Как заблокировать сеть TOR ?!

[paradox]

скайп ловиться
а он посильнее криптуеться
так что сказка
)))
пошел тор тянуть

>zingel
в твоем ЖЖ
внизу
что бы переместиться на 6 новостей
обычно что я встречал
это слева линк на то что вперед
а справа линк на то что назад
у тебя наоборот
на 6 назад слева
левша?

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[zingel]

скайп ловиться
>zingel
в твоем ЖЖ
внизу
что бы переместиться на 6 новостей
обычно что я встречал
это слева линк на то что вперед
а справа линк на то что назад
у тебя наоборот
на 6 назад слева

ну это диз такой ёпнутый , как поковыряеш отпиши, что да как, я просто очень не уверен, что он реально подменяет айпишник...

[padonak]

в котором уже отлавливать ненужный контент по-заголовкам, с помощью
IOS CF

Насколько Я понял - тор маскирует заголовки . Причём давольно таки хорошо у него это палучается . Пакеты идут одинаковые: даже если нет инфы - он забивает пакет всякой бряью. Тоесть по контенту пакета - не апределить . TTL - тоже настраивается . Хоть он и прокси - то дабавляет значение к пакету (если грамотно настроить ВИДАЛИЮ - то и по TTL не оапределить .)
Пока что Я на вашем форуме более инфы увидел - чем во всём ИНЕТе . Вот завтра папробую по TTLу подампить .

З.Ы. Но как только Я свяжусь (не знаю случится ли это) с человеком , который урезал канал для машины с ТОРом - Я обязательно отпишусь .

[zingel]

Насколько Я понял - тор маскирует заголовки .

у него очень хитрая инкапсуляци, я посмотрю сегодня его исходники и скажу как точно можно отловить трафик от него.

[padonak]

Для справки

Идентифицировать протокол Tor'a в трафике крайне сложно, поскольку весь трафик с самого начала идёт, зашифрованный TLS. Действительно, можно его определить тем образом, что первое соединение всегда производится с IP директорий, или корневых узлов, сети (moria, скажем), чтобы скачать список всех узлов. Соответственно, если некое приложение из локальной сети пытается соединиться с этими IP (а список их небольшой и заранее известный), то эта программа нелегитимна.

В общем, это похоже на положение дел в Китае. Для таких случаев разработчики предлагают получать список узлов несетевым способом, устанавливать на ПК и уже после этого подключаться к Tor'у — он сможет сразу установить связи.

В общем, и это не гарантия, поскольку Ваш админ может парсить тот же список всех Tor-узлов и блокировать связь со всеми заданными в нём IP. Как обойти такую блокировку без использования внешнего прокси по защищённому каналу я не представляю.

[zingel]

значит встает вопрос о сопоставлении количества трафика и процента в нем TLS, по-отношению к узлам сетей TOR в UDP-трафике:

Код: Выделить всё

/**
 * Set *<b>addr</b> to the host-order IPv4 address (if any) of whatever
 * interface connects to the internet.  This address should only be used in
 * checking whether our address has changed.  Return 0 on success, -1 on
 * failure.
 */
int
get_interface_address(int severity, uint32_t *addr)
{
  int sock=-1, r=-1;
  struct sockaddr_in target_addr, my_addr;
  socklen_t my_addr_len = sizeof(my_addr);

  tor_assert(addr);
  *addr = 0;

  sock = socket(PF_INET,SOCK_DGRAM,IPPROTO_UDP);
  if (sock < 0) {
    int e = tor_socket_errno(-1);
    log_fn(severity, LD_NET, "unable to create socket: %s",
           tor_socket_strerror(e));
    goto err;
  }

  memset(&target_addr, 0, sizeof(target_addr));
  target_addr.sin_family = AF_INET;
  /* discard port */
  target_addr.sin_port = 9;
  /* 18.0.0.1 (Don't worry: no packets are sent. We just need a real address
   * on the internet.) */
  target_addr.sin_addr.s_addr = htonl(0x12000001);

  if (connect(sock,(struct sockaddr *)&target_addr,sizeof(target_addr))<0) {
    int e = tor_socket_errno(sock);
    log_fn(severity, LD_NET, "connect() failed: %s", tor_socket_strerror(e));
    goto err;
  }

  if (getsockname(sock, (struct sockaddr*)&my_addr, &my_addr_len)) {
    int e = tor_socket_errno(sock);
    log_fn(severity, LD_NET, "getsockname() to determine interface failed: %s",
           tor_socket_strerror(e));
    goto err;
  }

  *addr = ntohl(my_addr.sin_addr.s_addr);

  r=0;
 err:
  if (sock >= 0)
    tor_close_socket(sock);
  return r;
}

[padonak]

значит встает вопрос о сопоставлении количества трафика и процента в нем TLS, по-отношению к узлам сетей TOR

Если грамотно настроить - то первый коннект может идти на обычную проксю . Или на сервер поднятый у себя дома на внешнем адресе .
Поэтому первый коннект будет не на сеть ТОР . И тут они пазабавились .
Скайп в подмётки не годится ТОРу .

Tor - это полностью анонимная сеть, использующий специальную маршрутизацию, которая позволяет шифровать исходящий трафик, доставлять его до конечной точки (напр.сервер) в шифрованом виде, тем самым предоставляя возможность скрытой реверсивной маршрутизации и абсолютную недоступность перехвата трафика на стороне провайдера.

[paradox]

фигня этот тор
написать клинета
соурсы есть
который вытягивает список всех сетей
и по этому списку смотреть если вы вы там
и блочить

у скайпа все закрыто
и мало того
там еще и сжатие
+ обфускатор
у тора этого нет
и ни у одного программы извесной мне !
))

[padonak]

Утверждать не буду . Но вот как СКАЙП блокировать - инфа есть .
А вот по ТОРу - ничего ! Лично Я - не нашёл . Поэтому вот и замутил тут для УМНЫХ людей темку .

Слои защиты

Технология “луковичной” маршрутизации, названная так в связи с примененным в ней принципом многослойного шифрования, разработана Исследовательской лабораторией ВМФ США, в ней предусмотрена пересылка зашифрованных сообщений от одного сервера другому внутри территориально распределенной сети. Каждый сервер сети Tor, получив зашифрованное сообщение, дешифрует содержащийся в нем адрес следующего сервера. Остальная часть сообщения остается зашифрованной (другим ключом) и посылается по маршруту следующему серверу. При этом каждый сервер может дешифровать только тот слой, который предназначен конкретно ему. Такие “слоеное” шифрование и маршрутизация гарантируют, что ни один конкретный сервер не “узнает” ни содержания пересылаемого сообщения, ни того, откуда оно изначально вышло и куда в конечном счете направляется. Этот метод наряду с частым изменением сетевых маршрутов сообщений блокирует их детектирование методами анализа моделей трафика.

Однако протокол “луковичной” маршрутизации не является абсолютно защищенным. Применяя разные методы анализа, например модели трафика, учитывающие временные параметры, и коррелируя отправленный трафик с выходными узлами, заинтересованные лица могут определить, какими серверами посылаются и принимаются данные сообщения. Кроме того, детальный анализ образцов сообщений позволяет узнать, как часто используются серверы, и на этой основе делать предположения относительно характера пользования ими. Тем не менее содержимое сообщений остается все-таки зашифрованным и конфиденциальным до тех пор, пока алгоритм шифрования не будет взломан.

[paradox]

а то даже и писать ничего ненадо
я так думаю у тор под юних уже есть CLI
тогда все проще)))

[paradox]

все еще проще
но мне это не горит
а в каталоге тора есть
файлик
exitlist
вообщем кому надо
намеки я оставил = ))

[zingel]

там ещё морда есть на qt4, полный кал, мало того, TOR умеет работать c:

Код: Выделить всё

/* XXXX make sure this isn't leaking. */
      log_engine("RSA", ENGINE_get_default_RSA());
      log_engine("DH", ENGINE_get_default_DH());
      log_engine("RAND", ENGINE_get_default_RAND());
      log_engine("SHA1", ENGINE_get_digest_engine(NID_sha1));
      log_engine("3DES", ENGINE_get_cipher_engine(NID_des_ede3_ecb));
      log_engine("AES", ENGINE_get_cipher_engine(NID_aes_128_ecb));

файлик
exitlist
вообщем кому надо
намеки я оставил = ))

Неплохой такой файлик, сразу не разглядел


padonak

качай исходник TOR, и смотри там contrib/exitlist, там всё есть для того, чтобы решить твою проблему.

[padonak]

полез..... полез... полез.....
только что то не понял - 18.244.0.188/255.255.255.255:1-65535 Неужели всё так просто ?

[zingel]

всё гениальное просто....

[padonak]

всё гениальное просто....

К сожалению... не всё так просто .
Установленный клиент - уже имеет список серверов, который хранится в кэше. Далее по скрипту - он сверяет и дабавляет список серверов .
Вообщем - данная подсказка - абсолютно не рабочая .

KeepalivePeriod ЧИСЛО
С целью предупреждения постепенного вытеснения фаерволлами соединения, в течении продолжительного времени не проявляющего признаков активности («не подающего признаков жизни»), генерировать пакеты порожнего траффика с периодичностью в ЧИСЛО секунд на всех открытых и используемых соединениях. Если же для соединения не было создано узловых колец, то оно наоборот, будет закрыто после заданного ЧИСЛА секунд простоя. (По умолчанию: 5 минут)

[zingel]

L7 тогда

[padonak]

ПРичём Я заблокировал список проксей тора - и всё равно, стоит только раз ему проскочить, как он обновляет и расширяет список своих серверов . Вообщем..... пока вопрос открыт .

[paradox_]

чет я так и не вкурил
кто мешает держать запущенного тора
в котором с какойто переодичностью вытягивать весь список
а список загнать в файл
и pf пефрешить и блочить

еще момент по p2p коннетам
которых может быть не видно в торе
но думаю при килограмме кофе на ночь - вы сможете придумать как решить
)
нерешимых проблем нет

[zingel]

если по-хорошему, нужно строить несколько барьеров для такого трафика, и пускать это добро в туннеле и уже на выходе устраивать rate limit, вот, что-то типа того, только guard нужно менять на L7:



но это будет стоить под 100 000$$

[paradox_]

всю творческую работу человеку отбил = )))
он уже наверное и за кофе пошел...

[zingel]

блокировка TOR/p2p/DDoS /etc - это неоднозначная задача, 100% блокировки получить не выйдет, хороший выход - административные меры, мол если попался на использовании TOR - иди нах из сети, но это нечестно по-отношению к пользователю

[padonak]

чет я так и не вкурил
кто мешает держать запущенного тора
в котором с какойто переодичностью вытягивать весь список
а список загнать в файл

Проблема в том - что этих серверов СЛИШКОМ МНОГО . И они постоянно появляюся новые . Достаточно хоть раз вылезти наружу - и все труды насмарку .
Далее разработчики ТОР - придумали ещё круче фишку . Есть АНОНИМНЫЕ сервера . Каторые известны только дапустим 2 пользователям . Как раз именно бля того, чтоб один раз ВЫБРАТЬСЯ из закрытой сети. Далее - список пополницца автоматом .
Второй способ - можно ломиться не на ТОР сервера - а дапустим на пару обычных проксей . И только потом на торовские .
Вот какая эта зараза. А вы говорите СКАЙП .

А по поводу административных мер... ну это крайности . Пока до этого не дошло . Не так критично . Но вот пока не критично - решил навести справки по блокированию . И пока бесполезно .
З.Ы. А по поводу стоимости.... проще от ИНТа пользователя отключать . А не покупать такое дорогое оборудование . Это токлько на уровне провайдера такие траты возможны .

[padonak]

чет я так и не вкурил
кто мешает держать запущенного тора
в котором с какойто переодичностью вытягивать весь список

Да кстати - он всю базу серверов хранить в зашифрованном виде .

[paradox_]

>100 000$$
подели хотя бы на 2
и я тебя напишу прогу которая будет нафиг убивать все торы
даже на этапе зарождения

= ))))))

[zingel]

>100 000$$
подели хотя бы на 2
и я тебя напишу прогу которая будет нафиг убивать все торы
даже на этапе зарождения

на три подели, я сам буду ходить по-домам и выцеплять тех, кто этот ТОР юзает :=)