"VPN Gate", или – неубиваемая Великим Китайским Фаерволом распределённая сеть VPN
Сегодня речь пойдёт о технологии распределённой сети "VPN Gate", своего рода недруга Поднебесной в области интернет цензуры. На "Хабре" много статей на тему "SoftEther" VPN (нижележащий слой "VPN Gate"), но нет ни одной технически всесторонней статьи про саму распределённую сеть и такое чувство, что в рунете про неё вообще забыли.
"VPN Gate" – академический эксперимент Дайу Нобори с 2013-го года. Проект представляет собой интернет-сервис научных исследований в Высшей Школе Университета Цукуба, Япония. Цель данного исследования заключается в расширении знаний "Глобальных распределенных открытых ретрансляторов VPN".
Отличительной особенностью данной сети является её функционирование в виде роя. То есть каждый желающий пользователь может поделиться своей пропускной способностью с другими. Я знаю, что вы подумали, очередной неудачный "dVPN" пиар на основе блокчейна.
Однако это не так, данный проект уже насчитывает 8634 узлов и 534 петабайта трафика за всё время существования. К примеру даже у TOR-а узлов – 7 тысяч.
Основными пользователями являются китайцы, в связи с успешной архитектурой борьбы против активных пробов Великого Китайского Фаервола.
Установка GUI клиента, сервера со встроенным плагином осуществляется через собственный сайт "VPN Gate". Каждый сгенерированный zip билд программы отличается размером, чтобы осложнить DPI анализ данных внутри. Также в него записываются рандомные адреса VPN серверов, если изначальные сервера VPN Gate для получения списков будут заблокированы.
Но как по мне самым большим успехом команды проекта было прикручивание "NAT Hole Punching", где каждый пользователь, даже без белого IP, мог бы поделиться своей пропускной способностью. Никакой регистрации.
Борьба с Фаерволом.
Спросите вы, почему Китайский Фаервол (GFW – "Great Firewall of China") ещё его не заблокировал, здесь же начинается хронология борьбы между силами добра и зла/
Сразу после начала проекта, первые 4 дня наплыв большинства пользователей был именно из Китая, 5к пользователей разом нахлынули на сервис.
На пятый день GFW заблокировал основной сайт "VPN Gate". Пользователи начали делиться установщиками на порталах таких, как "Weibo".
Тогда GFW начал блокировать сервера VPN, получая их с главной страницы проекта, только они сделали ошибку, они не проверяли IP адреса на легитимность, и тогда команда проекта бросает на стол.
Они начинают смешивать рандомные IP адреса со списком, в течение трёх дней у них полный контроль над тем, что блокирует GFW, они ломают внутренние сайты Китая.
GFW видит свою ошибку и прежде чем блокировать всё подряд, начинает проверять каждый IP адрес путём мощной технологии DPI, которая называется active probing. Это когда на каждый запрошенный пользователем удалённый IP адрес сначала отправляется рандомный GFW бот (с рандомного IP) с тестовым запросом, и если в полученном ответе содержатся запрещённые фильтром слова, удалённый IP адрес блокируется.
Но так как количество серверов "VPN Gate" большое, то у сети преимущество, что если клиенты будут отправлять на проверку логи каждых кратковременных запросов от узлов, которые пытались к ним подключиться?
Ребята автоматически начали обрабатывать такие логи у себя на сервере. Так как у провайдеров поднебесной большой пул адресов, одиночным серверам не всегда удаётся узнать айпишник бота который их просканил и выдал на казнь GFW. Вдобавок даже с обфускацией VPN протокола к ним подключаются много людей, что эвристически обнаруживается.
Но если учитывать статистику со всех узлов, к которым одновременно в коротком интервале подключаются и отключаются айпишники, то их можно отсеять и заблокировать. Таким образом сеть отражает попытки GFW ботов их найти. К тому же она выдаёт лишь ограниченный список серверов пользователям, даже если одновременно с 16 миллионов (по некоторым данным, есть даже иностранные пулы) IP адресов GFW попытаются просканировать сеть, у них это не получится. Итог — чем больше участников, тем сильнее оборона.
Динамичные IP адреса участников за NAT также сыграли положительную роль в доступности сети.
VPN сервера оперируют на четырёх протоколах: SSL-VPN, OpenVPN, L2TP/IPsec, MS-SSTP.
Любым желающим помочь, которым не жалко поделиться интернет каналом, могут скачать пакет сервера, настраивается за 5-6 кликов. Также можно указать свое сообщение пользователям при подключении, оставить адрес почты для связи – есть некоторая подстраховка от silovikov, клиент хранит пакеты подключений две недели (можете обрадовать Яровую и поставить на 30 дней, шучу), скорость также можно настроить, есть настраиваемый встроенный фаервол с политиками безопасности, т.е. ваши локальные адреса в безопасности, установка без прав администратора.
Тем, кто хочет подключиться можно скачать пакет клиента. Есть возможность выбирать страны с лучшим пингом и пропускной способностью.
Источник: "Хабр", @penetration.
Подробнее
VPN Gate List Server Server list IPi IP2 IP3 IPn : The IP address of VPN Gate Server £n. : A verified IP address. It can be safely put into the blocking list of the firewall. * : A non-verified IP address. Since it can be an innocent IP address, the authority cannot put it into the bloc kins list of the firewall. Spy List VPN Gate Server #1 Spy List [ VPN Gate Server #2 Spy List VPN Gate Server #3 VPN Gate probing program IPi IP2 IP3 • • Censorship authority IPi Censorship firewall
Д SoftEther VPN Client Manager Connect Edit View Virtual Adapter Smart Card Tools Help VPN Connection Setting Name zj Add VPN Connection ¿VPN Gate Public VPN Relay Servers Virtual Network Adapter Name Я* VPN Client Adapter-VPN Status VPN Server Hostname Virtual Hub Virtual Network A... VPN Gate Academic Experimental Project Plugin for SoftEther VPN Client □ X VPN Gate Public VPN Relay Servers Academic project at University of Tsukuba, Japan. Gain freedom access to Internet by using VPN connection via Public VPN Servers provided by volunteers abound the world. Bypass your local malfunctioning firewall’s packet blocking, and hide your IP address safely. VPN Gate Academic Web Site 200 Public VPN Relay Servers on the Earth! (Updated at 2023-01-06 04:24:55) DDNS Hostname IP Address (Hostname) Region Uptime VPN Sessions Line Speed Ping (Google, SE л ©vpn431943394.... 138.199.62.13 United Kingdom 18 hours 37 sessions 963.4 Mbps 2,2 ©vpn537032677.... 121.103.196.222 Japan 5 days 28 sessions 83.0 Mbps 2,2 ©vpn255806013.... 92.202.102.35 Japan 1 days 10 sessions 73.9 Mbps 2,2 0vpn445881929.... 42.126.76.4 Japan 3 hours 4 sessions 50.0 Mbps 2,2 ©vpn703171913.... 180.144.58.3 Japan 22 hours 38 sessions 3996.2 Mbps 2,2 ©vpn922100384.... 217.178.216.134 Japan 3 days 3 sessions 94.6 Mbps 3,3 ©vpn528064170.... 182.166.148.113 Japan 5 days 48 sessions 689.4 Mbps 3,3 0vpn49565O175.... 125.195.174.132 Japan 1 days 0 sessions 561.7 Mbps 3,3 0vpn383O1798O.... 150.249.166.69 (fp96f... Japan 22 hours 0 sessions 487.0 Mbps 3,3 ©vpn740639095.... 133.3.201.142 Japan 3 hours 0 sessions 281.9 Mbps 3,3 ©vpn753333405.... 126.51.100.13 Japan 7 hours 43 sessions 268.1 Mbps 3,3 0vpn117445993.... 36.13.236.86 Japan 1 days 28 sessions 1080.7 Mbps 3,3 0vpn452863878.... 207.65.254.187 (fpcf4... Japan 0 mins 10 sessions 949.0 Mbps 4,4 0vpn431396938.... < 173.198.248.39 (173-... United States 89 days 194 sessions 92.8 Mbps 44 > A VPN Server with higher Line Speed (measured by Mbps) and smaller Ping result are usually more comfortable to use. You might be able to browse websites which are normally unreachable from your area if you use VPN servers that are not in your area. Proxy Settings Implemented as a plug-in for SoftEther VPN. (c) VPN Gate Project at University of Tsukuba, Japan. Connect to the VPN Server
технологии,интернет,цензура,блокировки,блокировка сайтов,VPN,habr,howto,how to,длиннопост,длиннотекст
Отличный комментарий!