Хабр Курсы для всех
РЕКЛАМА
Практикум, Хекслет, SkyPro, авторские курсы — собрали всех и попросили скидки. Осталось выбрать!
Поток Информационная безопасность доступен 24/7 благодаря поддержке друзей Хабра
Комментарии 42
Интересно, а почему всех интересует только имитация паттернов обычного веб-серфинга при маскировке траффика? Там же действительно ленивый характер использования, профиль получается в виде эдакой ШИМ с низкой скважностью))) А если паттерн, к примеру, шифрованного потока с камеры\регистратора в облако от производителя?) Поток стабильнее и плотнее. Вроде как видеонаблюдение у многих поставщиков работает без проблем. Даже не через региональные облака.
Смотрите интересным вектором будет не имитировать видеонаблюдение, а в теории туннелировать траффик через настоящий клиент берём к примеру Reolink или Hikvision клиент, поднимаешь «камеру» которая стримит на твой сервер, внутри стрима несёшь данные и сеть видит настоящий Hikvision-трафик к настоящему IP Hikvision потому что первый хоп действительно туда идёт.
но я сейчас задумался надо тем что, мы не будем контролировать конечную точку ибо p2p будет подключаться к dev.hik-connect.com:8555, через их relay-сервер строится туннель до клиентского приложения. И так же сам протокол Hikvision SADP недостаточно задокументирован.
и учитывая это, уж будто проще траффик спрятать под WebRTC видеозвонок.
Проконсультируйтесь с Роскомнадзором перед применением
Напомнило старый анекдот про "Министерство обороны СССР предупреждает: курение опасно для вашего здоровья" =))))
Любопытно, как на текущий момент работает механизм детекции в ситуации, когда сначала идёт нормальный трафик, а следом за ним (скажем, через полминуты, на тот же IP и порт) - "ненормальный".
Есть ли данные?
Это мне так повезло или ТСПУ у всех работает только на исходящие соединения? Просто уже как год у меня настроена амнезия на каком-то дешевом американском vps, и которая первая соединяется с моим белым статическим ip на роутере. Все летает без ограничений. Ради интереса попробовал сделать просто curl файла напрямую с этого же vps и после 16 кб скачка замерла. А если сделать curl с этого зарубежного vps до моего роутера, то все прекрасно скачивает. Т.е. RU -> USA рубится, а USA -> RU нет. Если что провод билайн мск.
Есть такое. У меня вообще обычный reverse wireguard отлично работает.
У меня у самого внутри страны у знакомых самый простой wireguard, чувствует себя отлично.
Что такое "reverse wireguard"? Как вы вообще себе это представляете в p2p протоколе?
Это когда первый пакет не от тебя, а к тебе, DPI на тспу реагирует по разному
И как это выглядит в конфиге? Если не учитывать маршрутизацию, то конфиги клиента и сервера различаются только IP адресом.
Конфиг зарубежного VPS
[Interface]
PrivateKey = ZAGRAN_VPS_PRIVKEY
#_PublicKey = ZAGRAN_VPS_PUBKEY
Address = 10.10.10.1/24
ListenPort = 11111
PostUp = iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
PostDown = iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE
[Peer]
PublicKey = RU_VPS_PUBKEY
AllowedIPs = 10.10.10.2/32
Endpoint = ru-vps-ip:22222
PersistentKeepalive = 35Конфиг российского VPS или домашнего роутера/сервера с белым IP
[Interface]
PrivateKey = RU_VPS_PRIVKEY
#PublicKey = RU_VPS_PUBKEY
Address = 10.10.10.2/32
ListenPort = 22222
[Peer]
PublicKey = ZAGRAN_VPS_PUBKEY
AllowedIPs = 0.0.0.0/0Примерно так выглядит - на зарубежном VPS эндпоинтом стоит российский ip. И когда udp пакеты от зарубежного WG впервые прилетают на ру-ip, видать создается псевдосессия с запоминанием пары ip:port, но при этом т.к. соединение не инициировано ру-стороной, его даже не проверяют и сессия живет спокойно себе. И мне кажется, PersistentKeepalive надо обязательно указывать и поменьше ставить, чтобы udp псевдосессия не забывалась в черной коробочке, но это лишь мои догадки.
такая схема популярна в иране.
vps в дата центре местном <--- US vps
Вы не понимаете, это защита от угроз
Снова вы со своим сгенерированным текстом. В прошлой статье вас уже поймали за руку, почему здесь в тегах нигде не указано, что это нейростатья?
По наблюдениям сообщества ntc.party
Вы если ссылаетесь на какой-то источник, то будьте добры прилагать ссылку на конкретный топик / сообщение в нём. А так это просто пустой пруф без пруфа.
Кроме того, вы обещали делать русифицированные нейрокартинки, но слово своё не сдержали.
@moderatorможно закрепить за постами данного автора тег "нейросеть"? Здесь уже был подробный разбор почему это так.
Абсолютно согласен. Уже сам писал в поддержку по этому поводу но без ответа.
Вы из «секты» свидетелей пришествие нейросетей – не осуждаю вас, флаг в руки.
Русификация картинок? Да говорил, но к вашему сожалению существует такая вещь как отложенные посты, когда материал «выходит по таймеру» (условно 16 марта 2026 года)
Статьи пишу там как и накидываю темы и материал. Структуризация не запрещена, у меня нет желания читать комментарии «что за несвязный бред»
Вы всегда можете отключить мои посты/статьи ,достаточно лишь «кликнуть» скрыть данного автора.
Пока что не понимаю, почему если вы настолько прошарены и я везде «пустослов», у вас нет никаких статей – ну покажите же мне пример.
https://ntc.party/t/обсуждение-блокировка-vpn-протоколов-на-тспу-05082023-xxxxxxxx/5239/368?page=19
Вы из «секты» свидетелей пришествие нейросетей
Пишите так, будто я не прав.
Да говорил, но к вашему сожалению существует такая вещь как отложенные посты, когда материал «выходит по таймеру»
Вы ловко редактировали прошлую статью. Отредактировать картинки возможности у вас конечно же нет?
Вы всегда можете отключить мои посты/статьи ,достаточно лишь «кликнуть» скрыть данного автора.
Я не должен отключать подобный нейрослоп точечно, для этого есть соответствующие теги, которые я от вас и требую. Это вопрос банального уважения к читателям хабра.
Пока что не понимаю, почему если вы настолько прошарены и я везде «пустослов», у вас нет никаких статей – ну покажите же мне пример.
В отличии от вас, я не занимаюсь тем, в чём не разбираюсь. Вам уже раскладывали технические косяки более компетентные люди. А для того, чтобы распознать нейросеть, мне нет необходимости выкладывать собственные статьи. Могу приложить пример качественных статей без нейслопа, если у вас поиск не работает.
Пишите так, будто я не прав.
Это не отменяет факта что у вас ведётся охота, что вы приходите под каждой статьей что то доказывать.
Вы ловко редактировали прошлую статью. Отредактировать картинки возможности у вас конечно же нет?
Мне писали о конкретных ошибках, я их исправлял.
Я не должен отключать подобный нейрослоп точечно, для этого есть соответствующие теги, которые я от вас и требую. Это вопрос банального уважения к читателям хабра.
Я вам уже все расписал и удивляюсь настойчивости. Пользователей я уважаю.
Вы тут не обсуждать технические моменты статьи а , а за реакцией и мои вниманием, бумбурума я уже тегнул.
Отредактировать картинки возможности у вас конечно же нет?
Я писал «Будущие статьи будут с русифицированными схемами.» и это не означает что я буду в «попыхах» заниматься тем что менять во всех статьях картинки, лишь бы угодить вам.
https://habr.com/ru/articles/1009628/ – сюда тоже зайдите и напишите что нейрослоп. твщ тролль
Добавлю:
Почему вы не ответили на:
Статьи пишу сам как и накидываю темы и материал. Структуризация не запрещена, у меня нет желания читать комментарии «что за несвязный бред»
Это не отменяет факта что у вас ведётся охота, что вы приходите под каждой статьей что то доказывать.
Очередное враньё, которое легко опровергается, если посмотреть комментарии в моём профиле.
У меня отсортированы посты по лучшим за сутки. 2+2 надеюсь сложите, и поймёте почему я наткнулся на вас дважды.
бумбурума я уже тегнул.
И на что вы этим рассчитываете?
Ответьте, пожалуйста — не надо это игнорировать уже второй раз.
Статьи пишу сам как и накидываю темы и материал. Структуризация не запрещена, у меня нет желания читать комментарии «что за несвязный бред»
Вы упускаете то что вам выгодно, в целом это и было с первых секунд понятно.
Тегнул его я чтобы он увидел, вы тэгнули мёртвый аккаунт.
Хоть с математикой у вас лучше, рад.
Всё еще не понятно почему мы не обсуждаем саму тему статьи. Пишите буруму, я во всяком против толпы «ии детекторов»далеко не пройду.
Поддерживаю.
Аналогично, в который раз уже вижу хайповый кликбейтный заголовок, начинаю читать, кровь из глаз от откровенного бессмысленного нейромусора. А потом вижу ник автора, киберскопер, он постоянно льет это сюда. Для меня Хабр - это святое, а постить сюда такой хлам - неуважение к его постоянным читателям. Искренне не понимаю, кто плюсует это и способствует подъему статьи вверх
Очередной нейрослоп на хайповой теме с откровенными домыслами и пережёвыванием не связанной с реальной работой ТСПУ информацией. Не надоело ещё?
И ведь каждый раз такие мусорные статьи откуда-то получают положительный рейтинг
Очередная бредовая статья от LLM с тем же автором. Каким образом reality решает проблему соответствия домена и ASN прокси? Как вообще такое доходит до топа, куда модераторы смотрят?
Каким образом reality решает проблему соответствия домена и ASN прокси?
Немного уточню: Reality закрывает именно активное зондирование. Зондировщик без shortId получает настоящий ответ от донора, он видит условных Microsoft или Apple с их же ASN,никакого несоответствия нет. Но если кто-то уже знает IP твоего VPS и пассивно наблюдает трафик и несоответствие между IP Hetzner и SNI эпла никуда не девается. Это реальное ограничение, да не расписал в статье – мой косяк.
и хватит уже «детектировать» генеративный интеллект там где его нет.
@Boomburum
Цитата из "вашей" статьи:
ASN сервера против ожидаемого ASN домена. Apple держит серверы в AS714. Microsoft в AS8075. Сертификат говорит «я Microsoft», а пакеты приходят из AS24940 (Hetzner) — детектируемое несоответствие. Reality закрывает эту проблему полностью: TLS-сессия завершается на настоящем сервере Apple или Microsoft, сертификат настоящий, ASN совпадает.
ASN сервера из-за Reality никак не меняется. Остается ASN Hetzner, а сертификат Apple, как в первой части абзаца. Сами себе противоречите.
Хватит уже прямо врать. Половина статьи выдумка. Никаких ML на тспу нет и не ожидается.
Хабр торт!
Напомнило статьи про детект гипервизоров, там тоже по аномалиям тайминга условно можно детектировать, исполняется ли твоя малварь под визором или нет.
Очередной «нейро-франкенштейн» из ntc.party, GitHub-репозиториев и, вепроятно, каких-то других источников. Только LLM могут так ловко связывать термины (JA3, TLS и т.п.) при полном отсутствии понимания как механизмов их работы, так и фундаментальных законов физики сетей. Даже искусственно имплантированые просторечия вроде «танцы с бубном» или «ты нажимаешь Enter» не скроют того факта, что живой человек не мог бы допустить те детские ошибки, которые есть в этой порятнке.
У когонить есть реальный опыт регистрации впн в компании? Не хотелось бы, чтобы в компании внезапно пропал интернет в случае включения белых списков. Тем более на несколько дней, как делают уже сейчас.
Непонятен в статье один момент... А зачем глушить SSH ?
Работает за микросекунды, стоит почти ничего, убивает OpenVPN, чистый WireGuard, SSH-туннели и старые Shadowsocks.
Из текста совершенно не понятно причем тут ssh туннели. Поднят туннель задолго до этого самого запроса, признак протокола у них совершенно нормальный.
А почему именно 83 байта? Интересна история развития, как появилось, где впервые применилось, по любому много исследовательских статей в научном сообществе по анализу трафика. У меня ВПС внутри РФ. Через него нет никаких блокировок и замедлений. Но вот если пытаюсь зайти на чатгпт или сайт сименса, то меня блочат уже оттуда, так как ip российский.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Анатомия DPI анализа: что происходит с твоим пакетом за первые 16 КБ