Как заблокировать сеть TOR ?!

[zingel]

невижу чем сиськи(Cisco) тут погут помочь

1)CISCO IOS Content Filtering
2)IOS

Код: Выделить всё

access-list 102 deny icmp any any fragments
access-list 102 permit icmp any any echo-request
access-list 102 permit icmp any any time-exceeded
access-list 102 permit icmp any any packet-too-big
access-list 102 deny icmp any any
access-list 2001 remark Specifically block ICMP fragments
access-list 2001 deny icmp any any fragments
access-list 2001 remark Permit inbound ping.
access-list 2001 permit icmp any any echo
access-list 2001 remark Permit inbound ping response.
access-list 2001 permit icmp any any echo-reply
access-list 2001 remark Permit Path MTU to function.
access-list 2001 permit icmp any any packet-too-big
access-list 2001 remark Permit time exceeded messages for traceroute and loops.
access-list 2001 permit icmp any any time-exceeded
access-list 2001 remark And explicitly block all other ICMP packets
access-list 2001 deny icmp any any
access-list 2001 remark Permit everything else (or add additional ACLs here).
access-list 2001 permit ip any any

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[hizel]

сдается список supported protocol сискьи не сравнить с этим http://l7-filter.sourceforge.net/protocols

[zingel]

да причем тут протоколы, если режется по-типу пакетов (TCP, UDP, ICMP /etc) и их заголовкам, длине? преимущество каталиста в этом, про остальные, я думаю, Вы знаете.

p.s. пошел offtop.

[hizel]

я все понять не могу как вы по этим параметрам отличите TOR-овские пакеты от обычных

что касается преимуществ, то не забываем и про недостатки сиськоф

[Alex Keda]

сдается список supported protocol сискьи не сравнить с этим http://l7-filter.sourceforge.net/protocols

сайт лежит...
сдаётся мне, что циско лучше - их сайт щас не лежит....

[hizel]

у мя все открывается сейчас, пни своего прова

[padonak]

я все понять не могу как вы по этим параметрам отличите TOR-овские пакеты от обычных

Вот ! И Я о том же . Если почитать спецификацию тора... То там написано что он маскирует пакеты . Причём давольно такии умело . Дело в том , что пока нет связи с одним человеком, который мог бы мне реально подсказать . Я точно знаю, что он не блокирует пакеты тора - а ужимает скорость той машины до нуля при использовании сети тор .
Ка Я писал ранее - я не утверждаю что он сделал это iptables. Может у него и FreeBSD . Но точно не киска .

[hizel]

Как и все анонимные сети с низким временем ожидания, Tor уязвим к

анализу трафика

со стороны атакующих, которым доступны для прослушивания оба конца соединения пользователя.

анализом содержимого пакетов занимается l7filter

[zingel]

отличите TOR-овские пакеты от обычных

когда дейтаграмма проходит следующий хоп,её TTL, как правило уменьшается на единицу, это, обычно отражено в заголовке пакета, вне зависимости от типа дейтаграммы, что tcp, что udp, у фряхи оно 64 для tcp и 64 для udp, хотя на бекбонах и аплинках оно 45, ну так вот, вычеслить засранца можно, если мы точно видим что существуют аномалии в TTL, то есть мы точно видим что TTL в пакетах от определённого хоста слишком маленький, tcp-TTL, потому, что TOR - это прокся, таким образом TTL у торовских клиентов будет:

Код: Выделить всё

echo "64 - 45" | bc -l
19

вот это значение и стоит банить, от 19-21.

Я могу и дальше продолжать посвещать вас в основы TCP/IP, но я думаю никому это не будет интересно.

L7 - проще, дешевле, вот его и стоит пользовать трейдмейкеру.

[padonak]

отличите TOR-овские пакеты от обычных

Я могу и дальше продолжать посвещать вас в основы TCP/IP, но я думаю никому это не будет интересно.

Я готов послушать уроки знающего человка .

А если реально - завтра "послушаю" машинку наверняка использующую тор в сети .

[zingel]

Я готов послушать уроки знающего человка

поставьте L7, как советует hizel

p.s. А это Вы на аватарке?

[padonak]

p.s. А это Вы на аватарке?

Этот дедок со мной в ИНЕТе с 1998 года .
Сам Я не настолько стар

[zingel]

с 1998

а сейчас ему сколько, поди уже no route to host?

[padonak]

с 1998

а сейчас ему сколько, поди уже no route to host?

пять баллов !!!!

[padonak]

когда дейтаграмма проходит следующий хоп,её TTL, как правило уменьшается на единицу, это, обычно отражено в заголовке пакета, вне зависимости от типа дейтаграммы, что tcp, что udp, у фряхи оно 64 для tcp и 64 для udp, хотя на бекбонах и аплинках оно 45, ну так вот, вычеслить засранца можно, если мы точно видим что существуют аномалии в TTL, то есть мы точно видим что TTL в пакетах от определённого хоста слишком маленький, tcp-TTL, потому, что TOR - это прокся, таким образом TTL у торовских клиентов будет:

Код: Выделить всё

echo "64 - 45" | bc -l
19

вот это значение и стоит банить, от 19-21.

Все пакеты с машины использующей ТОР - имеют TTL 128 и 64. Никаких аномалий не выявлено . Если почитать спецификацию ТОРа - то в новых версиях его по TTL не выявить .

[paradox]

делать tcpdump
выявлять специфические пакеты обозначающие его
и рубить его по таким пакетам iptable сом
как skype
= ))

[padonak]

делать tcpdump
выявлять специфические пакеты обозначающие его
и рубить его по таким пакетам iptable сом
как skype
= ))

Прочитайте про ТОР . Его спецификации . Он маскирует пакеты . tcpdump ничего толком не покажет . Еслиб всё так просто было - Я б тут не спрашивал .

[zingel]

ТОР - имеют TTL 128

как так, а как Вы трафик считаете, пакеты на роутере дампали?

Дайте вывод:

Код: Выделить всё

tcpdump -tn -c 10000 -i <Ваша сетевуха> tcp or udp | awk -F "." '{print $1"."$2"."$3"."$4}' | \ sort | uniq -c | sort -nr | awk '$1 > 100'

[padonak]

Завтра попробую....

[paradox]

блин еще одна сказка
скайп развеяли
другую насаждают

под кого это тор маскируеться?
сомневаюсь что он круче скайпа

[zingel]

блин еще одна сказка
скайп развеяли
другую насаждают

под кого это тор маскируеться?
сомневаюсь что он круче скайпа

на самом деле - да, это сказка, но наполовину:

http://zingelll.livejournal.com/17306.html

[padonak]

сомневаюсь что он круче скайпа

Эта штука - покруче скайпа будет . Наамного покруче.

[paradox]

>zingel

если в бинарном виде жтот тор
то пойду хачить ))))

ps
листание наоборот?
обычно справа - вперед
слева назад

[zingel]

сомневаюсь что он круче скайпа

Эта штука - покруче скайпа будет . Наамного покруче.

тут я согласен, отловить - сложно, но можно, по-этому я и посоветовал каталист, с помощью которого можно создать мембрану между линуховым роутером и самой кошкой, например пропускать весь трафик через gre-тунель, в котором уже отлавливать ненужный контент по-заголовкам, с помощью
IOS CF

[zingel]

>zingel

если в бинарном виде жтот тор
то пойду хачить ))))

ps
листание наоборот?
обычно справа - вперед
слева назад

ничаво не понял (только проснулся), поясни плз, в каком смыле, вперёд-назад?WTF?