Способы сокрытия IP-адреса в сети Internet

    Прежде чем мы подробно рассмотрим известные технологии сокрытия своего настоящего IP-адреса, нам следует узнать свой IP-адрес и выяснить некоторые вещи, обличающие наш компьютер в сети, например адрес DNS-сервера. Для этого достаточно зайти на любой сервис проверки анонимности, например www.whoer.net, главное чтобы он обладал интерактивной проверкой вашего компьютера с помощью Java, ActiveX, Flash и Javascipt. Изменить свой IP-адрес, например с помощью Socks или VPN, недостаточно, т.к. существует множество технологий, позволяющих его выявить, которые нужно либо отключить на своем компьютере, либо обмануть. Также не лишним будет изменить передаваемые НТТР-заголовки, это позволит «сбить» определение установленного ПО и географическое место расположения компьютера. Более детально проверить свой компьютер можно в расширенной версии www.whoer.net/ext.


    VPN (Virtual Private Network, виртуальная частная сеть)


    Внешне VPN-соединение мало чем отличается от подключения к обычной локальной сети: приложения вообще не почувствуют разницы и поэтому без какой-либо настройки будут использовать его для доступа в интернет. Когда одно из них захочет обратиться к удаленному ресурсу, на компьютере будет создан специальный GRE-пакет (Generic Routing Encapsulation, общая инкапсуляция маршрутов), который в зашифрованном виде будет отправлен VPN-серверу. VPN-сервер, в свою очередь, этот пакет расшифрует, разберется, в чем его суть (запрос на закачку какой-либо HTTP-страницы, просто передача данных и т.д.), и выполнит от своего лица (то есть засветит свой IP) соответствующее действие. Далее, получив ответ от удаленного ресурса, VPN-сервер поместит его в GRE-пакет, зашифрует и в таком виде отправит обратно клиенту.

    Непрерывное шифрование передаваемых данных — это ключевой момент в обеспечении безопасности. PPTP-траффик может быть зашифрован с помощью MPPE (Microsoft Point-to-Point Encryption, поддерживает 40-, 56- и 128-битные ключи). Это майкрософтовский протокол. Ранние версии были чудовищно дырявы и элементарно взламывались, в новых грубые ошибки исправлены, но потуги майкрософта сделать что-то в области криптографии ничего кроме смеха не вызывают. Новые версии их протоколов просто особо не анализируют на предмет дыр.

    OpenVPN — cвободная реализация технологии VPN, организуется на основе общепринятого в Интернете стека протоколов TCP/IP. Это гарантирует работу соединения даже с теми провайдерами, которые не поддерживают PPTP (чаще всего это операторы сотовой связи, которые режут все GRE-пакеты, проходящие через GPRS и EDGE). Также OpenVPN работает даже когда у вас нет реального ip-адреса, в отличие от PPTP, требующего одновременного установления двух сетевых сессий.

    У OpenVPN есть целый ряд преимуществ перед технологией VPN:
    1. Адаптивное сжатие данных в соединении с применением алгоритма компрессии LZO. Cкорость передачи данных через OpenVPN выше чем у PPTP;
    2. Поддерживает гибкие методы авторизации подлинности клиента, основанные на сертификатах;
    3. Использование одного TCP/UDP-порта без привязки к конкретному порту ( в нашем случае UDP);
    4. Шифрование 2048 бит, обеспечивает беспрецедентную безопасность, реализовано через постоянный ключ.


    Серверы для анонимных VPN обычно устанавливают в странах, где наиболее лояльно относятся ко взлому, спаму и т.д. (Китай, Корея и прочие). В большинстве случаев имеет место договоренность с администрацией, которая за определенную плату обязуется игнорировать жалобы в abuse-службу и не вести логи. На основе своего опыта работы могу порекомендовать полностью автоматический OpenVPN сервис www.vpnlab.ru c большим выбором серверов.

    Proxy, SOCKS


    Прокси-сервер (от англ. proxy — «представитель, уполномоченный») — служба в компьютерных сетях, позволяющая клиентам выполнять косвенные запросы к другим сетевым службам.

    Сначала клиент подключается к прокси-серверу и запрашивает какой-либо ресурс (например, файл), расположенный на другом сервере. Затем прокси-сервер подключается к указанному серверу, получает ресурс у него и передает клиенту.

    То, к каким серверам и по каким протоколам мы может обращаться через прокси, зависит от типа этого прокси, т. е. протокола, по которому мы обращаемся к нему. Типов прокси существует несколько: HTTP-прокси, SOCKS4, SOCKS5 и некотрые другие.

    HTTP-прокси наиболее распространены, их легче всего найти в интернете, но работают они только с HTTP (есть и https-прокси), к тому же могут вставлять в заголовки запроса адрес клиента, то есть быть не анонимными.

    Протокол SOCKS наиболее примечателен тем, что он инкапсулирует протоколы не прикладного, а транспортного уровня, т.е. TCP/IP и UDP/IP. Поскольку только по этим протоколам возможна работа в Сети, через SOCKS можно работать с любыми серверами, в том числе и такими же SOCKS и, таким образом, организовывать цепочки SOCKS-серверов. По этой же причине все SOCKS-сервера анонимны — невозможно на уровне TCP/IP и UDP/IP передать дополнительную информацию, не нарушив работу вышестоящего протокола.

    Еще можно выделить анонимайзеры — выглядят как обычный поисковик, только вместо слов/фраз в них нужно вводить URL того сайта, который ты хотел бы посмотреть. Анонимайзеры представляют собой скрипты, написанные, например, на perl, php, cgi-скрипты.

    Пара полезных программ по работе с http-прокси и соксами:

    SocksChain — программа, позволяющая работать через цепочку SOCKS или HTTP-прокси (нужно помнить, что любой прокси-сервер, а тем более бесплатный, ведет лог. И человек, который располагает соответствующими правами, всегда сможет вычислить, куда вы заходили и что вы делали, даже если вы будете использовать цепочки из 10 анонимных прокси-серверов в разных концах планеты).

    FreeCap — программа для прозрачной переадресации подключений через SOCKS-сервер программ, которые не имеют родной поддержки SOCKS-прокси.

    TOR


    Tor (The Onion Router) — свободная (BSD) реализация второго поколения onion router (так называемая «луковая (многослойная) маршрутизация»). Система, позволяющая пользователям соединяться анонимно, обеспечивая передачу пользовательских данных в зашифрованном виде. Рассматривается как анонимная сеть, предоставляющая анонимный web-сёрфинг и безопасную передачу данных. С помощью Tor пользователи смогут сохранять анонимность при посещении web-сайтов, публикации материалов, отправке сообщений и работе с другими приложениями, использующими протокол TCP. Безопасность трафика обеспечивается за счёт использования распределённой сети серверов, называемых «многослойными маршрутизаторами» (onion routers).

    Пользователи сети Tor запускают onion-proxy на своей машине, данное программное обеспечение подключается к серверам Tor, периодически образуя виртуальную цепочку сквозь сеть Tor, которая использует криптографию многоуровневым способом (аналогия с луком — англ. onion).

    Каждый пакет, попадающий в систему, проходит через три различных сервера (нода), которые выбираются случайным образом. Перед отправлением пакет последовательно шифруется тремя ключами: сначала для третьей ноды, потом для второй, и, в конце концов, для первой.

    Когда первая нода получает пакет, она расшифровывает «верхний» слой шифра (аналогия с тем, как чистят луковицу) и узнает, куда отправить пакет дальше. Второй и третий сервер поступают аналогичным образом. В то же время, программное обеспечение onion-proxy предоставляет SOCKS-интерфейс. Программы, работающие по SOCKS-интерфейсу, могут быть настроены на работу через сеть Tor, который, мультиплексируя трафик, направляет его через виртуальную цепочку Tor, что в конечном итоге позволяет обеспечивать анонимный сёрфинг в сети.

    Cуществуют специальные надстройки Tor для веб-браузеров Opera, Firefox.

    SSH-туннелинг


    SSH (Secure Shell) — сетевой протокол, позволяющий производить удалённое управление компьютером и передачу файлов. Использует алгоритмы шифрования передаваемой информации.

    SSH-туннелинг можно рассмотреть в качестве дешевой замены VPN. Принцип данной реализации следующий: весь сетевой софт на компьютере форвардится на назначенный порт (вашего локалхоста), на котором висит сервис, соединенный по SSH с сервером (а как мы знаем, соединение по SSH протоколу шифруется) и туннелирующий все запросы; далее весь ваш трафик (уже не в зашифрованном виде) может форвардится с сервера на прокси (поддерживающий туннерирование) или сокс, которые передают весь трафик к необходимым адресам. Наличие прокси или сокса не обязательно.

    Какие плюсы данной системы:
    1. Для организации данной схемы не нужно устанавливать серверный софт (т.к. SSH-аккаунт и сокс можно без проблем достать в интернете);
    2. Т.к. при SSH-соединении трафик шифруется и сжимается, то мы получаем небольшой прирост скорости работы в инете (это верно, когда сокс-демон находится на том же сервере);
    3. В случае, когда сокс-сервер находится на другом хосте, то мы получаем дополнительную цепочку серверов, которые повышают нам безопасность и анонимность.


    JAP


    В одном из немецких институтов был разработан довольно хитрый способ сохранения анонимности. В систему пользователя устанавливается специальная прокси-программа JAP, которая принимает все запросы пользователя на подключения, криптует (AES с 128-bit длиной ключа) и в безопасном режиме отправляет на специальный промежуточный сервер (так называемый микс). Дело в том, что микс одновременно использует огромное количество пользователей, причем система построена так, чтобы каждый из них был неразличим для сервера. А поскольку все клиенты одинаковые, то и вычислить конкретно одного пользователя не представляется возможным.

    Миксы обычно устанавливаются на добровольных началах, в основном в университетах, которые официально подтверждают, что не ведут никаких логов. К тому же обычно используются цепочки миксов, как правило 3 микса.

    P2P анонимайзеры


    Рассмотрим на примере сети Peek-A-Boot:

    Peek-A-Booty — это распределенная пиринговая сеть из компьютеров, принадлежащих добровольцам из различных стран. Сеть создана для того, чтобы пользователи могли обходить наложенные локальной цензурой ограничения и получать доступ к запрещенным в том или ином государстве ресурсы интернета.

    Каждый узел сети маскируется, так что пользователь может направлять запросы и получать информацию с определенных IP-адресов в обход цензурных барьеров.

    Пользователь, подсоединяется к специальной сети, где работает Peek-A-Booty. Несколько случайно выбранных компьютеров получают доступ к веб-сайту, и пересылают данные тому, кто послал запрос.

    Весь трафик в этой сети шифруется по принятому в электронной коммерции стандарту SSL, так что все выглядит как невинная транзакция.

    Вывод


    Из всех рассмотренных нами методов только TOR и P2P является полностью бесплатными, при этом обладают высокой надежностью, но, к сожалению, не удобны в поседневном использовании и настройке.

    С точки зрения высокого уровня безопасности и простоты в настойке лидирует OpenVPN, но цены на него начинаются от 15$ в месяц. Широкое распостранение сейчас получает технология DoubleVPN в которой пакеты проходят через два VPN сервера. Это пожалуй, самое быстрое и удобное решение вопроса гарантированной анонимности, но цена…

    Промежуточным решением можеть стать так называемый аналог VPN — SSH-туннелинг, для которого достаточно наличия лишь shell-доступа, что весьма дешево, а само соединение настраивается, например, через Putty. К сожалению, настройка не проста и трудоемка, удобство использования тоже хромает, так что это по прежнему вариант для «гиков».
    Поделиться публикацией

    Комментарии 135

      0
      TOR не обладает высокой надежностью
        0
        Почему же?
          +3
          потому что на последнем звене нет никакой защиты от прослушки трафика

          вы пропускаете через меня трафик, а я его снифаю :)
            +2
            Так вообще-то ни одно из решений, кроме end-to-end шифрования, такой защиты не имеет. Более того, это в tor faq обсуждается.

            Зато в tor есть скрытые сервера — вот это действительно клёвая штука!
              0
              Да. Но разница в том, что тут каждый может стать exit-нодой и без доплнительной настройки с вашей стороны, трафик может пойти прямо через такой снифер.

                0
                В последнем ][акере материал про то, как легко любой желающий может стать выходной нодой Tor-сети и снифать проходящие через него данные. В том числе данные авторизации с gmail, paypal и прочих ресурсов, использующих https, — благодаря использованию тулзы sslstrip
                  +1
                  Да, крутая атака. Прокся, которая из ссылок выкусывает строчку https и вставляет http. Ой баюсь-баюсь-баюсь.
                  0
                  Если вы не доверяете какой-то exit-ноде, то вы можете не пускать свой трафик через неё. Если у вас нет механизма различия доверенной exit-ноды от недоверенной, с тем же успехом снифер можно поймать и на проксе.
                +2
                в любом способе нет защиты от прослушки если трафик между пользователем и сайтом не шифрованный. тор тут ни причем.
                  +1
                  Тор обладает очень высокой степенью надежности в сокрытии IP-адреса.
                  Для этого и проектировался. А то, что кто-то пытается с его помощью решать более другие задачи (типа шифрование трафика) это его проблемы порожденные его глупостью.
                  0
                  ru.wikipedia.org/wiki/Tor#.D0.A3.D0.B3.D1.80.D0.BE.D0.B7.D1.8B_.D0.B1.D0.B5.D0.B7.D0.BE.D0.BF.D0.B0.D1.81.D0.BD.D0.BE.D1.81.D1.82.D0.B8

                  тут есть немного по теме.

                  Лично я после прочтения статьи про работу Дена Эгерстада, вообще перестал верить в тор. :(
                    +1
                    Ну там по теме перечислены проблемы из FAQ Tor'а, про проблему прослушивания на exit-ноде (на proxy-сервере, или где-то там еще) надо помнить ВСЕГДА, когда идёт речь о незашифрованном соединении (пусть и пропущенном через шифрованный туннель).

                    А то можно дойти до маразма в духе «я вот не верю в стулья, после того, как случайно наступил себе на большой палец ножкой от стула, на котором сидел, качаясь».
                    • НЛО прилетело и опубликовало эту надпись здесь
                        0
                        Кроме чтения, еще бы думать не помешало.
                    +1
                    Расскажите о технологиях, которые способны узнать реальный IP за VPN, а то похоже на ненаучную фантастику
                      +2
                      Если в браузере включен ActiveX, Flash или JS, то такая возможность есть (естественно, если мы имеем в виду работу пользователя в браузере).

                      о том, как это делается, будет рассказано в следующих постах =)
                        0
                        в топике, кстати, указан сервис, на котором можно проверить это (в разделе Interactive Detection):
                        whoer.net/ext
                          0
                          Видимо, все таки JS-сом нельзя узнать реальный IP.
                            0
                            Мозг вскипел =)
                            хотел написать Java
                            +1
                            Очень даже интересно, в какой фазе должна быть луна, чтобы какой то сраный ActiveX \ Flash \ Java смогли узнать реальный адрес хоста, у которого все соединения идут через OpenVPN? Особенно если используется линукс. По ссылке whoer.net/ext мой реальный апи не определился. (OpenVPN, ubuntu, Opera)
                              0
                              1. Полнолуние.

                              2. ActiveX или Java могут сделать traceroute с твоего компьютера целью выяснить IP, фактически это полноценные программы. Проверка на whoer.net предпологает, что такие операции запрещены пользователем аплетам, что далеко не всегда так. Так же можно узнать DNS-сервера которые используются и которые у большиства соответствует DNS-серверам своего провайдера.

                              интересно, какой вариант лучше =)
                                +1
                                Реально работает только третий вариант, но он определит только подсеть и то с большой погрешностью.

                                Вариант java-апплета запускающий traceroute — что-то на грани фантастики, а про ActiveX в убунте смеялся, да.
                                  –1
                                  разве под вайном они не работают?
                                    +2
                                    Под вайном и в opera? Не верю!
                                      –2
                                      Ну ActiveX одними только браузерами не ограничиваются, это вполне себе самодостаточная и популярная (под)подсистема винды. Сомневаюсь, что разработчики вайна ее проигнорировали, ну а то, что кто-то пользуется продуктами разработчиков, которые ее проигнорировали (и то, не уверен, что-то было тут на хабре о поддержке Оперой этой технологии) не говорит о том, что это невозможно в принципе ;)
                                        +5
                                        Поддержку ActiveX в браузерах давно уже пора похоронить проигнорировать
                                  +3
                                  Java applet в browser'е никаких traceroute сделать не сможет, посколько ограничен соединением только с локальным хостом, на котором запущен броузер.
                                  DNS Leak так же лечится если использовать в качестве DNS сервера хост на котором терминируется VPN.
                                    +1
                                    1. Апплет может соединяться не с локальным хостом, а только с тем, с которого он был скачан.

                                    2. ДНС можно использовать любой, главное чтобы маршрут к нему шёл через туннель.

                                    PassiveX и впрямь пора забыть. А от автора жду статьи про методы защиты от атак типа «терморектальный криптоанализ».
                                      0
                                      1. Согласен, у меня переклинило originating host с local host. Возможность сделать traceroute это все равно не дает.
                                      2. Терминирующий сервер VPN будет самым ближним и скорее всего наиболее удобным для использования в качестве DNS-сервера.

                                    0
                                    Большинство сейчас ходят в сеть через ADSL, домашние Ethernet сети, либо через 2G-4G ОПСОСов.
                                    В таком случае на компе в настройках DNS сервера мы увидим его локальный IP т.к. через ADSL мы выходим посредством внешнего роутера со своим кэширующим DNS, а в домашних и мобильных сетях так вообще 90% провайдеров не дают реального IP.

                                    Так что прописанный в системе адрес DNS сервера атакующему мало что даст.
                                      0
                                      Нет, DNS Leak используют немного не так. Подробности смотрите в исходнике страницы по ссылкам в начале статьи. Обратите внимание на параметры flash_ajax_request( «dns_unique_domain»)
                                        0
                                        Ну, во всяком случае у меня, тест показал локальный адрес DNS роутера, за которым я сижу.
                                          0
                                          Который DNS -> Java -> System? Этот берет напрямую от системы. Интереснее те, которые пытаются отрезолвить уникальное имя: DNS -> Browser и DNS -> Java -> Resolve.
                                            0
                                            DNS -> Browser и DNS -> Java -> Resolve немного более информативны но всё-таки они показывают DNS провайдера через которого я выхожу а у него несколько сетей класса С на обслуживании, так что это мало что даст. Между мной и DNS провайдера 5 хопов и 2 кеширующих DNS.
                                        0
                                        Ну мой провайдер не дает реального IP (NAT использует) без допоплаты, но вот DNS у нас имеет вполне реальный, а не локальный, как шлюзы, адрес. По питерским меркам провайдер довольно крупный, если не крупнейший и использует DOCSIS (по «общей ТВ-антенне»).
                                          0
                                          Я сам сижу на внешнем IPшнике, но через свой NAT. А вот большинство знакомых (и на DOCSIS тоже) ходят в нет через NAT провайдера и используют локальный DNS провайдера т.к. не у всех есть инет, а внутренние ресурсы сети (файлопомойки, игровые сервера, ICQ прокси) без DNS не работают.
                                        0
                                        Mazzz, не знаю как ваши впны, но у других людей под впн поднимается как отдельный сетевой интерфейс и выдаются dns сервера, так-что трассировка от клиента и «доставание» dns сервера ну никак не раскроет инфу хотя бы даже о провайдере человека.
                                          +1
                                          Вот именно. Единственную «правду» которую показал этот тест (http://www.whoer.net/ext) это ОС, браузер и ip роутера (192.168.1.1).
                                            0
                                            У меня еще обнаружил, что таймзона IP и браузера не совпадают :-)
                                          0
                                          > Java могут сделать traceroute с твоего компьютера целью выяснить IP
                                          Java апплет должен быть как минимум подписан (т.е. просить разрешения у пользователя).
                                      +2
                                      может немного не в тему, то похоже это обычный кросс-пост, чем обработаная информация
                                      www.hack-info.ru/showthread.php?t=38176

                                      p.s. тут видна и вторая часть статьи, только некоторые моменты очень спорные, к примеру если смотреть про яваскрипт
                                        0
                                        Статья писалась для другого ресурса (не hack-info.ru, там тоже перепост), в интернете нигде не мелькала (хотя, как оказалось, все же мелькала), поэтому и решил выложить здесь.
                                          0
                                          Долго же статья лежала в ящике, больше полутора лет ;-)
                                            0
                                            а что за мифическое C*****s?
                                              0
                                              об этом — в следующий раз.

                                              а вообще, из контекста легко угадывается)
                                              +9
                                              Если берете авторство статьи на себе — тогда отдувайтесь, потому что бреда в ней навалом. Начните с выяснения что же такое VPN на самом деле, вы, судя по всему, этим словом называете PPTP.

                                              Дальше следующие перлы в статье:
                                              > VPN-сервер, в свою очередь, этот пакет расшифрует, разберется, в чем его суть (запрос на закачку какой-либо HTTP-страницы, просто передача данных и т.д.), и выполнит от своего лица (то есть засветит свой IP) соответствующее действие

                                              VPN сервер ни в чем не разбирается, а шлет пакет по роутингу.

                                              > VPN-сервер поместит его в GRE-пакет, зашифрует и в таком виде отправит обратно клиенту
                                              В GRE нет шифрования, это протокол инкапсуляции.

                                              > Поддерживает гибкие методы авторизации подлинности клиента, основанные на сертификатах;
                                              PPTP тоже умеет авторизацию по сертификатам (EAP-TLS)

                                              > HTTP-прокси работают они только с HTTP (есть и https-прокси)
                                              HTTP-прокси прекрасно организуют туннели через метод CONNECT, чем пользуются, к примеру ICQ и Skype.

                                              > Протокол SOCKS наиболее примечателен тем, что он инкапсулирует протоколы не прикладного, а транспортного уровня, т.е. TCP/IP и UDP/IP.
                                              SOCKS на самом деле прокси сессионного уровня. А UDP/IP — оригинальное написание.

                                              > По этой же причине все SOCKS-сервера анонимны
                                              Кто куда ходил — все прекрасно логгируется.

                                              > Анонимайзеры представляют собой скрипты, написанные, например, на perl, php, cgi-скрипты.
                                              У автора опять проблемы с категоризацией, perl и php — это обычно и есть CGI-скрипты.

                                              > весь сетевой софт на компьютере форвардится на назначенный порт (вашего локалхоста), на котором висит сервис, соединенный по SSH с сервером
                                              А зачем весь софт форвардить на один порт? Или автор смешал ssh port forwarding с ssh tunneling?

                                              Резюме — вся статья написана на уровне обычного скрипткиддиса, много кульных названий и сокращений, а в деталях — бред и фантазии.
                                                +2
                                                Со всем согласен.
                                                А еще эта идиотская рекламная фраза «Шифрование 2048 бит, обеспечивает беспрецедентную безопасность».
                                                  0
                                                  Ага, учитывая, что 2048 бит там только при установлении соединения, а трафик шифруется сессионными ключами бит этак в 128-256 :-)
                                                  0
                                                  VPN это Virtual Private Network, реаилзуемый на основе PPTP или L2TP (о котором в статье не написано ни слова). Стиль изложения, допускающий употребление фраз вроде "… потуги майкрософта сделать что-то в области криптографии..." характерен скорее для журнала Хакер, чем для серьезного информационного ресурса. Это я все к тому, что в статье есть неточности как фактического, так и стилистического характера, но исправлять их, или указывать на них особого смысла не имеет, ибо рерайт ор форгет. Такое мое мнение )
                                            0
                                            Когда работаешь через VPN — SSH-туннелинг, на сервере логи какие либо сохраняются?
                                            (кроме аутентификации по SSH)
                                              –1
                                              Зависит от настроек самого сервера и vpn, ssh демонов.
                                              По умолчанию в шеле останутся логи с какого IP подключались, на vpn еще и какие запросы слали.

                                              Вообще суть данных технологий в шифровании трафика от провайдера и скрытии IP от третьих сайтов. Выяснить IP подключения и все запросы на самом vpn/ssh сервисе труда не составит. В платных сервисах отсутствие логов анонсируется отдельно, на своем можно самому отключить, в остальных случаях они ведутся.

                                              Именно по причине возможной компрометации vpn сервера, используют double vpn цепочки, где реальный IP скрывается еще и от последнего VPN сервера. Теоретически можно использовать и triple vpn, при грамотном подборе серверов, чтобы пинг между ними был минимальный, скорость сильно не пострадает, но коммерческой реализации я пока не видел.
                                                0
                                                Посмотрел цены OpenVPN на сайте который вы преложили как вариант.
                                                И получается, что дешевле хостинг купить и организовать через них SSH-tunnel.
                                                А можно и через php,perl скрипты ходить по сайтам.
                                                  –2
                                                  Да, так и есть, но SSH-туннелинг это не комерческое решение, оно связано с недоудобствами в настройке и использовании, из «коробки» не работает. Стоит добавить, что логи на шеле хостера так же ведутся.
                                                  К тому же сложно найти хостинг с возможностью организации на нем SSH-туннеля, который дешевле VPN.

                                                  Что касается скриптов и разных сервисов вроде pagewash, у них совершенно иное предназначение. Они нужны чтобы ходить на одноклассников и контакты на работе, очень часто там отсутствует поддержка ssl, зато есть реклама и посредственная скорость. Так же это не решает проблему с IM клиентами, например, да есть и для этого веб-сервисы, но, к примеру, для торрента придется искать уже прокси.

                                                  Достоинство VPN в его универсальности, покупается и устанавливается в 3 клика, полностью «соксифицирует» всю систему. Изначально, основной смысл VPN, не в посещении одноклассников, а в шифровании трафика от провайдера, подмена IP это по сути побочный эффект. Как и зачем это использовать, уже тема другой, отдельной статьи. Если коротко, то многие интернет-проекты являются оффшорными компаниями, так удобне работать с точки зрения законодательства, но оно же облагает налогом и твои доходы полученные за рубежом. Это актуально и с торговлей на иностранных биржах и для СЕО индустрии. Тоесть целевая аудитория VPN несколько иная. Морально-этические аспекты трогать не будем.
                                                    +3
                                                    hax.tor.hu/ — беслпатно. статья на хабре.
                                                      0
                                                      да повысится же карма у таких щедрых людей, которые держат такие проекты =)
                                                    0
                                                    Еще есть smarthide.com — тоже OpenVPN, но для «домохозяек», в хорошем смысле слова. Все работает из коробки, есть свой удобный клиент, много серверов и стоит от 10$
                                              • НЛО прилетело и опубликовало эту надпись здесь
                                                  –1
                                                  Цель статьи — рассмотреть все возможные методы, просто перечислить их. Основной смысл не в том, чтобы скрыть использование анонимайзеров, а чтобы добиться эффекта скрытия.

                                                  OpenVPN тоже легко вычисляется провайдером, по gre-заголовкам в пакетах. Этого можно избегать довольно сложной инкапсуляцией трафика в другие протоколы.

                                                  Что касается P2P, то к его достоинствам стоит отнести, что не существует некоего «центрального узла» через который все проходит. В дополнение к VPN, очень действенная штука, хорошая безопасность — это совокупность мер.

                                                  Что касается «захотят найдут» — это не аргумент. Достаточно вспомнить последние дела над блоггерами: используй они впн, например, в Панаме и не распространяясь о своей реальной жизни, я не уверен, что кого-нибудь бы вообще нашли. Дело в том, что властям Панамы, безразличны требования российской аббревиатуры, а сам процесс выявления нужного «клиента» на сервере в большим кол-вом юзером — непростая работа.
                                                    +1
                                                    >Цель статьи — рассмотреть все возможные методы, просто перечислить их.

                                                    Тогда упущен по крайней мере еще один метод — NAT.

                                                    P.S. www.whoer.net/ext определил СПб как Азию )))
                                                      0
                                                      Ну и Москву тоже. :)
                                                        –1
                                                        видимо, создатели базы GeoIP считают, что Россия полностью находится в Азии =)
                                                          0
                                                          Причем не только они, в свое время очень удивился увидев российские зеркала Убунту в разделе «Азия» :(
                                                        –1
                                                        NAT — это внутрисетевая технология, не меняющая реальный интернет-адрес узла, причем здесь она? Вернее, как практически ее можно использовать? Те же Yota или Stream выложат на вас всю информацию, когда, где и куда. Поэтому не вижу смысла рассматривать NAT в этой статье.

                                                        Накладки с географией, видимо, связаны с тем, что сервис этот скорее всего использует GeoIP, от которого и бывает, что неправильно определяется, хз)
                                                          0
                                                          Ну как не меняющая? Этот сервис не смог определить реальный адрес моего узла, определил только адрес внешнего узла моего провайдера, то есть идентифицировать именно меня владелец узла к которому я буду стучаться не сможет в теории, если только мое ПО не пошлет мой реальный адрес. Насчёт практического использования согласен, хотя Yota, Stream или мой провайдер вряд ли выложат всю инфу обо мне по запросу владельца узла (по крайней мере надеюсь на это), а посоветуют обратиться в соответствующие органы, но так, скорее всего, поступит и любой владелец, скажем открытого прокси, ведущего логи.
                                                            0
                                                            Nat это трансляция одного адреса в другой, причем любого в любой! в пакетах изменяется пункт назначения и отправления, и это вполне надёжный способ изменения своего айпи…
                                                            Установив дополнительную циску со статическими маршрутами я подменяю свой айпи для определённых подсетей и в итоге на выходе из корпоративной сети я сижу на ДВУХ совершенно различных IP одновременно…
                                                          0
                                                          Простите, а откуда у вас в OpenVPN вдруг GRE заголовки?
                                                            –1
                                                            извиняюсь, ошибка =)
                                                            речь шла о VPN, а не об OpenVPN
                                                              +1
                                                              вероятно не о VPN как идеологии, а об их конкретных реализациях под названием PPTP/L2TP.
                                                            0
                                                            OpenVPN не использует GRE-протокол
                                                          • НЛО прилетело и опубликовало эту надпись здесь
                                                              0
                                                              а как легко вычислить, что пришедший клиент пришел через тор?
                                                              • НЛО прилетело и опубликовало эту надпись здесь
                                                                  0
                                                                  Да не в том вопрос. Вопрос «как»? Вот к Вам на сервер клиент пришел, как вы определите что он с ТОРа?
                                                                    0
                                                                    есть постоянно обновляющиеся базы end-point'ов, возможно, есть и другие варианты.

                                                                    ВКонтакте точно определяет прокси и тор, просто не заходит на него
                                                                      0
                                                                      есть постоянно обновляющиеся базы end-point'ов
                                                                      ссылкой не поделитесь?
                                                                        0
                                                                        Сам tor при запуске получает обновлённый список узлов. Соответственно, в исходниках есть соответствующая функция.
                                                                          0
                                                                          Таки всех узлов? И таки вырывать это из исходного кода это легко? Впрочем, вопрос не к Вам. Да, какие то варианты изучения ТОР сети я прикидывал, и именно поэтому заинтересовала ремарка «легко определить».
                                                                            +1
                                                                            Ну 100% не бывает, 96.3 максимум :)
                                                                            Но думаю, что запросив список нод несколько раз, можно получить значительное число узлов.

                                                                            Это смотря какая задача стоит. То есть, какие ошибки предпочтительнее — первого рода или второго. Совсем без ошибок тут не получится.

                                                                            Предположим, у меня на десктопе стоит луковичный маршрутизатор, и Вы об этом знаете. Если я попытаюсь попасть на сайт, не пользуясь анонимайзерами — то буду принят за анонима.
                                                                              0
                                                                              Да, Вы абсолютно точно обозначили проблему отделения ТОР-трафика с последней ноды и неанонимного трафика источником которого является нода. Юоюсб что в общем случае задача неразрешима.
                                                                                0
                                                                                Юоюсб = Боюсь
                                                                            +1
                                                                            насколько мне изместно, есть rbl, которые работают по такому же принципу, например tor.efnetrbl.org, tor.dnsbl.sectoor.de, tor.dan.me.uk, и другие. администраторы этих rbl'ей обьяняли мне механизм, и он похож на тот, что вы обьясняете.

                                                                            однако в жизни, имея на руках сайт с неплохой посещяемостью, около 20% ложных срабатываний, и покрытие всего около 20%. покрытие — это когда я руками вычисляю тех, кто ходит с тора, но rbl про него не знает.

                                                                            значит быть самим тором для получения списка релеев — это не панацея?
                                                                              0
                                                                              Есть менее очевидный и менее действенный способ — самому ходить через ТОР на свой же сайт, и записывать адреса. Но это долго и тоже не совсем точно.
                                                                                0
                                                                                этот способ пришел в голову первым, но тут же был отметен — как способ с очень маленькой скоростью схождения.

                                                                                на самом деле вопрос в открытости списка релеев ТОРа — есть они или нет. несколько человек сказали что это легко, я найти не смог. более того, я администрирую один из крупных irc серверов, где ТОРы тоже большая проблема, и там совместными усилиями эта проблема решается тоже с большим скрипом (ибо небольшой ТОР сетью релеев может стать, к примеру, сам же вирусный ботнет, собственного написания)
                                                                      • НЛО прилетело и опубликовало эту надпись здесь
                                                                          0
                                                                          Вы сказали «легко определить». Спасибо, я все понял.
                                                                  +1
                                                                  Mazzz, ты забыл, что популярные реализации SSH-клиентов (Putty, openssh) умеют работать как локальный socks-прокси, что несколько упрощает настройку такого варианта.
                                                                    –1
                                                                    еще надо серверную часть настроить, и да, всё просто)
                                                                      0
                                                                      На серверной части (opensshd) настройки по-умолчанию вполне работают.
                                                                        0
                                                                        либо openssh, либо sshd :)
                                                                    +1
                                                                    Да, зачем нужна анонимность?
                                                                    Чтобы троллить безнаказанно? :)
                                                                      0
                                                                      у всех цели разные! зачастую это используется не для того чтобы скрыть свой настоящий IP, а чтобы выйти в сеть с «нужного» IP
                                                                        +1
                                                                        Потому что есть сайты, дискриминирующие и сегрегирующие посетителей по IP-адресу.
                                                                          0
                                                                          а еще есть открытые точки доступа, через которые прут все что мимо пролетает
                                                                          0
                                                                          Может быть %USERNAME% знает, как заставить оперу ходить через soks5 сервер? А то мессенджеры по shh-тоннелю ходят, а опера, дура, нет.
                                                                          Так и не нашел ничего нормально работающего :(.
                                                                            0
                                                                            У меня в Opera8 под Symbian такой настройки нет :-(
                                                                              0
                                                                              ! а что там под симбиан! у меня в опере 10 под винду нет такой настройки.
                                                                              –1
                                                                              Если не ошибаюсь, ни в одной из версий Оперы нет возможности пустить ее через Socks, с чем это связано — не знаю Соксифицировать ее нужно дополнительной программой, например FreeCap или SocksChain.
                                                                                +1
                                                                                Вы не ошибаетесь. Это оперная загадка :).
                                                                                  0
                                                                                  The Phantom of the Opera is here
                                                                                  Inside my mind!
                                                                              0
                                                                              Ещё есть анонимная сеть I2P. Модуль обмена написан на Sun Java с использованием технологии p2p и имеет множество настроек по оптимальному скрытию траффика. В сети есть анонимная прокся, собственный торрент-трекер, анонимные форумы и многое другое.
                                                                                0
                                                                                В I2P мне очень понравилась скорость, но т.к. она не пускает на https ресурсы, толку от неё мало. Отмазка из FAQа по поводу того что в https используется шифрование так что этот трафик нет необходимости прятать, по моему абсолютно бредовая.
                                                                                0
                                                                                а почему в статье не рассмотрен самый популярный метод PAT (который многим известен под именем NAT)?
                                                                                0
                                                                                против ректального криптоанализа ничто не спасёт :)

                                                                                  0
                                                                                  только жаро-пыле-влаго-ударозащитный зад :-D
                                                                                  +3
                                                                                  >>> У OpenVPN есть целый ряд преимуществ перед технологией VPN.
                                                                                  это пять
                                                                                    0
                                                                                    Да тут вся статья как из журнала Хакер…
                                                                                    +1
                                                                                    не стоит забывать, что надежность — это свои прокси(лично порутанные). бытует мнение, что большинство паблик проксиков держат спецслужбы. потому что ни один нормальный человек не выкинет адрес своей прокси в паблик.
                                                                                    все равно находят. если захотят. и через цепочку проксей. ведь все равно пакет идет к ВАМ и уходит от ВАС. а дальше уже дело техники.
                                                                                      0
                                                                                      ну выкинуть адрес прокси в паблик может не только его владелец ;)
                                                                                        0
                                                                                        хозяин сервера? так он больше будет заинтересован в закрытии такого «сервиса» =)
                                                                                          0
                                                                                          Очень часто на сервере организуют паблик проксю для нагрузочного тестирования. И после окончательной доводки напильником, проксю отключают и меняют IP дабы не фильтровать затяжные отголоски славы.
                                                                                            0
                                                                                            хм! не знал. спасибо за ликбез=)
                                                                                            0
                                                                                            Есть платные сервисы предоставления прокси. Эти прокси организуются через ботнет на зомби-машинах. Если я правильно понял суть.
                                                                                          +1
                                                                                          Опять-таки, многое зависит от того, для чего вам нужно сокрытие реального IP, одно дело получить доступ к публичному форуму или чату после бана по IP модератором, совсем другое — уход от законного (или не очень, ака «братки») возмездия за нарушение интересов третьих лиц.
                                                                                            0
                                                                                            Есть мнение, что забывчивые админы/юзеры могут при настройке например локальногй сети забыть закрыть прокси извне, а хакеры, сканируя диапазоны IP на открытые порты типа 3128, 8080 и тд, их находят. Я сталкивался с проксями как на корпоративных адресах, так и на той же Корбине.
                                                                                            • НЛО прилетело и опубликовало эту надпись здесь
                                                                                                0
                                                                                                Над которой возможо висят камеры? =)
                                                                                                • НЛО прилетело и опубликовало эту надпись здесь
                                                                                                0
                                                                                                Вот, ребят, вы забываете, что пакет идет не к ВАМ, а к ВАШЕМУ устройству. Так вот, можно вычислить кто купил телефон/симку. А вот вычислить организацию единоразового профессионального гоп-стопа (стук по голове и забрал телефон) — это уже сложнее. После гоп-стопа быстро подключаем ноутбук (по блютусу :-)), и хакаем необходимую систему. Собственно, проблема упирается в то, что хакнуть необходимую систему при таком уровне осторожности — очень сложно.
                                                                                                  0
                                                                                                  Вычисляют хозяина симки, узнают информацию про гоп-стоп, а далее классическая оперативная работа: фоторобот, опрос возможных свидетелей, снятие видеозаписи с камер наблюдения (если есть) и пр.
                                                                                                    0
                                                                                                    Никакого фоторобота — преступник был в маске.
                                                                                                    С видеокамерой облом по той же причине.
                                                                                                    И еще: преступник живет в другом городе.
                                                                                                  • НЛО прилетело и опубликовало эту надпись здесь
                                                                                                  0
                                                                                                  Виртуалку пустить через VPN.
                                                                                                    +1
                                                                                                    <paranoid-mode>
                                                                                                    Chromium в режиме анонимности пустить через Privoxy который пустить через VPN который пустить через цепочку Socks прокси которую пустить через TOR в доме который построил Джек.
                                                                                                    </paranoid-mode>
                                                                                                      +1
                                                                                                      И наслаждатся скоростью в 1 байт в секунду, и пингами по пол-часа
                                                                                                  • НЛО прилетело и опубликовало эту надпись здесь
                                                                                                      –4
                                                                                                      А зачем честному человеку заниматься подобными вещами?
                                                                                                        +1
                                                                                                        В китае, знаете ли, очень много честных людей. ;-)
                                                                                                        0
                                                                                                        Такая большая статься, столько комментов и никато не упомянул про i2p?

                                                                                                        Непорядок! Сылка на офф. сайт и вырезка из wiki:
                                                                                                        I2P (сокр. от Invisible Internet Project/Protocol, рус. проект/протокол “Интернет-невидимка”) — Открытое программное обеспечение, созданное для организации анонимной оверлейной сети и применимое для веб-серфинга, систем обмена мгновенными сообщениями, блоггинга, а также для файлообмена.
                                                                                                          0
                                                                                                          Как можно получить реальный IP если пациент использует VPN+proxy?
                                                                                                          0
                                                                                                          Ах, да, совсем забыл про использование IPv6 в качестве дополнительного средства защиты. Всегда можно взять туннель у HE и завести на нём VPN сервер
                                                                                                            0
                                                                                                            Жесть, поржал. Как сказали выше очень много умных сокращений которые юзаются не в тему. А IPSec где? это дофигища однорановых сетей? Почемуто мало людей кстате используют IPsec и Openvpn только в тунельном режиме. Причем у всех VPN стал синонимом анонимности, как меня надоели скрипткидисы которые пишут мне посятонно, что хотят ко мне в долю, и купить у меня услугу, которую я не предоставляю.
                                                                                                              0
                                                                                                              А какой из вариантов в этом посте самый быстрый?
                                                                                                                0
                                                                                                                ВПН, как правило. Ну может еще и прокси какие-нибудь.
                                                                                                                0
                                                                                                                как воспользоваться Peek-a-Booty? нужно установить клиентский модуль на комп, или что? если так, то где его скачать? почему нет ссылок, автор?

                                                                                                                Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                                                                                                                Самое читаемое