The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]



"доступ к tor через sslh "
Вариант для распечатки  
Пред. тема | След. тема 
Форум Настройка Squid, Tor и прокси серверов (Socks)
Изначальное сообщение [ Отслеживать ]

"доступ к tor через sslh "  +1 +/
Сообщение от xoid (ok), 22-Ноя-23, 18:19 
запустил tor демон на lo:9050 (протокол socks5) и он работает, скачивает все сайты.
curl -vL --socks5 127.0.0.1:9050 bbc.com # успешно скачивает запрещенный BBC  

Портов, кроме 443, открытых из интернета, на этом сервере не имею из-за настроек сети. 443 нужен для https.
Настроил мультиплексирование протоколов через sslh - он слушает 443 и если ему попадается обращение клиента socks5, перенаправляет его на lo:9050

на сервере tor это работает, например
curl -vL --socks5 %tor-server-ip%:443 bbc.com # успешно скачивает запрещенный bbc через SSLH и TOR

Теперь с моего домашнего компа:
curl -vL --socks5 %tor-server-ip%:443 ya.ru # успешно скачивает страницы яндекса по https.

однако, bbc.com и прочую запрещенку не качает, останавливается на SSL рукопожатии и висит:

# curl -vL --socks5 %tor-server-ip%:443 https://bbc.com/
*   Trying %tor-server-ip%:443...
* Connected to %tor-server-ip% (%tor-server-ip%) port 443
* SOCKS5 connect to 151.101.192.81:443 (locally resolved)
* SOCKS5 request granted.
* Connected %tor-server-ip% (%tor-server-ip%) port 443
* ALPN: curl offers h2,http/1.1
* TLSv1.3 (OUT), TLS handshake, Client hello (1):
*  CAfile: /etc/ssl/certs/ca-certificates.crt
*  CApath: /etc/ssl/certs

использование ALL_PROXY='socks5h://%tor-server-ip%:443' для того чтобы curl ресолвил сайты через socks5 не помогает, с ресолвингом всё в порядке.
Каким образом SSLH может ломаться на запрещенных сайтах на этапе https?



Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


1. Скрыто модератором  +/
Сообщение от Аноним (-), 22-Ноя-23, 20:06 
Ответить | Правка | Наверх | Cообщить модератору

2. "доступ к tor через sslh "  +/
Сообщение от Аноним (2), 23-Ноя-23, 09:31 
> Каким образом SSLH может ломаться на запрещенных сайтах на этапе https?

Конфиг SSLH покажи

Ответить | Правка | Наверх | Cообщить модератору

3. "доступ к tor через sslh "  +/
Сообщение от Аноним (3), 23-Ноя-23, 16:51 
SOCKS5 - незащищенный протокол. Тор на удаленном сервере через недоверенную сеть - бессмысленное решение.
Ответить | Правка | Наверх | Cообщить модератору

4. "доступ к tor через sslh "  +/
Сообщение от Аноним (2), 23-Ноя-23, 21:04 
О чем ты говоришь?
Человек через TOR русскую службу ББС читает (кстати, я тоже)
Ответить | Правка | Наверх | Cообщить модератору

5. "доступ к tor через sslh "  +/
Сообщение от Аноним (2), 23-Ноя-23, 21:06 
Ссылка BBC в onion
https://www.bbcweb3hytmzhn5d532owbu6oqadra5z3ar726vq5kgwwn6a...


Ответить | Правка | Наверх | Cообщить модератору

6. "доступ к tor через sslh "  +/
Сообщение от Аноним (6), 26-Ноя-23, 00:10 
> О чем ты говоришь? Человек через TOR русскую службу ББС читает (кстати, я тоже)

Да вот блин над такими чтецами могут плоско поприкалываться, те же майоры например. Если траф между tor socks <-> client идет по незащищенному линку, это полнейший залет, позволяющий перехватывать трафик, а DPI сто лет как умеют протоколы прокси, включая и сокс5, рюхать.

Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

8. "доступ к tor через sslh "  +/
Сообщение от Аноним (2), 26-Ноя-23, 14:22 
> Если траф между tor socks <-> client идет по незащищенному
> линку, это полнейший залет, позволяющий перехватывать трафик

Хватит истерить. Включи лучше мозги.
Трафик внутри незащищенного socks <-> client уже идет зашифрованный. Я даже ссылку выложил:
https://.....

Ответить | Правка | Наверх | Cообщить модератору

10. "доступ к tor через sslh "  +/
Сообщение от Аноним (-), 27-Ноя-23, 08:26 
>> Если траф между tor socks <-> client идет по незащищенному
>> линку, это полнейший залет, позволяющий перехватывать трафик
> Хватит истерить. Включи лучше мозги.
> Трафик внутри незащищенного socks <-> client уже идет зашифрованный. Я даже ссылку
> выложил:
> https://.....

Он не идёт зашифрованным. Во-первых, через SOCKS видно содержимое. То есть, ip-адрес в заголовках socks уже есть и его может читать DPI. На этом IP зарегистрирован только один вражеский BBC и больше ничего. Это уже основание для бана.

Дальше, твоё HTTPS держит в себе заголовки SNI, которые вроде ещё пока передаются нешифрованными, это тоже бан. Если у тебя ESNI - это тоже бан у некоторых операторов.

Все соединения наружу этой страны должны шифроваться или обфусцироваться, у тебя есть слабое звено - socks. Он нешифрованный и его можно резать на DPI.

Ответить | Правка | Наверх | Cообщить модератору

11. "доступ к tor через sslh "  +/
Сообщение от Аноним (2), 27-Ноя-23, 09:38 
Ты совсем не понимаешь как работает TOR.

Сходи на https://support.torproject.org/ru/https/https-1/. Там есть слегка упрощенная, но более-менее понятная для "чайников" картинка, как устроен и работает TOR.

> На этом IP зарегистрирован только один вражеский BBC и больше ничего.

www.bbcweb3hytmzhn5d532owbu6oqadra5z3ar726vq5kgwwn6aucdccrad.onion не имеет IP и не резолвится в DNS. Внутри TOR нет DNS, а используются другие принципы адресации.

> слабое звено - socks. Он нешифрованный и его можно резать

Вход в сеть TOR реализован по протоколу socks5. "Дилетанты" из TorProject забыли проконсультироваться с тобой на предмет обеспечения анонимности и безопасности.

>его можно резать на DPI

Внутри TOR, by desing, ни чего резать принципиально не возможно. Ни какой DPI не сможет заблокировать www.bbcweb3hytmzhn5d532owbu6oqadra5z3ar726vq5kgwwn6aucdccrad.onion. Единственный вариант: заблокировать целиком TOR (некоторые операторы уже пытаются это делать от безысходности)

Вывод один: в школу, за парту.

Ответить | Правка | Наверх | Cообщить модератору

12. "доступ к tor через sslh "  +/
Сообщение от Аноним (-), 28-Ноя-23, 11:41 
Тебя в строках с шапки
>curl -vL --socks5 %tor-server-ip%:443 ya.ru
>curl -vL --socks5 %tor-server-ip%:443 https://bbc.com/

ничего не смущает?

>"Дилетанты" из TorProject забыли проконсультироваться с тобой на предмет обеспечения анонимности и безопасности.

Читаем man torrc:

NOTE: Although this option allows you to specify an IP address other than localhost, you should do so only with extreme caution. The SOCKS protocol is unencrypted and (as we use it) unauthenticated, so exposing it in this way could leak your information to anybody watching your network, and allow anybody to use your computer as an open proxy.

Перевести, надеюсь, сможешь? Значение слова unencrypted понимаешь? Почему там слова extreme caution, доходит? С командой из шапки и контекстом того, что SOCKS виден РКН, потому что он unencrypted, никаких коллизий не наблюдается?

Ответить | Правка | Наверх | Cообщить модератору

13. "доступ к tor через sslh "  +/
Сообщение от Аноним (13), 02-Дек-23, 08:55 
> Перевести, надеюсь, сможешь? Значение слова unencrypted понимаешь? Почему там слова extreme
> caution, доходит? С командой из шапки и контекстом того, что SOCKS
> виден РКН, потому что он unencrypted, никаких коллизий не наблюдается?

Ну подумаешь мелочи какие - можно полностью MITMить любой трафик от и до, как угодно :). И да, DPI таки рюхают socks5 и в вон том случае - может на раз видеть что гражданин просил "bbc.com" а не что-то еще. Это одно из самых глупых использований tor которые можно придумать.

Если хочется tor на ремоте крутить до него надо пробросить секурный тонель/впн и сокс5 пускать уже внутри него. Иначе это не решение проблемы а скорее ее создание.

Ответить | Правка | Наверх | Cообщить модератору

9. Скрыто модератором  +/
Сообщение от Аноним (-), 27-Ноя-23, 08:00 
Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

7. "доступ к tor через sslh "  +/
Сообщение от Аноним (6), 26-Ноя-23, 00:12 
> SOCKS5 - незащищенный протокол. Тор на удаленном сервере через недоверенную сеть
> - бессмысленное решение.

Шадоусоксы какие возьмите, чтоли, клиент будет комплеить тор, но пробросит уже по шифрованому соединению. DPI его не палит, даже китайский.

Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру