помощью dpi могут делать всё что угодно с трафиком, перенаправлять на поддельные сайты, продавать личные данные как рекламщикам, так и кому угодно. Мысль была просто откидывать пакет с заглушки по типу
tcp sport 443 ip ttl eq 5 drop но начинается флуд icmp, что возможно заставит их обратить на это внимание и уверенности что это хоть как то помогает, нету. Нет ни у кого идей, как защитить роутер от подобного произвола ?

ilyaigpetrov · May 31, 2024, 1:18pm

От атак MiTM / “человек посередине” спасает шифрование: https, wss, ssh и т.п.

bolvan · May 31, 2024, 1:47pm

перенаправлять могут только plain http. https не могут без подмены сертификата. http уже почти не применяется.
от классификации трафика с гарантией помогает лишь шифрованный тоннель. vpn, vless, shadowsocka или любой другой
могут помочь и атаки как в goodbye dpi или zapret, но требуется индивидуальный тюнинг и какая то обратнаая связь - сработало или нет

LeonMskRu · May 31, 2024, 3:10pm

http пока еще много…
windowsupdate / apt (ubuntu) update
сертификаты .crl и прочее
даже телеграм АПИ как оказалось …
вон даже http://dl.google.com/release2/chrome_component/ .crx3

anon9001 · May 31, 2024, 5:10pm

без подмены сертификата

А вот это что такое?

russian_trusted_root_ca_pem.crt
russian_trusted_sub_ca_pem.crt

И как это убрать из будущих систем с закрытыми бутлодерами и плутонами?

bolvan · June 1, 2024, 3:59am

правильный способ - не покупать устройства, где нельзя изменить нежелательное поведение. лучше сразу для перешивки или рута.
на крайняк есть фокс с собственным серт сторе

bolvan · June 1, 2024, 4:01am

в технических запросах с хттп обычно свои методы проверки целостности
все пакеты в репах подписаны
и обновы мс

если цель скрыть факт использования виндовс с целью раздачи телефонного тарифа на комп на мтс - тут только впн.
а иначе чего там прятать? миллионы делают тоже самое. инфа публична

artenox · June 1, 2024, 6:00am

Но провайдер может блокировать загрузку определенных пакетов. Уже были случаи, когда в корпоративной среде блокировались все пакеты, содержащие torrent и система обновиться не могла (из-за того, что предустановленный libtorrent какой-нибудь фризил остальное). От этого поможет защититься дополнительный https. Но имейте в виду, если система старая - сертификаты могут протухнуть и обновление снова встанет, как было в Void. Нужно обновить пакет ca-certificates, а обновления не работают, замкнутый круг. http лишен этого (как уже сказано, есть своя проверка целостности), но может быть вредительство провайдера и досмотр. Это касательно линукса.
Впрочем, в линуксе на http могут протухнуть уже подписи реп. Это другой уровень.

serj888 · June 1, 2024, 10:00am

Подскажите, на openwrt пакет ca-certificates у меня не установлен, его нужно ставить или нет ? Установлен только адблок и https-dns-proxy, а так места мало чтоб туда засунуть что не будь большое, но ca-certificates место много не занимает, поставить могу, только не знаю, нужен или нет.
а так стоят пакеты curl, libcurl4, libnghttp2, а сделать HTTP/3 (QUIC) для dns-proxy пока руки не доходят, та и места мало и не сильно я уверен что QUIC хорошая тема, так как использует udp с tcp одновременно, вот udp доверия что то не внушает

LeonMskRu · June 1, 2024, 3:46pm

quic раньше в РФ блокировали практически весь
сейчас местами работает но надолго ли (проверял на гугле и на паре других серверов.)

p.s. про убунту и http == ну я завернул в ТОР через apt.conf. все таки к ним у меня доверия больше чем к Ростелекому/етк

artenox · June 2, 2024, 7:26am

Я думаю, ca-certificates установлен, просто как-то по другому называется. Т.к. это важный пакет. Но ставить что-то со стороны не советую.

serj888 · June 2, 2024, 8:58am

Пакет ca-certificates есть такой, я установил его, но разницы не заметил, что с ним что без него, просто не знаю нужен нет, а место он занимает

serj888 · June 2, 2024, 9:00am

Я даже ни разу quic не юзал, а вы говорите что его весь блокировали, офигеть, даже не успел попробовать, а уже заблокировали ))

serj888 · June 2, 2024, 9:50am

В роуторе заблокировал весь icmp и igmp протокол для безопасности, причём наглухо, на вход и выход, ни один пакет не входит и не выходит и работает вроде всё, mtu и остальное настроил в ручную, очень много минусов по этим протоколам и я прикинул минусы и плюсы и минусы стали приоритетней. Строя цепочки и настраивая, всё равно есть дыры, свои недостатки и решил одним махом просто заблокировать, с пингом и трассировкой только проблема, приходится временно включать, проверил и выключил, но в целом идея я считаю хорошая, хотя не советую это делать если не понимаете что делаете, я много читал про эти протоколы и знаю на что они способны в недобрых руках, я из тех кто всегда ищет минусы а не плюсы, если минусов нет, тогда только смотрю на плюсы и решаю надо оно мне или нет, но если есть какой то подвох, особенно настораживают положительные отзывы, то изучаю начиная от производителя, кто он, кем был раньше, что у него в голове, в общем докапываюсь до истины чтоб понять верить ему или нет. Большинство перестало устанавливать антивирус, но когда он ещё у них стоял, на вопрос какая страна если он иновский, никто ни разу не ответил, за отечественный отвечали что типа надо поддерживать своего производителя и все как под копирку, ничего своего в голове и прикол в том, что ещё доказывают, пытаются спорить и на вопрос откуда инфа, та там блогер сказал, как в фильме тёмный город, кто не видел посмотрите и иной раз кажется что в таком городе живёшь))

artenox · June 2, 2024, 6:14pm

ca-certificates нужен для соединений с https сайтами средствами системы. Например, в curl, wget. А впны и прокси утилиты обычно используют свои. Если все работает, то в ca-certificates нет необходимости, особенно если места мало. Хотя, он весит немного, около 240 кбайт у меня. Там ведь только текстовые файлы.

quic включен в браузерах. Браузеры его предпочитают, если он доступен.

LeonMskRu · June 2, 2024, 8:27pm

ну надо заметить что работает он только если нет любых прокси

я у себя отключил через chrome://flags/#enable-quic ибо РКН и напрямую …

serj888 · June 3, 2024, 1:48pm

Протестировал я QUIC, вроде работает, надо было обновить Firefox чтоб он заработал на семёрке выключается новый Firefox ровно через 2 минуты, включаешь работает и опять выключается и так каждых 2 минуты, запустил через VxKex, но ничего положительного я не заметил в работе браузера, только испортился внешний вид, для экспериментов пользуюсь Shadow Defender, чтоб потом не переустанавливать в случаи косяков. Без включения в настройках приватность и защита - DNS через HTTPS то QUIC не работает, надо включать по любому. Сама функция DNS через HTTPS в мозиле постоянно отправляет днс, шлёт пакет за пакетом, что мне не нравится, она не использует кэш днс в винде. На семёрке функция Безопасный SNI работает на версии 116, проверить можно тут Cloudflare Browser Check и я пробовал на 115 версии, показывает что всё в порядке, но не работает, раньше если включить SNI на 116 версии то нормально открывала любой сайт, а с час открывает но не всё, поэтому я перестал ей пользоваться из за того что часто шлёт запрос днс, а толку мало, а на с чёт QUIC я так и не понял в чём прикол, сказать что быстрее открывает, я этого не заметил, на заблокированные сайты он никак не помогает

LeonMskRu · June 3, 2024, 3:59pm

от блока пока спасает IPv6 у кого есть
еще вроде как TLSv1.3 / Kyber в Хроме “должны помогать”
с firefox там надо читать и тыкать разное. у меня вообще часть нужного была отключена “много лет” назад в about:config и еле нашел dns_rr вроде и прочее

curl -6 --http2 -v https://rutracker.org/myip

* Host rutracker.org:443 was resolved.
* IPv6: 2606:4700:3034::ac43:b6c4, 2606:4700:3031::6815:2027
* Connected to rutracker.org (2606:4700:3034::ac43:b6c4) port 443
* SSL connection using TLSv1.3 / TLS_AES_256_GCM_SHA384 / [blank] / UNDEF

ip: <big><b>2a00:62c0: :8f99</b> RU</big><br>
ssl: TLSv1.2 ECDHE-RSA-AES128-GCM-SHA256<br><br>
ua: curl/8.8.0<br>
tm: 03/Jun/2024:18:57:12 +0300<br><br>

хотя с IPv6 в РФ и так все уныло. а тут еще и просадка (на сезонную вроде не похоже)
https://radar.cloudflare.com/adoption-and-usage/ru?dateRange=24w
1 июля 2023 == 33%
1 февраля 2024 == 26% IPv6
1 июня 2024 == 14%

serj888 · June 4, 2024, 9:33am

Случайно нашел, добрый человек делает Firefox для 7, работает шустро, косяков не заметил, кто хочет можете поюзать Release Firefox 121 / R3dfox 122 on Win 7 · adeii/supermium-portable · GitHub а это русификатор Russian (RU) Language Pack – Загрузите этот языковой пакет для 🦊 Firefox (ru) в настройках основные язык меняется.
QUIC включается about:config и включить или добавить network.http.http3.enabled и поставить true, а в настройках приватность и защита, опускаем в самый низ и галку на повышенную защиту, сервер днс дох можно любой поставить который поддерживает QUIC.
проверить можно тут https://cloudflare-quic.com/ там будет написано - При загрузке этой страницы из пограничной сети - если работает будет HTTP/3, если нет будет HTTP/2 . в самом верху.
Прикольный переводчик страниц TWP - Translate Web Pages – Загрузите это расширение для 🦊 Firefox (ru) для Firefox можете поставить кто хочет.
Проверил, QUIC работает сам по себе, включать в браузере DNS через HTTPS не обязательно