大家好,我是一个身居中国的爱国青年,明年应该就出去了。一想到到了美帝就要遭受到棱镜计划的窃听,一想到没法愉快的下载资源,我就深感不安,决定设计一个私有协议或者协议框架来应对可能遭受的窃听,阻断, tcp reset , dns poisoning 和 bit torrent honeypot 。
问题来了,从被广泛使用的已经倒下的第一代 goa 设计和连名字都不能提起的刚刚倒下的第二代设计中,有哪些是值得吸收的思想?
无状态连接?
libev 加快运行效率?
有没有必要设计得和 https 流量一样,然后配合端口复用让一部分包走加密一部分包访问网站上的内容,最后配合一个内容丰但富全站加密的博客,起到混淆 https 真实目的的作用?
我把这个协议放在哪层比较好呢?类似某个已经被封杀在握手阶段的威匹恩那样搞个虚拟网卡?还是建立在第几层?
1
breeswish 2015-08-23 15:15:44 +08:00 1
使用正确的加密算法的话可以应对窃听, NSA 除外…
|
2
pi1ot 2015-08-23 15:20:49 +08:00
只是混淆干扰的话,保持传播和使用范围的最小化就没事了。
|
3
cnnblike OP @pi1ot 或者用一整个系列的可自行选择和定制化的部分用来搭建协议?
这样四五个公钥加密协议,几个不同层级的传输协议,配合少量胶水代码,就可以每个人自己弄一个框架出来了,比方说 rsa over udp , aes over socks ?比 ss 稍微有一点优势的方面就是人人都能维护一个完全自己定制的协议,每个协议都可以避免被封杀 |
4
pi1ot 2015-08-23 15:48:01 +08:00
@cnnblike 你要愿意的话直接拿 ss 代码改一下就是个新的私有协议,但是最大的成本在于有那么多系统和终端要去配合修改,我这里就在 osx , windows , android , ios 上同时使用着,都改一遍真就全栈了
|
6
ljbha007 2015-08-23 17:05:33 +08:00
ss 你定期换个密码就已经很难嗅探了 其他没必要搞了
|
7
49 2015-08-23 17:06:24 +08:00 via Android 1
不要惊慌…有这么多成熟的方案的嘛
obfsproxy+ss 之类的不是神搭配嘛,弥补了 SS 无特征于现阶段之不足 |
8
xmoon 2015-08-23 17:17:15 +08:00
可怜 shadowvpn
|
10
aku 2015-08-23 17:47:34 +08:00 via Android
美帝国主义必将灭亡
最近频频展示军力,蠢蠢欲动 这是自掘坟墓 个人不觉得不可名之二代有什么问题 曾经怕的是,对单个 IP 的大流量切断 结果更狠 问一个问题,传闻二代已被破裂,有来源吗? |
11
cnnblike OP @aku 早晚。所以我现在的设想是在 443 端口上做复用,然后用正常浏览器访问就是正常的页面,代理程序去连接就是一个 https 代理。这样只要让自己挂的网页看上去无害,而且对墙内人很有用,那么基本就可以长期稳定使用了
|
12
dacapoday 2015-08-23 18:55:24 +08:00
@cnnblike 这个我在 openshift 上尝试过,前置 http 正常网站,访问某个 URL ,转到 OP 的 https 连接,该 URL 为 php 代理页面。
|
13
49 2015-08-23 19:07:29 +08:00
@cnnblike 关于你这个 443 端口复用, HTTPS Proxy 、 SSH 、 HTTP 集中在 443 的方案我在半年前弃坑-_-#
因为 Chrome 的一个 bug ,会导致 https proxy 在看 y2b 随机断流。不知道现在修复没有。 |
16
49 2015-08-23 20:24:07 +08:00
@cnnblike 我当初就是用的那一套,然后弃坑。通过定时平滑重启 nghttpx 可以大幅降低那种问题的出现概率。但是我还是弃坑了。线路是王道。
|
17
jimages 2015-08-23 22:11:10 +08:00 via iPhone
I have a question.四川电信,美帝之 2ptp 以及日本之 open 胃癖恩 都可以正常连接。没有看出来哪里被 ban 了...虽然速度慢。
|
18
cnnblike OP @jimages 握手阶段特征检测,封杀速度很快,握手完你的 VPS 就进黑名单了。
你没有进 banlist 就偷着乐把= =我在新加坡 DO ,日本 Vultr 上都被封过 |
20
datocp 2015-08-23 23:11:54 +08:00
do,vultr 是特例吧,上次就有一帖讨论,跟搬瓦工这种廉价 vps 简直两重世界,年初的时候 l2tp 经常的几分钟一断,断断连连,却从来没遇到进黑名单的待遇,只有基于 ddns 的域名被污染的情况发生。
现在明明白白的用着 stunnel ,一个在地球上已经存在 15 年的软件,有 psk pki 认证方法适合证书加密在各种 ipv6 tunnel 穿越,以墙现在那种对单 ip 的 tcp reset 过程,对于多 ip 的服务器简直是弱爆了。 |
21
bandaonanhai 2015-08-23 23:36:36 +08:00
想想以前看 cctv 访谈航天基地,航天基地的工作人员说基地保密措施时有一个挺夸张的例子,两台电脑主机不能靠太近,否则,不需要任何连线,一台主机可以直接隔空无线 copy 另一台主机上的所有信息。要知道航天基地台式机没任何无线发射模块哦,别提 wifi 了。
|
22
Lanceliel 2015-08-23 23:40:39 +08:00
@bandaonanhai 不夸张。这技术不新。
|
23
msg7086 2015-08-24 00:31:52 +08:00
槽点,下载资源和 nsa 有毛关系。
|
26
NeoAtlantis 2015-08-24 00:45:27 +08:00 via Android
在美帝就用 tor 就好了
|
29
jedihy 2015-08-24 08:25:47 +08:00 via iPhone
你只要挂代理,随便选个加密就行了。版权商没有闲工夫给你玩解密的。对于你的个人生活等其他隐私, nobody give a shit.
|
30
plqws 2015-08-24 08:58:03 +08:00
现在在 V2 讨论这些可能会被挪进 Chamber 哦,原因是「根据相关法律法规和政策」
|
31
invite 2015-08-24 13:34:43 +08:00
你这个协议,必然得在 IP 之上,在传输层协议之下。否则怎么兼容其他应用?
|
33
JamesRuan 2015-08-24 22:34:00 +08:00
没有私有网络,怎么加密、混淆都没有意义,你做的没有特征了,这个没有特征本身就是特征。你做的特征类似其他应用了,那这个应用也就“变成”其他应用了。
如果 NSA 要探测你的内容,加密混淆也就换取点时间,最后还是社会工程学解决问题;如果 NSA 不想探知你的内容(更可能如此,因为节约算力),那分分钟被封锁。 |
34
Lanceliel 2015-08-24 22:37:00 +08:00
@ljbha007
@invite 旁路攻击的方式有很多种。 首先,如果能通过某种方式(软件后门 /人员接触 etc.)先让目标计算机感染病毒程序,那么接下来可以通过控制 LED 状态灯闪烁 /内置扬声器播放超声 /次声波由附近的计算机接收解码。或者更隐蔽的还有控制 CPU/GPU 达到特定温度然后红外成像读取之类。按照现在的技术水平,另一台主机已经不是必需品了。利用视频线传输的像素时钟调制 FM 信号或者利用内存总线调制 GSM 信号的话只要附近有个手机就能接收解码。 如果不能事先感染目标计算机,办法也是有的。但可能比较难接触到之前已经存储的信息。比如通过键盘的电磁辐射泄漏(有线键盘或笔记本键盘也都有)可以记录所有键盘输入,监听电容电感泄漏的高频震动噪声可以记录 CPU 运算内容(搞定过 GPG 的 RSA 加密,当然现在的 GPG 版本已经增加了应对措施)。 |
35
invite 2015-08-25 19:23:18 +08:00
@Lanceliel 理论上可行,但是就像你说的,如果不能事先感染目标机器,这个如果的概率非常大。在没有感染目标机器的情况下,通过监测电磁辐射泄露这些,这个前提,也应该是有一个受感染的终端可以在里面监测这些辐射吧。不过安全等级那么高的地方,进入里面办公的,手机啥的肯定是带不进去的。也就是,进去的只有人和衣服、裤子、鞋子、袜子这些。感觉真正应用起来,还是不太实际。
|
38
Lanceliel 2015-09-02 17:08:25 +08:00
@invite 这里面有些监听方式是可以隔墙进行的……所以理论上来说从电子设备的间距进行控制是正确的做法。你想搞的话也不需要带进去手机,只要在附近藏个线圈当天线接收信号,把数据写到 SD 卡之类的介质里,过段时间“收割”一次把数据带出来分析就够了。这还是用随手就能买到的设备可以搞定的配置。真有心想折腾的可以有更隐蔽的信号接收记录装置……
|