Ethen Tso
Security Defender & Developer。Free and open。ethen@anotherdream.tw
穿牆打洞鼠來寶
網路穿牆術概論
今天談穿牆
什麼情況下你會遇到牆
宿網鎖流量
學網鎖P2P
公司不准上PTT
黨不給的,你不准要
有門就有通過的方法
鎖設計來就是要開的
身為一個網管,提到鎖網站,第一個想到的是什麼?
URL -> DNS -> IP -> request -> response
(・ω´・ )
防火牆、
擋IP、
擋DNS、
黑名單、
內容過濾...
網站流量分析/阻擋
但如果你看不見內容呢?
如果A網站的內容藏在B?
如果剛好你沒注意那條路?
VPN
PPTP
L2PT
IPSec
OpenVPN
SSLVPN
(`д´)
VPN的port通通鎖起來?!
改port啊
沒關係我家防火牆比較厲害
可以偵測VPN協議 (`L_` )
哪些允許的服務可以跳出去?
Remote Desktop / Teamviewer / VNC
SSH Tunnel with socks proxy
(゚皿゚メ)
Port全擋,TCP只開80/443
把Server port改成443
SSLVPN
(╬゚д゚)▄︻┻┳═一
在80/443上做通透式Proxy
濾掉所有非HTTP/HTTPS流量
WebProxy
◢▆▅▄▃崩╰(〒皿〒)╯潰▃▄▅▇◣
定時檢視監控所有使用者瀏覽的網頁內容
還有哪些路網管不太看得到?
閃開讓專業的來( ´Д`)y▂ξ
流量分析
打肉雞分散流量
尋找其他沒被關注的協議
把SOC打下來
全世界最大內網上線啦
The Great Firewall
GFW
為言論審查而生
封鎖特定主機/網域
封鎖特定關鍵字
網路實名 => 即時查水錶
芝麻信用 / 入網許可 => 自我審查
全世界最大的分散式防火牆
全世界最大的分散式流量監控
全世界最大的分散式內容過濾
全世界雇用最多駭客的網軍
世界之最
DNS污染
路由協議污染
TCP Reset
協議/憑證探測
深度封包檢測DPI
PPTP即時解密
Great Cannon
GFW基本武器
科學上網演進史
科學上網基本對策
- 加密
- 偽裝
- 代理
GFW這麼幹
- 如果網域/IP在黑白名單內,就照表處理
- 如果這個協議看得懂,就過濾
- 如果這個協議有加密且可破解,丟去拆解逆向
- 如果這個協議有加密且無法破解,Drop
- 如果看不出這個協議是什麼,交給協議探測器去探測伺服端,如果確定是加密,則阻斷
- 如果還是看不出,則進入流量分析階段
- 如果流量穩定且目標國外,開始隨機丟包
- 如果流量且超過門檻值,阻斷目標IP
- 隨機派人抽查處理
世界言論審查狀態瞭望
OONI 一鍵自首
攻與防的競爭不會停止
唯一可以確定的是
越多人使用的越容易被盯上
我認為的未來?
攻性防壁
其他
Q&A
穿牆打洞鼠來寶
By Ethen Tso
穿牆打洞鼠來寶
網路穿牆術概論,門就是用來過的,鎖就是用來開的,來試試看吧
