저는 GFW와 같은 신뢰할 수 없는 ISP/AS를 사용하고 있습니다. 이들은 SYN RST설정된 연결로 전송, 연결 시간 초과 설정, 핸드셰이킹 조작 등과 같은 공격을 통해 TCP+TLS 세션을 방해하려고 적극적으로 시도합니다.
서버가 그러한 서비스 품질 공격을 받고 있는지 알아내는 유틸리티가 네트워킹 스택에 있습니까?
예를 들어 클라이언트/서버가 아닌 다른 사람의 신호를 감지하려면 SYN RST클라이언트와 서버의 tcpdump를 비교하여 신호가 제3자에서 왔는지 여부를 확인할 수 있습니다. 이 작업은 수동으로 수행하거나 스크립트를 작성할 수 있습니다. 그런데 이를 위해 준비된 도구가 있나요? p0f이것에 사용할 수 있습니까 ?
답변1
원칙적으로, 지문 채취를 통해 공격을 탐지할 수 있습니다. 하지만 당신은 이것이 일반적이라는 것을 눈치챘을 것입니다.확률적인이 방법에서는 개별 패킷이 양성인지 또는 안정적으로 차단하도록 위조되었는지 확실하게 알 수 없습니다.
TTL과 같은 메타데이터 필드를 살펴보는 것이 더 낫습니다. 실제 패킷의 경우 더 많은 라우터를 통과하여 각각 카운터가 감소하기 때문에 위조된 패킷보다 낮을 것입니다. TTL이 연결에서 이전에 관찰된 것과 크게 다른 경우 패킷을 삭제하는 것이 의미가 있습니다. 이는 아마도 iptables connmark match/CONNMARK 대상 규칙(새 연결에 대한 TTL을 연결 표시에 기록하고 후속 패킷 확인)을 사용하여 구현될 수 있습니다.
러시아의 많은 인터넷 리소스가 차단되어 있다는 것을 알고 계실 것입니다. 차단 기술은 다르지만 그 중 하나는 사용자가 말하는 대로 정확하게 수행하는 것입니다. ТСПУ 장치("технические средства противодействия угрозам", 위협에 대응하기 위한 기술적 수단, 본질적으로 DPI임)가 연결을 생각하는 경우 차단되어야 TCP RST를 보낼 수 있습니다. 후속 일반 패킷을 차단하지 않습니다(또는 적어도 차단하지 않았습니다).만약에RST 패킷을 탐지하고 제거할 수 있는 방법이 있으면 "차단된" 리소스를 자유롭게 사용할 수 있습니다. 검열을 우회하는 방법을 전문적으로 다루는 웹사이트가 있습니다.ntc.파티(나는 어떤 식으로든 그것과 관련이 없습니다). 특히, 커뮤니티에서 활동하는 회원 중 한 명인ValdikSS, 소프트웨어를 만들었습니다안녕DPI어느가능했다그러한 막힘을 피하기 위해. 언급된 TTL 통찰력도 사용하는 것 같습니다. 그는 또한 비슷한 기능을 가진 다른 소프트웨어도 나열합니다.
또한 제목의 질문에 대해 구체적으로 언급하고 싶습니다.IPsec전체 IP 패킷(TCP 포함) 또는 해당 페이로드만 래핑하고 전자 서명으로 인증하므로 설명하는 방법을 사용하여 변조하는 것이 불가능합니다. 패킷을 암호화할 필요는 없습니다. ahMAC를 추가(및 확인)하고 그렇지 않으면 일반 텍스트로 표시하는 IPsec 헤더가 있습니다. 또는 헤더를 사용하여 암호화할 수도 있습니다 esp.
안타깝게도 임의의 "익명" 서비스에 연결할 때는 이에 의존할 수 없습니다. IPsec을 활성화하려면 당사자와 키를 공유해야 하기 때문입니다.이전의기술을 사용하는 것입니다.