SerpentFly Apr 16 at 12:03

Поддержка AmneziaWG в Wiresock Secure Connect: маскировка WireGuard-трафика или избыточность?

Medium

5 min

7.6K

Network technologies*Information Security*

+15

Comments 14

Maxim_Q Apr 16 at 16:39

Я верно понимаю что можно на VPS использовать стандартный WireGuard что идет в репозитории Debian или Ubuntu, а в клиенте включить только добавление junk-пакетов и все будет работать?

SerpentFly Apr 16 at 17:01

Судя по личным наблюдениям и отчетам пользователей, в подавляющем большинстве случаев этого пока оказывается достаточно.

uneasy Apr 17 at 15:24

А под Линукс есть такие клиенты?

SerpentFly Apr 17 at 15:57

Думаю под Линуксом можно использовать PreUp-скрипт в конфигурации wg-quick

1. Скрипт send-noise.sh

Создайте файл /usr/local/bin/send-noise.sh со следующим содержимым:

#!/bin/bash

# Адрес и порт WireGuard-сервера
ENDPOINT_IP="1.2.3.4"
ENDPOINT_PORT="51820"

# Отправить 5 случайных пакетов по UDP
for i in {1..5}; do
    head -c 100 /dev/urandom | nc -u -w1 "$ENDPOINT_IP" "$ENDPOINT_PORT"
    sleep 0.2
done

exit 0

Сделайте скрипт исполняемым:

chmod +x /usr/local/bin/send-noise.sh

2. Настройка wg0.conf

Откройте /etc/wireguard/wg0.conf и добавьте строчку PreUp:

[Interface]
PrivateKey = ...
Address = ...
PreUp = /usr/local/bin/send-noise.sh

[Peer]
PublicKey = ...
Endpoint = 1.2.3.4:51820
AllowedIPs = 0.0.0.0/0
PersistentKeepalive = 25

Важно: ENDPOINT_IP и ENDPOINT_PORT в скрипте должны соответствовать Endpoint из [Peer].

3. Подключение

sudo wg-quick up wg0

Перед началом хендшейка WireGuard отправит 5 псевдослучайных UDP-пакетов на сервер, что может помочь обойти фильтрацию или имитировать предварительный трафик.

Не тестировал, но выглядит правдоподобно.

uneasy Apr 17 at 16:51

Круто, попробую!

Кстати, в xray есть встроенный клиент wireguard, а также нечто под названием "udp noise", что вроде бы тоже оно, но заставить работать не получилось.

wastedovi4 Apr 17 at 00:18

Ну а теперь послушаем автора что же спасет от white-list

SerpentFly Apr 17 at 07:37

Лыжи под мышку — и в сторону заката ☺️

user0k Apr 17 at 06:33

Были у меня сервера в кремниевой долине. Недавно потерял к ним доступ из рф. Ркн тупо залочил все порты и протоколы кроме icmp.

Через промежуточные европейские сервера коннектится к ним.

Так что WG Amnezia с мусором не факт что будет работать. Сейчас ркн будет резать хитрее - что они не знают, то блокируют.

SerpentFly Apr 17 at 07:45

Сочувствую. Конечно, при наличии неограниченных ресурсов со стороны DPI можно реализовать практически любой уровень контроля над трафиком — вплоть до полноценного DLP на уровне всей страны. Всё упирается исключительно в объём доступных технических и человеческих ресурсов.

RomikB Apr 17 at 14:47

Хочу указать ссылку на оригинал данного скрипта установки https://github.com/RomikB/amneziawg-install. Печально когда форкают не сохраняя никаких ссылок на оригинал.

kuraga333 Apr 23 at 19:24

Не очень понял, а в чём состоит подход с прокси?

SerpentFly Apr 23 at 19:40

Идея заключается в том, чтобы применять обфускацию поверх уже зашифрованных пакетов, а не внедрять её напрямую в реализацию протокола. В таком подходе обфускатор можно было бы вынести в отдельный компонент — например, в UDP-прокси. В случае с Amnezia это, к сожалению, невозможно.

kuraga333 Apr 23 at 19:46

Т.е. "Client --wireguard--> Proxy --obfuscuted--> Server --> Internet"? Где Proxy — в подцензурной сети, Server — вне, а идея схемы — чтобы клиенту не нужен был особый клиент?

SerpentFly Apr 23 at 19:58

Да, смысл именно в этом. Если бы реализация обфускации была внешней по отношению к протоколу Wireguard все было бы несколько проще. В частности, мне не пришлось бы впиливать дополнительные параметры непосредственно в BoringTun. Если в подходе Amnezia и есть смысл, то только маркетинговый.