Степаныч, просьба тоже расшарить, я бы поковырял.
-
XSS.stack #1 – первый литературный журнал от юзеров форума
документация на ТСПУ
- Автор темы gliderexpert
- Дата начала
Решайте это без меня. У меня не один и даже не два личных знакомых сидят в Лефортово по 275 УК РФ. Я к этому не имею отношения, вроде бы. Но не хочу что бы придумали. Это без меня, я не распространяю ничего, просто изучаю очевидные схемы. Реально, напиши, спроси. Я никому ничего не давал.
- Автор темы
- Добавить закладку
- #23
Намеков нет - поэтому пишу прямо тут. Дело в том что я сам не очень владею темой, проблема вылезла недавно - поэтому сложно сформулировать мысль.
Смысл вот в чем. Были провайдеры и был роскомнадзор с их списком блокировок по IPшникам. Провайдеры были обязаны не пущщать пользователей на сайты из этого списка - и каждый оператор решал задачу по своему. Кто-то писал свои скрипты (которые выкачивали раз в сутки с РКНовского сайта тот самый список запрещенных сайтов), кто-то покупал железяку от фирмы РДП, в общем кто как.
Параллельно с этим был СОРМ для наблюдения за абонентами.
Вот все это - довольно понятно и не интересно.
Пару лет назад ГРЧЦ вышел с инициативой что дескать нужно делать безопасный рунет - сегмент интернета, который устойчив к внутренним и внешним угрозам, атакам и т.д. Все это обозвали словом ТСПУ - Технические Средства Противодействия Угрозам.
Разным угрозам - например как часть этой системы - то что описано у Вас в архивах (антифрод). С этим тоже более-менее все ясно.
НО. Самое интересное - ГРЧЦ обязал провайдеров ставить на свою сеть некие черные ящики для DPI - это те железки которые описаны в файле "!инструкция ... по взаимодействию..." , та самая штука которую предлагают отключать байпасом в случае возникновения проблем.
И весь вопрос в происхождении этих ящиков и их алгоритмах работы. Операторы не знают про них ни-че-го. Черный ящик. Как будто они "из ничего" возникли в один момент времени, в перечне продукции РДП. Хотя есть подозрение что это либо китайская железяка (или софт закупленный у китайцев), либо разработка велась не публично и очень давно.
"ящик" вполне успешно блокирует VPNы, TOR, и даже при некоторых условиях видит наличие TOR-трафика !!!внутри!!! vpn тоннеля.
Плюс у меня есть подозрение что этот же ящик конечно же собирает фингерпринты трафика с привязкой к конкретному абоненту - получается этакий "карманный" личный ГРЧЦшный СОРМ, который работает параллельно с уже имеющейся ФСБшной системой.
Собственно я ищу подробности именно про этот кусочек ТСПУ. Откуда взялась разработка этого блокировщика, какие принципы заложили в основу его работы и т.д.
Система блокировки пользовательских VPN туннелей, основанная на DPI-анализе трафика.
При СССР такая штука была, АСУ "Центр" - ходят слухи что таки допили ее до рабочего состояния...
Нет, эта схема насколько я понял для АИС Антифрод используется. Блокировщик VPNов нечто другое.
печальбеда.
имхо это китайский софт на китайском же железе, как я уже цитировал одного анонима с форума анонимных домохозяек: https://xss.pro/threads/99938/post-693006
По поводу СОРМ, вы сами наверное знаете, все эти мероприятия описаны в законодательных актах настолько подробно, что перефразируя Милорада Павича, загадки о шахматах быть не может, загадка там могла бы быть, если бы не было слова "шахматы", а так, открытая библиотека шахматной мысли, начиная при чем с истоков первых университетов Наланда и ряд других, о которых остались лишь предания старины глубокой. Это открыто и описано. Вы не знаете что нужно гуглить, это не очень высокочастотный запрос. И речь не идет о таких шедеврах, которые разумеется не секрет, но ДСП, вроде «Об утверждении Инструкции об основах организации и тактики проведения оперативно-технических мероприятий», а это у нас по службам, нумера 281дсп /306дсп /30дсп /215дсп /66дсп /390дсп /191дсп /374дсп и более свежие. Это моветон разумеется публиковать, спрашивать, предлагать. Я говорю именно об открытых законодательных актах, не ДСП, и не форма построже и буквы от которых архивом за решеткой пахнет. ))
В чем проблема людей, я не знаю. Это к вопросу о мероприятиях, как и что делается. Подробно в схемах и процедурах это описано и ни одна служебная собака не подумала ничего лишнего. Ну логика здесь определенная есть. Более того, зачастую иностранцы не могут понять этого, ухватить. По непостижимой мне универсальной причине, тараканы вирджинские (Va) совершенно несовместимы в измерении смысла с московскими и ясеневскими тараканами. Они не могут этого понять, хотя я не думаю что там бездна пропасти. Очевидно, как мне кажется, люди забыли основы и полагаются не на то. Особенно когда это небольшой коллектив, группа, или вы одиночка. Это изначально ошибка, даже если есть талант. Помните, как у сэра Вашингтона Плэтта? У него было сравнение с железной дорогой, пример о талантах. Нужно просто любить эту отрасль, если ты любишь то, чем занят, будешь разбираться в любых нюансах магистралей любой страны. К сожалению, этого все меньше и меньше. Если интересно, я накидаю примеры, по которым открытым данным можно сделать довольно полные, точные выводы. Это Евангелие и не разведки, intel.. Мать вашу, эту книгу перевели в СССР через три на х#й недели. Она вышла ограниченным тиражом, потом переиздание было и не одно (не помню точно сколько в СССР их было). Я имею публичную и не публичную копию, я не путаю, это вам могут преподавать что через полгода, я говорю - три недели. Это стало настолько важным, что через год, два о ней знали все и вся в мире, не только в СССР, кто попросту занимался аналитической работой любой профессии и сферы деятельности. Наверное там и сегодня можно найти нечто, что не заменит суперкомпьютер? ))) Особенно если вы один и для себя выводы готовите, работаете с информацией, не суть какой и для чего.
Ровно тоже самое касается и США например. Просто этот вопрос чрезвычайно неудобен. Но там точные выводы сделать гораздо сложнее. Если вы один например, вас никто не консультирует, а даже если бы консультировал то на предмет чего? Обществознания? Да мне на х#й не нужно, я получил возможности получить политологию, историю спецслужб, дозировано, то что мне нужно, я могу брать, об образовании речи не идет, у меня не хватит уже времени. Почему так вышло? Наверное не потому что я очень умён. Напротив, крайне мало людей, которые готовы учится, получать знания, не искажать знания и это не для карьеры, а для себя, развития. Поиска своего пути, если хотите. Потому что если всё именно так, вы и без денег, ну не диплом, но книги, добрые советы от специалистов, общий язык- найдете. Это важно понимать очень. Люди в этом препоны выстраивают. Тоже самое с США, очень много информации, систем. Это очень тяжело систематизировать, выводы можно делать спустя значительное время. Но и это возможно. Просто этим не хвастают.
Когда я вижу каких-то ресерчеров типа упакованных и модных. Москвича одного поймал как-то, он всё время причисляет себя и эту артель свою к "разведывательному сообществу", подчеркивая что он часть его. Я как-то спросил, почему он так считает, осознает ли он свою роль, или это игра, стёб? Оказалось что нет, он в неведении. Потому что он не знает ничего о разведывательном сообществе. Он не понимает не только модели, как это работает и взаимодействует, хотя это не ограниченная/секретная инфа. Он блядь даже не знает кто является заказчиком, кто конкретно, я спросил, кто правит и дает сводку президенту и вообще заказчикам этой развединформации. Он блядь этого не знает просто. Я говорю, ты знаешь какое место занимает state.gov среди гос.сайтов? Он не знает. Он не знает и почему штат, state тождественно власти и правительству. Лично для меня это было изначально парадоксом федерализма. Зато он себя причисляет к разведывательному сообществу. Хотя его номер 35 и можно было бы быть скромнее. Я не умничал, просто не могу понять, почему люди, и толковые живут в иллюзии. Ребята, у вас иллюзии о своей роли, о месте, да и о спецслужбах. Если кому-то романтики не хватает, отправьтесь лучше автостопом по Европе, честное слово. Очень мало людей смогут с этим работать, еще и занять свое место, пускай относительной независимости. Если это возможно. Не, ну кому то нравятся услужливые слуги, это инвестиция, могу понять. Но почему эти слуги не осознают своей роли, я не знаю. Им не обещали должность дворецкого у какого-нибудь герцога Уэльса, если будет хорошо работать. Это ошибка и большая.
Специально для очень умных людей, напомню о прописных истинах. А то они меня дураком считали ранее. Ну было такое. Оказалось что они к сожалению были слишком умны, надо было брать примеров у дураков вроде меня. Это к вопросу о разведывательном сообществе. Это свернули уже, но до сих пор там всякие петушки кукарекают. Я для очень умных зацитирую. А то и поговорить после будет не о чем, так и не поймут какое у них место и номер в лиге.
Bureau of Intelligence and Research
INR is a bureau of the Department of State and a member of the Intelligence Community (IC). The Bureau of Intelligence and Research's (INR) primary mission is to harness intelligence to serve U.S. diplomacy. Secretary of State George Marshall established INR in 1947. INR is a direct descendant of the Office of Strategic Services Research Department and the oldest civilian intelligence element in the U.S. Government. Ambassador Daniel B. Smith is INR’s Assistant Secretary.
Drawing on all-source intelligence, INR provides value-added independent analysis of events to U.S. State Department policymakers; ensures that intelligence activities support foreign policy and national security purposes; and serves as the focal point in the State Department for ensuring policy review of sensitive counterintelligence and law enforcement activities around the world. The bureau directs the Department’s program of intelligence analysis and research, conducts liaison with the Intelligence Community, and represents the Department on committees and in interagency intelligence groups. The Bureau of Intelligence and Research also analyzes geographical and international boundary issues.
INR fulfills its mission through three key activities:
All-Source Analysis
INR is one of three all-source analytical units in the IC. INR analysts focus primarily on supporting diplomats and diplomacy with a wide range of information and analyses. INR participates in the production of joint IC products, usually under the auspices of the National Intelligence Council (NIC), and in the drafting and coordinating of articles for the President’s Daily Briefing (PDB). INR is also the U.S. Government (USG) leader for foreign public opinion research and analysis.
Intelligence Policy and Coordination
INR coordinates between the Department of State and the IC to ensure that intelligence activities—collection and operations—support and are informed by foreign policy. Within the State Department, INR coordinates policy review of sensitive intelligence, counterintelligence, and law enforcement activities to ensure that they are consistent with foreign policy interests. INR also represents the State Department’s interests in the formulation of intelligence policy by the Office of the Director of National Intelligence and by other elements of the IC.
Analytic Outreach
INR leads the IC in analytic outreach. INR’s Analytic Exchange Program provides analysts and policymakers with perspectives from hundreds of outside experts from the private sector, academia, and non-governmental organizations on the most challenging foreign policy and intelligence issues. INR also runs INRtalks: an audio-video program that directly engages these experts at the request of policymakers and analysts. INR co-chairs the National Intelligence Analysis Board’s Analytic Outreach Committee, the IC’s principal coordinating body for analytic outreach. INR co-manages the IC Associates Program with the NIC.
INR is a bureau of the Department of State and a member of the Intelligence Community (IC). The Bureau of Intelligence and Research's (INR) primary mission is to harness intelligence to serve U.S. diplomacy. Secretary of State George Marshall established INR in 1947. INR is a direct descendant of the Office of Strategic Services Research Department and the oldest civilian intelligence element in the U.S. Government. Ambassador Daniel B. Smith is INR’s Assistant Secretary.
Drawing on all-source intelligence, INR provides value-added independent analysis of events to U.S. State Department policymakers; ensures that intelligence activities support foreign policy and national security purposes; and serves as the focal point in the State Department for ensuring policy review of sensitive counterintelligence and law enforcement activities around the world. The bureau directs the Department’s program of intelligence analysis and research, conducts liaison with the Intelligence Community, and represents the Department on committees and in interagency intelligence groups. The Bureau of Intelligence and Research also analyzes geographical and international boundary issues.
INR fulfills its mission through three key activities:
All-Source Analysis
INR is one of three all-source analytical units in the IC. INR analysts focus primarily on supporting diplomats and diplomacy with a wide range of information and analyses. INR participates in the production of joint IC products, usually under the auspices of the National Intelligence Council (NIC), and in the drafting and coordinating of articles for the President’s Daily Briefing (PDB). INR is also the U.S. Government (USG) leader for foreign public opinion research and analysis.
Intelligence Policy and Coordination
INR coordinates between the Department of State and the IC to ensure that intelligence activities—collection and operations—support and are informed by foreign policy. Within the State Department, INR coordinates policy review of sensitive intelligence, counterintelligence, and law enforcement activities to ensure that they are consistent with foreign policy interests. INR also represents the State Department’s interests in the formulation of intelligence policy by the Office of the Director of National Intelligence and by other elements of the IC.
Analytic Outreach
INR leads the IC in analytic outreach. INR’s Analytic Exchange Program provides analysts and policymakers with perspectives from hundreds of outside experts from the private sector, academia, and non-governmental organizations on the most challenging foreign policy and intelligence issues. INR also runs INRtalks: an audio-video program that directly engages these experts at the request of policymakers and analysts. INR co-chairs the National Intelligence Analysis Board’s Analytic Outreach Committee, the IC’s principal coordinating body for analytic outreach. INR co-manages the IC Associates Program with the NIC.
Поэтому, я не очень понимаю увлечений, не ваших именно, а людей, вот им интересно нечто запретное. Почему бы вам шаманизм, тенгрианство не изучить? Религию бон? Хотя кажется с этим проблемы. Ну или нечто экзотическое? Там много запретного и жизнь будет спокойней и веселей. Это почти как в цыганский народный ансамбль трудоустроится, работать выходные, а всю дорогу кайфовать.
Просто я обратил внимание, что здесь с этих тем влажно становится, это привлекает внимание. ))) Решил отвлеченно написать об этом. Подумайте о том, зачем и для чего вам это, это я к читателям обращаюсь.
Я примерно понимаю. Вас интересует DPI, скажем так. Ну здесь не как с велосипедами, но как с ранней авиацией. Оно как бы и суть одно, да немножечко не совсем. У каждого есть свои преимущества и потенциалы, поэтому не могу сказать что всё это одно и то же. У всех немножечко своего есть, видения, понимания места, может и монополии. По разному. Это как ранняя авиация.
Вам нужно последовательно въехать в это. Ну в этом реально более 75% открытой информации вам хватит, просто нужна последовательность ее получения. Что значит эта поговорка про большинство открытой информации? Как вы думаете? Я вам скажу, видя 75%, вам на х#й не нужны будут те если не 25%, то 20% уж точно. А там уже, или вы таки шпион, или просто авиатор идущий на первый кругосветный перелёт (сравнение для знатоков истории).
ОК. Как мне показалось, я понял. Подготовлю. Тут надо подумать, как вам проще и лаконичней это дать.
Вы знаете, была статья и очень не хорошая на эту тему. Крайне обидно, что писал ее специалист, который знает вопрос получше чем мы вместе взятые. Он именно напустил мраков, глобальная слежка, тоталитаризм. И парировать некому. Я бы обиделся и подготовил контрудар. А и некому, съели, как и не было ничего. Тоталитаризм и слежка и абсурд они имеют место. Просто грустно когда технический специалист, реально знаток, настоящий исследователь об этом пишет, и годами знаток многих решений мировых. Поэтому... Какой пример может быть лучше? Когда и такое возможно. Я был очень удивлен. Сколько же заплатили за такую джинсу? Просто интересно, ты годами крутился, че-то прикидывал, тебя считали умным, а ты взял и в мировой прессе обосрался на весь мир....
По ссылке переходил?
Хорошо бы такие вещи выкладывать в открытом виде для общего блага.
Откуда такие выводы?
- Автор темы
- Добавить закладку
- #27
Поднимаешь впн тунель - все работает. Смотришь через него ютуб, фейсбук и прочую запрещенку - все ок. Запускаешь тор (завернутый внутрь этого впна, естественно) - со стороны впн сервака прилетает фейковый RST пакет, которого в логах сервера - нету. Отсюда вывод, что RST генерит ТСПУшная коробка.
Последнее редактирование:
Ну подожди, может, выводы преждевременные. Какой VPN? Shadowsocks, как писал в первом посте? Это, насколько знаю, обфускатор (маскиратор) трафика, не VPN. А если VPN, он шифрует DNS? Если нет, то может ТСПУ агрится на тот факт, что нет запросов DNS, если у тебя TOR внутри VPN, типа, полностью шифрованный туннель, а если есть запросы, то не агрится. Как вариант.
- Автор темы
- Добавить закладку
- #29
OpenVPN либо Wireguard, внутри обфускатора shadowsocks .
Конечно, dnssec внутри VPNа.
Меня в этом всём интересует только одно -- как может ТСПУ знать, что находится внутри туннеля? Никак. Поэтому я бы включил на серваке tcpdump, и посмотрел бы чем пакеты с условным "ютубом, фб и прочей запрещенкой" отличаются от пакетов "когда я включаю тор". Diff и будет причиной.
- Автор темы
- Добавить закладку
- #31
Это очевидный момент и он уже был проверен. Отличается только размер, частота генерации пакетов, интервал между rx/tx пакетами. Больше ничем.
Еще разница - VPN+ ТОR падал когда существовал параллельный dnssec туннель до 8.8.8.8 . Стоило его поменять на 1.1.1.1 - наличие тора перестало обнаруживаться. Связь между этими событиями пока не готов адекватно воспринимать, какая-то мистика.
К счастью похоже что РКН успокоился чуток, стало стабильно работать как и раньше. Поэтому эксперимент придется продолжать при следующих "учениях".
А не нужно знать что в туннеле. Достаточно просто
Пару лет назад я косвенно сталкивался как раз с теми кто занимался DPI шифрованного трафика, там как раз было детектирование типа трафика внутри туннелей и точность была около 80%-90%.
Вот интересный материал для размышления:
Encrypted Internet traffic classification using a supervised Spiking Neural Network
Вот еще:
Efficient Traffic Classification of Encrypted and Compressed Packets
Можно погуглить Encrypted Traffic Classification или посмотрите статьи на которые ссылаются вышеприведенные научные труды.
Может быть собирают метрики для обучения нейронок или уже тестируют. Я думаю, что китайцы уже давно обучили нейронки на типовые связки Tor-Shadowsocks, Tor-VPN и точечно применяют в различных районах страны или городов. Наши разработки, судя по всему, уже тоже на подходе.
С определенного момента наука действительно может превратиться в мистику и магию.
Насчет того как работает ТСПУ фиг его знает.
Может быть это разновидность active-probing атаки от DPI https://ensa.fi/active-probing/. Shadowsocks от этого не защищен.
Если именно такой конфиг присущ туннелю по которому бегает тор -- это вполне может служить сигнатурой для блокировки. Однако, второй пункт меня больше интересует теперь.
А DNSSEC какой был? Plain, DoH или DoT? Если plain, то там все queries видно. Если DoH/DoT, то все равно видно куда коннект идет. Если там учения начнутся -- дай знать, очень интересно разобраться.
возможно 8.8.8.8 хостится у твоего провайдера, а 1.1.1.1 в другой стране, сравни трассировку до этих IP
Так я ровно это и сказал, что поскольку внутрь лезть не могут -- должны по внешним признакам понимать что внутри. Я потому и сказал, чтобы сравнили пакеты. Я уверен, что если к тому же WG прикрутить обфускацию, то картинка будет совершенно иной и должно пропускать. Другой вопрос, что если нейронка натренирована аля "белый список", тут уже сложнее будет)
Простите, совершенно не владею темой. Два вопроса.
1. Что есть WG?
2. Что значит прикрутить обфускацию?
Прошу извинить за столь пользовательские вопросы.
Не на тему ТСПУ, но всё о том же
Скрытый контент для пользователей: .
Последнее редактирование:
WireGuard
GitHub - infinet/xt_wgobfs: Iptables WireGuard obfuscation extension
Iptables WireGuard obfuscation extension. Contribute to infinet/xt_wgobfs development by creating an account on GitHub.
github.com
Openwrt? Ну там такая-себе обфускация, как chacha6 к chacha20 или salsa20. На первые байтики. Честно говоря, не в курсе, наверное это популярно среди администраторов всяких сетевых устройств с хитростями. А я думаю что за WG, wargaming что ли? ))) Шучу.
Ну OpenWRT это частность, а так везде работает.
Ну так а нафига муху танком давить? DPI обошли и прекрасно.
- Автор темы
- Добавить закладку
- #40