И тут действительно только два пути, либо допиливать все VPN-ы до наличия авторизации на локальном прокси…
Т.е. на данном этапе локального SOCKS5 proxy с паролем будет достаточно? Естественно для тех приложений которые его поддерживают.
100% способ это сделать (если был full-tunneling) – момент выключения VPN.
Узнать, в какой момент к шпионскому сервису (которая стримило медиа поток через системный API) поступил вдруг резидентский IP (или просто сменился) и в какой момент большой стабильный поток оборвался.
Потом второе подтверждение – когда вдруг снова этот поток появился и к шпионскому сервису вдруг поступил другой IP.
На ТСПУ рвать потоки выборочно тоже можно и по схеме выше выявлять. Или применять незаметную выборочную деградацию.
От этого не спасёт ни gRPC, ни XHTTP, ни другие транспорты. И в целом не вижу смысла в full-tunneling.
Да. И ровно поэтому:
Смысл как-раз таки ЕСТЬ. Изначально не сливать в DIRECT для идентификации геолокации ТСПУ. Блокировать любые подключения вне VPN.
ТСПУ может и так вас идентифицировать по другим методам, это не спасёт вас, если в РКН реально захотят вычислить пользователей таких схем.
Edit: Другое дело, захотят ли. Но это вопрос времени, а не вопрос “смогут ли”.
Edit 2: И опять, то, что человек не может правильно идентифицировать шпионский софт, - это, собственно, его проблема.
Сливание в DIRECT ситуацию только усугубит. А так вы можете постоянно менять SRC IP и локацию выхода в сеть.
Любых схем, в первую очередь – ваши костыли.
Мне такой вариант очень не нравится. Прям совсем не нравится. Все равно виден факт, что IP разные. Допустим идем на входную ноду, оттуда часть в РФ, часть на другой апстрим. В РФ куда? На свой еще один vps в РФ? Определяется IP как российский датацентр и впска банится/идет абуз российскому хостеру который принимает меры. Напрямую? Ну тут все очевидно что палятся оба IP. Через warp? Пока это работает, пока входные коннекты из подсетей cloudflare не забанили, а потом? И при этом весь траф из дома идет на один IP, такое при желании палится очень легко т.к. это статистически очень сильно отличается от поведения большинства пользователей.
Как мне кажется наоборот надо максимально распылять траф, показывать что пользователь живет полноценной быдложизнью, как все, вплоть до того, что круглые сутки качать в dev/null не очень быстрые торренты с иностранными сидерами. И делать это осторожно, с разных устройств, на одном вкашечка с яндексом, озон и сбер, на другом ютуб с телегой и максимально ограниченый рунет в браузере. Я в принципе для себя решение уже принял, дополнительные устройства для всей семьи заказаны, но конечно не помешало бы более простое решение.
Это никак не изменит ситуацию. ТСПУ в режиме реального времени видит ваш изначальный адрес, от которого идёт подключение к каким-то прокси. Также он видит IP-адрес первого хопа как минимум, а если первый хоп расположен на территории РФ, то и видит IP-адрес второго хопа. Если разделения на up/downstream нет, то связь вычисляется банально, а если есть, и то не факт, что никогда не узнают.
В Иране это ещё давно палится, если одним и тем же сервером пользоваться на постоянной основе.
Грамотный split tunneling позволяет распылять трафик, чтобы выглядел более естественно, чем схема “гнать весь трафик через 1-2 IP”. Там есть и свои нюансы (как и везде, собственно), но split tunneling необязательно настроить через софтовые методы, можно и физическими методами (те же 2 устройства, а с одного - точка доступа), которые более надёжны.
Через резидентский прокси (своя нода на другой сети, другом ТСПУ).
А оно и не претендует как статистическое поведение большинства пользователей. Это микросервисная архитектура где жирный поток – норма. Автоматизированная перекачка данных.
Поэтому тут всё логично. Если так судить, будет куча ложных срабатываний.
Ну… Это какая-то ерунда, если честно. Создание фейковой энтропии трафика – тоже сигнал в любом случае.
Тут просто ваша схема имеет больше минусов, чем дает плюсов.
Моя схема – оно. Что может быть проще, чем свободный доступ ко всем ресурсам (и рф и геоблок) с одного устройства? Причем используя все нативные приложения, без костылей. Любым пожилым людям не нужна сетевая гигиена. Всё будет работать из коробки.
Как нет? А как же синхронизация ТСПУ с шпионскими сервисами? А точнее наоборот, синхронизация шпионов с ТСПУ.
Если у вас на двух концах есть какой-то anonimity set – проследить связь становится дороже чем это практически станут делать.
А если прямая связь (точная идентификация ТСПУ) без всякого anonimity set (из десятков миллионов выходных в сеть устройств) – выявить туннель становится проще.
Как раз XHTTP не бьется об схему “стабильный канал”. Он слишком хорошо эмулирует браузерное поведение реального юзера, а не работу микросервисной архитектуры в фоне у клиента – что норма.
Ну то есть ТСПУ/аффилированый сервис типа яндекса определят, что пользователь ходит через ВПН не со своего личного IP, а с IP этого резидентного прокси, и встает интересный вопрос - где брать эти резидентные прокси чтобы когда их заблокируют было не жалко? Я лично знаю два способа - поднять у себя в другой квартире (это по сути ничем не отличается от direct) и с ботнетов. Ни тот ни другой вариант не подходят как последний хоп для ВПН, по очевидным причинам.
Не, решение с трфом на 1 IP это не решение, а наоборот палево. Распылять траф, большую часть напрямую, плюс ВПН два хопа через варп. С разных устройств с забанеными РФ сервисами. И смириться с тем что впски даже в таком варианте будут невечные, но по крайней мере проживут максимально долго при соблюдении гигиены. А там глядишь Илон Маск смилостивится и с Божьей помощью включит Старлинк нам убогим.
Удачи вам свой поднять, если нет лишней недвижимости. А если есть, то попроще путь - продать и на эти деньги построить жизнь в другой стране.
А как вы планируете отличать фейковую от нефейковой?
Синхронизации никакой не будет, если пользователь умеет грамотно различать шпионские и обычные приложения. А если не умеет, то, опять, это его проблема.
Никакого anonimity set нет. ТСПУ и на магистралях, и между NAT, и между выходом из NAT и магистралем стоят, они всё видят.
Уже выше говорил, что это неправда.
Как второй хоп с VPS хаба – подходит. Белый IP не нужен. Ставьте OpenWRT роутер: с LTE модемом и Ethernet портом.
Палево чего? Туннеля? Как вы докажете, что это exit outproxy?
Напоминаю, туннели – не запрещены.
Забавно конечно, наивно думать, что если всё идет к 1 IP то его обязательно должны заблокировать потому что 99.9% это exit outproxy.
То что это палево – ваши додумки. Ну и живите со своими костылями на всех в мире устройствах, использующие туннели.
Когда-нибудь да ошибетесь. Полностью и вечно соблюдать гигиену обычно не получается. А с однозначной идентификации ТСПУ + поддержание информации о её локации актуальной – очень поможет при анализе netflow.
Своя квартира – через сотовую связь (шпионы наверняка будут в БС). Или публичные сети. Или дешевые detour прокладки к туннелю, чтобы попасть в нужных шпионов.
Вот как? Тогда ваша схема и далеко не претендует на универсальность. Лично Вы и только Вы хорошо знаете что шпион, а что – нет. Лично я – не знаю, вот, например, не подумал бы, опять же, без навыков реверс-инженера + педантичного анализа их исходного кода, что какой-нибудь VPN клиент, такой как Happ – окажется с бэкдором.
Если же вы предлагаете отказаться от 90% интернет благ (а это широкая поверхность атаки) – то тоже схема не претендует на универсальность.
Магистрали – видят жирные потоки и не формируют профили энтропии трафика.
Вот те что за NAT – это большой anonimity set.
Тогда зачем делать HTTP похожим на gRPC вместо использования gRPC? Странно как-то. Нативный gRPC == работа микросервисной архитектуры. XHTTP – ну хз, браузер, пытается быть похожим на работу микросервисной архитектуры == аномалия.
Если в своей квартире это совершенно ничем не отличается от директа. просто лишний хоп. В первом варианте ТСПУ определит два IP - этого резидентного прокси и выходной ноды VPN. Во втором - твой IP и выходной ноды. т.к. IP резидентного прокси принадлежит тоже тебе и находится в РФ - оба варианта эквивалентны. И ничего доказывать не надо. Если резидентный прокси за рубежом - так тут интересный вопрос встает где его взять. С ботнетов нестабильно, у родственников - мало у кого они есть, а те у что есть тоже не всегда горят желанием ставить у себя прокси.
Но даже если есть вариант поставить резидентный прокси за рубежом 100% трафа на один IP датацентра, или даже на два это 100% палево, без вариантов. Так делать нельзя.
Кстати насчет прокси, есть простой интересный вариант определения самого факта коннекта через прокси - сравнить время в браузере с временем по определенному GeoIP выходной ноды. Не 100%, но если есть возможность собрать статистику скажем за месяц - вполне.
Как нет? Два разных ТСПУ – ISP и ОПСОСы.
Спорно, очень спорно. Если вы так думаете – мне вас ничем не переубедить, т.к тут нужен, мягко сказать, широкий кругозор и опыт. Есть множество примеров использования технологий туннелирования. Здесь я с пеной у рта вам доказывать что не все люди используют интернет “как быдло”, пожалуй, не стану.
Если ваш VPS физически не связан с этим роутером, то успехов.
С таким же успехом можно и сказать, что VPN тоже не запрещены, да и обход блокировок в целом.
То что это непалевно - ваше личное мнение. Вам уже описали несколько методов выявления таких схем, которые уже имеют место в реальном мире. То, что вы отказываетесь их воспринимать всерьёз, это не его проблема.
Схема универсальна лишь в том смысле, что любой может взять и настроить. Настроит ли правильно - это уже дело компетенции самого человека, и это не “баг”, а как должно быть. Эпоха “лёгких” и однокнопочных решений проходит, как случилось и случается сейчас с zapret и его сборками. Те, кто нуждаются в обходах и разбираются, будут пользоваться, а всем остальным, у которых по той или иной причине нет возможности или желания разбираться, придётся либо разбираться, либо смириться с блокировками. Простых решений к сложным проблемам не бывает, а даже если и бывают, то это либо неправильные решения, либо решения на краткосрочной перспективе.
А в NAT и между NAT-узлами вас не смущает, правильно понимаю? И то, что все они вместе могут взаимодействовать, тоже?
Преимущества описаны в документации, прочитайте ещё раз, пока не поймёте.
Весь траф в квартиру идет с одного IP, трафа идет много, при этом сколько входит столько и выходит. Отличается это от обычных резидентных IP? Отличается очень сильно. Забанят туннель с которого идет траф и все, то есть иностранную впску, а то и весь хостинг, и тебе придется идти объяснять (если найдешь куда и к кому) почему это происходит. Точно так же как они сейчас по площадям банят хостинги не разбираясь кто там прав кто виноват.
Я уверен, что скоро они на основе своей собранной статистики просто обучат ИИ, который будет ловить все с иностранными датацентрами на другом конце, что сильно выходит за рамки стандартного использования. Но варианты с исходящим трафом на 1 IP и с входящим трафом с одного IP иностранного датацентра на резидентный IP, после которого уходит одинаковое количество исходящего - для такого ИИ не нужен, это в экселе считается, если не лень.
Ниточки то проследить можно, да сложно.
Не запрещены.
Формально – нет, де-факто – да.
Обвиняемый не должен доказывать свою невиновность. Тот кто обвиняет – должен.
Пока – нет. Пока – только шпионы, к которым схема устойчива на архитектурном уровне, а не костылях. А вот корреляция гигантских сотен террабайт трафика – фантазия.
Моя схема – по факту однокнопочное решение и даже лучше. Раньше было как – надо было как курица клевать в одну и ту же кнопку. А сейчас – нет. Клиенты все счастливы.
Неправильные решения – костыли городить на конечных устройствах (для этого непригодных в полной мере). Правильные – вывести проблему сети сетевому шлюзу.
Нет. Фантазия. Это требует колоссальных ресурсов. Даже в США такого нет, координация межконтинентальных магистральных сетей с целью точечной деанонимизации. А тут массовая.
Дело не в слежке, а в первую очередь в соединении этой ниточки.
Также можно и говорить про туннелирование. Иначе блокировать их способы не стали бы.
Уже доказали (к слову, сами вы не доказывали палевность других решений). Корреляция уже происходит в реальном мире, и это не фантазия. И ваше решение, даже если опустить момент о корреляции трафика, опять, не скрывает наличие VPN или прокси для обхода блокировок, не выживёт в долгосрочной перспективе. И в идеальном случае поднятие резидентского прокси (если вы же хотите контроль над ним, а если нет, то зачем вообще иметь свой VPS, есть куча бесплатных конфигов) + закупка и настройка роутера + настройка маршрутизации на сервере - это не то, чтобы однокнопочное решение.
В США и не пытаются заниматься этим. Аналогия неправильная. И речь идёт не о точечной деанонимизации.
Ребят. Можно скрыть входящий и исходящий ip, только что проверил.
Для входящего:
Ставим порт прокси 0 и выключаем HEV. Не забудьте остановить приложение и запустить заново. Таким образом некуда будет подключаться.
Для исходящего:
Доступ к внешнему ip можно получить только находясь в туннеле. В итоге нужно поставить per app. Таким образом весь туннель под прикрытием. Флаг vpn и само существование туннеля не уберёт, но зато прикроет нашу главную артерию в цивилизацию