Algunos países como China, cuba , Irán , Etiopía , Kazajstán, Venezuela y otros, como la instalación de algunas pequeñas cajas desagradables en los bordes de «alimentación a Internet» de su país para monitorear y filtrar el tráfico. Estas pequeñas cajas se llaman DPI (Deep Packet Inspection) cajas y lo que hacen, se olfatean cada pequeño paquete que fluye a través de ellos para encontrar patrones específicos y luego preparan su administrador la opción de bloquear el tráfico que coincide con estos patrones. Estas cajas son muy sofisticados y que no sólo filtran el tráfico por src, dst o puerto, que filtran el tráfico por el contenido (carga útil) los paquetes llevan.
Por desgracia, no se trata sólo de estos países que implementan tecnologías DPI, pero algunas empresas privadas también utilizan este tipo de dispositivos con el fin de controlar a sus empleados.
Tor es una buena manera de evitar las tecnologías básicas de censura, pero a veces la tecnología DPI es tan bueno que se puede huellas digitales de tráfico de Tor, que ya está encriptado, y bloquearlo. En respuesta a esto, la gente Tor idearon una tecnología llamada enchufable Transportes cuyo trabajo consiste en ocultar el tráfico de varias maneras para que se vea como algo diferente de lo que realmente es. Por ejemplo, puede hacer que Tor mirada tráfico como una llamada de Skype usando SkypeMorph o se puede utilizar Obfsproxy para ofuscar el tráfico para que parezca … nada, o al menos nada fácil de reconocer. Lo bueno de obfsproxy embargo, es que uno puede incluso utilizar de forma independiente de Tor, para ocultar cualquier conexión que necesita.
Una advertencia
A pesar de que obfsproxy cifra el tráfico y hace que parezca completamente al azar, no es una solución a toda prueba para todo. Es el trabajo básico es para defenderse de DPI que puede reconocer las conexiones / TLS huella digital. Si alguien tiene los recursos que potencialmente podría entrenar a su cuadro de DPI para «hablar» el protocolo obfsproxy y finalmente descifrar el tráfico ofuscado. Lo que esto significa es que obfsproxy no debe ser utilizado como un único medio de protección y que sólo debe utilizarse como una envoltura around ¿está encriptada tráfico SSL.
Si usted todavía está en duda acerca de lo que puede protegerse de obfsproxy y de lo que no puede, por favor lea la amenaza Modelo Obfsproxy documento.
Dos casos de uso
Ofuscar un SSH y una conexión OpenVPN.
Obviamente se necesita un servidor situado fuera del perímetro de la censura que él o alguien más va a ejecutar la parte del servidor obfsproxy. Instalar netcat, la versión de OpenBSD; nombre del paquete es netcat-OpenBSD en Debian / Ubuntu, también
Se necesita para el ejemplo SSH.
Lo que ambos ejemplos hacen es ofuscar una conexión TLS a través de un servidor de obfsproxy para que se parezca inocente. Suponiendo que el tráfico buscando más inocente es HTTP, intente ejecutar la parte del servidor obfsproxy en el puerto 80.
conexión SSH
Deberia de ser o verse de este modo:
USUARIO: correr cliente ssh
HOST_A (obfsproxy): correr obfsproxy en el puerto 80 y redirigir al puerto 22 HOST_B
HOST_B (DST): Ejecución del servidor SSH en el puerto 22
Lo que uno tiene que hacer es configurar el siguiente «efecto túnel»:
cliente ssh -> [NC proxy SOCKS] -> cliente obfsproxy (USUARIO) -> obfsproxy servidor (HOST_A) -> servidor ssh (HOST_B)
0x4171341 