Estou sob um ISP/AS não confiável, algo como o GFW. Eles tentam ativamente sabotar uma sessão TCP+TLS por meio de ataques como envio SYN RSTpara conexões estabelecidas, tempo limite de conexão, confusão com aperto de mão, etc.
Existe um utilitário na pilha de rede para descobrir se o servidor está sob tais ataques de qualidade de serviço?
Por exemplo, para detectar um SYN RSTsinal de alguém que não seja cliente/servidor, podemos comparar o tcpdump do cliente e do servidor para descobrir se o sinal veio de terceiros ou não. Podemos fazer isso manualmente ou escrever um script. Mas, existem ferramentas prontas para isso? Pode p0fser usado para isso?
Responder1
Em princípio, a impressão digital poderia detectar o ataque. Mas você deve ter notado que normalmente éprobabilísticométodo, caso em que você não pode dizer com certeza se algum pacote individual é benigno ou se foi forjado para bloqueá-lo de forma confiável.
Melhor observar campos de metadados como TTL, que para pacotes genuínos provavelmente será menor do que para pacotes forjados porque passaram por mais roteadores, cada um diminuindo o contador. É significativo descartar um pacote se o seu TTL diferir significativamente daqueles observados anteriormente na conexão. Isso provavelmente poderia ser implementado usando regras de destino iptables connmark match/CONNMARK (gravando o TTL para novas conexões na marca de conexão e verificando pacotes subsequentes).
Você deve saber que muitos recursos da Internet na Rússia estão bloqueados. A tecnologia de bloqueio é diferente, mas uma delas é fazer exatamente o que você está nos dizendo - se o dispositivo ТСПУ (que significa "технические средства противодействия угрозам", meio técnico para combater ameaças; é essencialmente um DPI) pensa que a conexão deveria ser bloqueado ele poderia enviar o TCP RST. Ele não bloqueia (ou pelo menos não bloqueou) os pacotes normais subsequentes, entãosevocê tinha meios de detectar e eliminar o pacote RST, você pode usar livremente o recurso "bloqueado". Existe um site dedicado a métodos de contornar a censura,ntc.festa(Não sou afiliado a ele de forma alguma). Em particular, um dos membros activos da comunidade,ValdikSS, fiz um softwareadeusDPIqualfoi capazpara contornar tal bloqueio. Parece usar o insight TTL mencionado também. Ele também lista outros softwares com função semelhante.
Também quero abordar especificamente a questão do título.IPsecenvolve todo o pacote IP (incluindo TCP) ou apenas sua carga útil e o autentica com assinatura eletrônica, impossibilitando a adulteração usando os métodos que você descreve. Você não é obrigado a criptografar um pacote, há ahum cabeçalho IPsec que apenas adiciona (e verifica) o MAC e, caso contrário, apresenta-o em texto não criptografado. Ou você pode criptografar usando espheader.
Infelizmente, você não pode confiar nisso ao se conectar a serviços "anônimos" arbitrários, porque para ativar o IPsec você precisa compartilhar chaves com a parteanteriorpara usar a tecnologia.