"VPN Gate", или – неубиваемая Великим Китайским Фаерволом распределённая сеть VPN / длиннопост :: длиннотекст :: howto :: how to :: VPN :: habr :: блокировка сайтов :: блокировки :: цензура :: интернет :: технологии

технологии цензура блокировки блокировка сайтов VPN habr howto how to длиннопост длиннотекст 

"VPN Gate", или – неубиваемая Великим Китайским Фаерволом распределённая сеть VPN

 

Сегодня речь пойдёт о технологии распределённой сети "VPN Gate", своего рода недруга Поднебесной в области интернет цензуры. На "Хабре" много статей на тему "SoftEther" VPN (нижележащий слой "VPN Gate"), но нет ни одной технически всесторонней статьи про саму распределённую сеть и такое чувство, что в рунете про неё вообще забыли.

"VPN Gate" – академический эксперимент Дайу Нобори с 2013-го года. Проект представляет собой интернет-сервис научных исследований в Высшей Школе Университета Цукуба, Япония. Цель данного исследования заключается в расширении знаний "Глобальных распределенных открытых ретрансляторов VPN".

 

технологии,интернет,цензура,блокировки,блокировка сайтов,VPN,habr,howto,how to,длиннопост,длиннотекст

 

Отличительной особенностью данной сети является её функционирование в виде роя. То есть каждый желающий пользователь может поделиться своей пропускной способностью с другими. Я знаю, что вы подумали, очередной неудачный "dVPN" пиар на основе блокчейна.

Однако это не так, данный проект уже насчитывает 8634 узлов и 534 петабайта трафика за всё время существования. К примеру даже у TOR-а узлов – 7 тысяч.

Основными пользователями являются китайцы, в связи с успешной архитектурой борьбы против активных пробов Великого Китайского Фаервола.

Установка GUI клиента, сервера со встроенным плагином осуществляется через собственный сайт "VPN Gate". Каждый сгенерированный zip билд программы отличается размером, чтобы осложнить DPI анализ данных внутри. Также в него записываются рандомные адреса VPN серверов, если изначальные сервера VPN Gate для получения списков будут заблокированы.

Но как по мне самым большим успехом команды проекта было прикручивание "NAT Hole Punching", где каждый пользователь, даже без белого IP, мог бы поделиться своей пропускной способностью. Никакой регистрации.

 

Борьба с Фаерволом.

Спросите вы, почему Китайский Фаервол (GFW – "Great Firewall of China") ещё его не заблокировал, здесь же начинается хронология борьбы между силами добра и зла/

Сразу после начала проекта, первые 4 дня наплыв большинства пользователей был именно из Китая, 5к пользователей разом нахлынули на сервис.

На пятый день GFW заблокировал основной сайт "VPN Gate". Пользователи начали делиться установщиками на порталах таких, как "Weibo".

Тогда GFW начал блокировать сервера VPN, получая их с главной страницы проекта, только они сделали ошибку, они не проверяли IP адреса на легитимность, и тогда команда проекта бросает на стол.

 

технологии,интернет,цензура,блокировки,блокировка сайтов,VPN,habr,howto,how to,длиннопост,длиннотекст

 

Они начинают смешивать рандомные IP адреса со списком, в течение трёх дней у них полный контроль над тем, что блокирует GFW, они ломают внутренние сайты Китая.

GFW видит свою ошибку и прежде чем блокировать всё подряд, начинает проверять каждый IP адрес путём мощной технологии DPI, которая называется active probing. Это когда на каждый запрошенный пользователем удалённый IP адрес сначала отправляется рандомный GFW бот (с рандомного IP) с тестовым запросом, и если в полученном ответе содержатся запрещённые фильтром слова, удалённый IP адрес блокируется.

Но так как количество серверов "VPN Gate" большое, то у сети преимущество, что если клиенты будут отправлять на проверку логи каждых кратковременных запросов от узлов, которые пытались к ним подключиться?

 

VPN Gate List Server
Server list
IPi
IP2
IP3
IPn : The IP address of VPN Gate Server £n.
: A verified IP address.
It can be safely put into the blocking list of the firewall.
* : A non-verified IP address. Since it can be an innocent IP address, the authority cannot put it into the bloc

 

Ребята автоматически начали обрабатывать такие логи у себя на сервере. Так как у провайдеров поднебесной большой пул адресов, одиночным серверам не всегда удаётся узнать айпишник бота который их просканил и выдал на казнь GFW. Вдобавок даже с обфускацией VPN протокола к ним подключаются много людей, что эвристически обнаруживается.

Но если учитывать статистику со всех узлов, к которым одновременно в коротком интервале подключаются и отключаются айпишники, то их можно отсеять и заблокировать. Таким образом сеть отражает попытки GFW ботов их найти. К тому же она выдаёт лишь ограниченный список серверов пользователям, даже если одновременно с 16 миллионов (по некоторым данным, есть даже иностранные пулы) IP адресов GFW попытаются просканировать сеть, у них это не получится. Итог — чем больше участников, тем сильнее оборона.

Динамичные IP адреса участников за NAT также сыграли положительную роль в доступности сети.

VPN сервера оперируют на четырёх протоколах: SSL-VPN, OpenVPN, L2TP/IPsec, MS-SSTP.

Любым желающим помочь, которым не жалко поделиться интернет каналом, могут скачать пакет сервера, настраивается за 5-6 кликов. Также можно указать свое сообщение пользователям при подключении, оставить адрес почты для связи – есть некоторая подстраховка от silovikov, клиент хранит пакеты подключений две недели (можете обрадовать Яровую и поставить на 30 дней, шучу), скорость также можно настроить, есть настраиваемый встроенный фаервол с политиками безопасности, т.е. ваши локальные адреса в безопасности, установка без прав администратора.

Тем, кто хочет подключиться можно скачать пакет клиента. Есть возможность выбирать страны с лучшим пингом и пропускной способностью.

 

Д SoftEther VPN Client Manager
Connect Edit View Virtual Adapter Smart Card Tools Help
VPN Connection Setting Name
zj Add VPN Connection
¿VPN Gate Public VPN Relay Servers
Virtual Network Adapter Name Я* VPN Client Adapter-VPN
Status	VPN Server Hostname
Virtual Hub Virtual Network A...
VPN

 

Источник:  "Хабр", @penetration.


Подробнее


VPN Gate List Server Server list IPi IP2 IP3 IPn : The IP address of VPN Gate Server £n. : A verified IP address. It can be safely put into the blocking list of the firewall. * : A non-verified IP address. Since it can be an innocent IP address, the authority cannot put it into the bloc kins list of the firewall. Spy List VPN Gate Server #1 Spy List [ VPN Gate Server #2 Spy List VPN Gate Server #3 VPN Gate probing program IPi IP2 IP3 • • Censorship authority IPi Censorship firewall
Д SoftEther VPN Client Manager Connect Edit View Virtual Adapter Smart Card Tools Help VPN Connection Setting Name zj Add VPN Connection ¿VPN Gate Public VPN Relay Servers Virtual Network Adapter Name Я* VPN Client Adapter-VPN Status VPN Server Hostname Virtual Hub Virtual Network A... VPN Gate Academic Experimental Project Plugin for SoftEther VPN Client □ X VPN Gate Public VPN Relay Servers Academic project at University of Tsukuba, Japan. Gain freedom access to Internet by using VPN connection via Public VPN Servers provided by volunteers abound the world. Bypass your local malfunctioning firewall’s packet blocking, and hide your IP address safely. VPN Gate Academic Web Site 200 Public VPN Relay Servers on the Earth! (Updated at 2023-01-06 04:24:55) DDNS Hostname IP Address (Hostname) Region Uptime VPN Sessions Line Speed Ping (Google, SE л ©vpn431943394.... 138.199.62.13 United Kingdom 18 hours 37 sessions 963.4 Mbps 2,2 ©vpn537032677.... 121.103.196.222 Japan 5 days 28 sessions 83.0 Mbps 2,2 ©vpn255806013.... 92.202.102.35 Japan 1 days 10 sessions 73.9 Mbps 2,2 0vpn445881929.... 42.126.76.4 Japan 3 hours 4 sessions 50.0 Mbps 2,2 ©vpn703171913.... 180.144.58.3 Japan 22 hours 38 sessions 3996.2 Mbps 2,2 ©vpn922100384.... 217.178.216.134 Japan 3 days 3 sessions 94.6 Mbps 3,3 ©vpn528064170.... 182.166.148.113 Japan 5 days 48 sessions 689.4 Mbps 3,3 0vpn49565O175.... 125.195.174.132 Japan 1 days 0 sessions 561.7 Mbps 3,3 0vpn383O1798O.... 150.249.166.69 (fp96f... Japan 22 hours 0 sessions 487.0 Mbps 3,3 ©vpn740639095.... 133.3.201.142 Japan 3 hours 0 sessions 281.9 Mbps 3,3 ©vpn753333405.... 126.51.100.13 Japan 7 hours 43 sessions 268.1 Mbps 3,3 0vpn117445993.... 36.13.236.86 Japan 1 days 28 sessions 1080.7 Mbps 3,3 0vpn452863878.... 207.65.254.187 (fpcf4... Japan 0 mins 10 sessions 949.0 Mbps 4,4 0vpn431396938.... < 173.198.248.39 (173-... United States 89 days 194 sessions 92.8 Mbps 44 > A VPN Server with higher Line Speed (measured by Mbps) and smaller Ping result are usually more comfortable to use. You might be able to browse websites which are normally unreachable from your area if you use VPN servers that are not in your area. Proxy Settings Implemented as a plug-in for SoftEther VPN. (c) VPN Gate Project at University of Tsukuba, Japan. Connect to the VPN Server
технологии,интернет,цензура,блокировки,блокировка сайтов,VPN,habr,howto,how to,длиннопост,длиннотекст
Еще на тему
Развернуть

Отличный комментарий!

Shagiev Shagiev07.01.202318:22ссылка
-50.9
А еще на джое частенько встречаются полные копии изображений с onlyfans. И чо?
SeKaNoBaka SeKaNoBaka07.01.202318:26ссылка
+26.5
Предлагаю реакторчанам переснимать кадры с онлифанса заменяя собой камвхор, тогда такие не доебутся!
SoBoJId SoBoJId07.01.202318:27ссылка
+43.1
Т.е., Тег "habr" и источник в конце копипасты Вас не смутили?
Ну, я как бы скромный пират копипастер, тащащий, в меру своих малых сил, годноту на Джой, а не великий @cat_cat.
1. Я Вас не минусил. Сила моего минусо-плюсо-мета – 0,9. Максимальный минус Вашего комментария был 2,1. Я не смог бы это сделать.
2. Кто сказал, что я "великий"? Я этого никогда не говорил. Я это про Кота написал.
3. Я считаю, что это отличный инструмент для пробивания блокировок. В созданный VPN-туннель можно запихнуть UltraSurf, в который можно инкапсулировать TOR.
Бля, чел просто тащит интересную инфу с хабра, на котором навряд ли много реакторчан сидят, общается с тобой в уважительной манере, а ты его говном поливаешь по чём зря. Ты сам-то вообще нихуя полезного на реактор не принёс и сидишь выёбываешься. Пример для подражания.

Вернись на парашу и ебалет закрой, будь добр.
Kon_Boi Kon_Boi 07.01.202319:08 ответить ссылка 28.6
хули ты рвёшься как жопа портовой шлюхи. Заебал.
А еще на джое частенько встречаются полные копии изображений с onlyfans. И чо?
Предлагаю реакторчанам переснимать кадры с онлифанса заменяя собой камвхор, тогда такие не доебутся!
SoBoJId SoBoJId 07.01.202318:27 ответить ссылка 43.1
тянет на мартовский ивент
fghjk fghjk 07.01.202322:42 ответить ссылка 1.8
идея для календаря -- реакторчане 2023
ну был же ивент "реакторчане с фильтрами фэйсаппа" некоторый были даже симпатишные.
З.Ы.: Эльф_недобиток вне конкуренции
влом вотермарку оттирать
JANUARY
s	M	T	w	T	F	s
01	02	03	04	05	06	07
08	09	10	11	12	13	14
15	16	17	18	19	20	21
22	23	24	25	26	27	28
29	30
В том, что за эти фотки надо платить, а некоторые их выкладывают бесплатно и получают заслуженные плюсы в карму.
ну хоть не пикабу.
если будешь открытой выходной нодой в этой стране, то скоро присядешь. видел прецеденты бездумного повторения инструкций из интернетов "в несколько кликов".
krako krako 07.01.202318:46 ответить ссылка 8.8
Кому вообще может понадобиться выходная нода в РФ/РБ? Не, я серьезно: какие кейсы это может покрывать?
Доступ к ВК из украины как известный мне частный случай, как более широкий - доступ к ресурсам РФ, если ты сам уехал из страны, но у тебя тут счет в банке, всякие сервисы, госуслуги и прочая-прочая.
Хм... Резонно. Тогда, как вариант:
1. Через TOR-браузер (а лучше, Tails), НЕ разворачивая его на весь экран (оставляем дефолтовый размер окна) заходим на сайт одного из РФ-хостеров, который позволяет оплачивать хост битками.
2. Ставим кошелек с открытым типа Wasabi Wallet. Вводим деньги, пропускаем через миксер.
3. Оплачиваем минимальную виртуалку, ставим эту приблуду.
4. НИКОГДА не заходим на хостера не через TOR и не платим немиксованными битками: так спалился владелец Silkroad.
Всегда было интересно, что может узнать товарищ майор открыв ты ТОР на весь экран? Разрешение экрана?))) /я не программист, поэтому мне смешно.
Внезапно довольно много.
Размер экрана и другая сис. информация , установленные шрифты, опции GPU и прочие (тот же WebGL) дают уникальный цифровой отпечаток
2. Пропускаем деньги через миксер:
Получатель при обработке транзакции прогоняет ее через Crystal или аналоги, по результату часть средств пришла с кошеля числящегося краденым. Блокируют твою заявку, вносят твой адрес в блэклист. По результату не оплатить не вывести не можешь.

Удачи с миксерами.
Все верно: по моему опыту 1 из 5 транзакций не проходит. Иногда решается через ТП, но редко. Потому, платить нужно подневно, а не за год. На адрес – пофиг: новый кошелек на каждую транзакцию. "Отмыться" может помочь кросс-конфертация в другую крипту, например, в Эфир. Пример:
Деньги на карточке – self-hosted кошелек BTC – миксер – self-hosted кошелек BTC – self-hosted кошелек Ethereum – self-hosted кошелек BTC – хостинг.
Геморно, но можно будет оплатить сразу за месяц (больше – не стоит).
Как ты BTC -ETH без обменника или биржи проведешь? У сразу на этапе ввода локнут с миксера.
Есть дарнетные биржи.))) Правда, там курс говно, и, иногда, попадаются хуевые транзакции (из-за этого и написал, что больше чем за месяц – не платить). Правда, такое обычно случается пере тем, как хозяева "сливают" биржу, т.к.,. по большому счету, репутация и "сарафанное радио" – это все, что есть у даркнетовской биржи.
а почему через анонимную валюто просто не провести типа монеро и тд ?
bagar bagar 16.01.202301:48 ответить ссылка 0.0
проще тебе наркотики подкинуть чем четотам разбирать
Докину что порой люди строят сеть, чтобы максимально сложно было вычислить источник. В этом случае прокидывать через несколько недружественных стран -- самое оно.
Wolfdp Wolfdp 07.01.202319:29 ответить ссылка 2.1
>>Они начинают смешивать рандомные IP адреса со списком, в течение трёх дней у них полный контроль над тем, что блокирует GFW
Вот вроде читаю про китайские блокировки, а вспоминается Телега и РКН. Млин, который раз убеждаюсь что все эти блокировки в РФ в той или иной степени повторяют путь других стран, начиная от США и заканчивая САО и Казахстаном.
Wolfdp Wolfdp 07.01.202319:27 ответить ссылка 2.5
Пользовался этой штукой. Минусы это скорость и пинг, не поиграть, но обойти цензуру можно, но ее обойти можно и еще кучей способов, так что не особо актуально
Суть проста, если тебе не жалко поделись каналом…делись, я готов вообще дать свой каналы, но ведь гаденышам нужно не доступ в сеть, а доступ к твоему оборудованию…
Была же тебя убрать пароли с wifi и что…сразу же на веб морде роутера куча попыток авторизаций:)

Смешно это все…все пути и бесплатные впн это куча уязвимых роутеров с паролем admin или admin1.
Предоставляя свой канал, потрудись получить лицензию на передачу данных, по аналогии как у провайдера…
PROlite PROlite 07.01.202321:50 ответить ссылка -0.3
Добавлю чутка информации по софтэзеру:
1. Нет клиента под смартфон, никакого. Только пк на базе винды и линухи. Но настроенная личная VPS может давать vpn-тунель для смартфона если вам важно именно обладание тем или иным ip-адресом, но не анонимностью.
2. Технология подходит для онлайн игр, и особенно если у вас мобильный инет и пинги высокие - подняв канал на VPS например в Москве, качество инета ощутимо улучшится, только в случае если используется именно клиент софтэзера а не простой vpn-тунель.
3. К сожалению, в РФ с весны этого года нужные органы научились залазить и в эту технологию, т.к. были наблюдались проблемы в марте/апреле при попытках подключаться к нодам зарубежом, но органы быстро сообразили и ослабили удавку, чтобы пипл не прочухал и не соскочил массово на что-то, что ещё органы не успели освоить.
4. Самая дешёвая VPS в Москве(зарубежом от 2$ без учёта комиссий за оплату) стоит 55р в месяц, настраивается за 10- минут по гайду с картинками из инета. Мобильные операторы пока не палят трафик и не режут его в отличии от классического vpn, если вы сидите на мобильном инете с usb-модема/ротуера с симкой, пользуйтесь - не пожалеете. Есть одно ограничение - некоторые крупные ресурсы видя ip-адрес какого-либо крупного ЦОД с которого идёт ваш трафик могут принимать за подзрительный трафик(ддос) и заёбывать капчой для входа или вовсе не давать залогиниться к примеру с этого адреса(инста пинается периодический, яндекс не редко для проверки капчу подсовывает, авито или может тупить по 1 минуту прежде чем начнёт отдавать трафик или может ругнуться на ip-адрес но в последнее время не наблюдаю этого, просто подвисает на минуту прежде чем начнёт нормально сайт грузить).

Пользуюсь с 18 года. Ноду не шарил, ну его нах от греха подальше, особенно в свете последних событий. Только близким знакомым раздавал данные учёток строго под них созданные.
Rinjel Rinjel 07.01.202322:12 ответить ссылка 2.6
"Настраивается за пару кликов" — я за 200 кликов даже соединение создать не смог, наверно я оооочень тупой. Так столько текста — как в RPG.
Такое ощущение что это автоперевод статьи на китайском, или у аффтара значительные проблемы с русским языком...
Loser2 Loser2 15.01.202316:52 ответить ссылка 0.0
Только зарегистрированные и активированные пользователи могут добавлять комментарии.
Похожие темы

Похожие посты
ПИД OPbl, 28.06.2022	№	МН-19/721
Руководителям подведомственных Минобрнауки России организаций
На №______________от________
Об использовании VPN сервисов
Уважаемые коллеги!
В целях противодействия угрозам устойчивости, безопасности и целостности функционирования на территории Российской Федерации информ
подробнее»

anon VPN блокировки интернет

28.06.2022 № МН-19/721 Руководителям подведомственных Минобрнауки России организаций На №______________от________ Об использовании VPN сервисов Уважаемые коллеги! В целях противодействия угрозам устойчивости, безопасности и целостности функционирования на территории Российской Федерации информ