В общем предлагаю начать дискасс о п2п и прочем. Хотя наверное не корректно говорить про п2п имеется ввиду технологии доставки данных в агрессивных условиях - dpi, dlp итд. Те истории типа тора - они хороши, но это не удобно использовать в промышленном варианте ибо есть такое поняте как бутстрап супернод при отсутсвии файла статуса сети (хотя он все равно должен обновлятся но не суть при старте клиента тора). Те ставят бан на суперноды и все, рст на тсп при коннекте на ип ноды (они захардкожены). Истории с ДХТ (как приме toxcore) тоже не очень вкусные - в них надо зайти, а это суперноды, на базе обычного днс... Но он например умее по подсети найти соседей и если не может сам выйти в сеть, то попробует через соседа по подсети. Есть как нистранно dnscrypt но он не так чтобы распрастранен и банят там тоже не кисло так если что. В общем нет в мире счастья) и не понятно как надо лучше)) Давайте перетрем) Кто что думает? ПС. пишу как таджик блин) просто править после перечитки лень. Извините если граммарнаци)
даже и не знаю, что тут особо сказать можно: все анонимашки легко блокируются == вот, пожалуй, и конец истории. можешь, к примеру, на свой хухль акк зайти (отключив течи бравзера) и хухль твой логин блокирует тип обнаружена подозрительная активность на акке.
UbIvItS, то что ты описал - это другое совсем) но ты удивишься, что есть кастомные сборки браузеров, куда можно грузить куки и по бэксоксам заходить на гмэйл и никто не палит. Это про течи, в том плане что такое можно обойти и это другая история. я вот читал, что в том же китае токс не работает как раз из-за истории с днс и с этим пытаются разрабы как-то разрулить. флюксы - это очень не стабильно в проде, все перманентно отваливается =)
а как разрулить? все ипы анонимашки легко отслеживаются на-лету. удивляться тут нечему. в любом случае таскаешь "пальчики", по коим можно трейсить персонаж вплоть до точных координат места нахождения и опять на-лету.
problemaker, даже там вылазят. например shadowsocks - хотя ничего нового, просто сокс косящий под хттпс. Строят цепочки на дедиках или впсках разрешенных и выходят в мир. давайте подискутируем более предметно) например есть локалка из 100 машин. какой-то процент из них не может выйти в сеть, но часть может. предположим мы инфицировали 10 с выходом и 10 без. задача. выход на цнц всех 20, поддержка цнц в тени (не плить все что с ним связано) как можно дольше. закрепление итд не важно. именно сетевая часть - протокол (отвод dpi), как разрулить трафик от машин без доступа к цнц (dlp), как разрулить работу с цнц наиболее незаметно (dlp, спамхаус итд). Go go go =) Не сцым, мы же просто обсуждаем.
superakira, если у тебя есть энн машин с доступом в глобальную сеть и эмм машин с сугубо локальным доступом, то довольно просто определить наличие работающего шлюза: просто сравни объёмы внешнего и внутреннего трафа. Едем дальше: шифры шифрами, а ипы источника-получателя в сетевых пакетах прописываются открыто более того, пров может просто тупо резать все пакеты с аномальным содержимым, то бишь узаконивается митм на уровне провайдера. касательно Китая, тут дело не в том, что их фаервол имеет дырки.. в свете полит/фин/прочих интересов такие лазейки делаются намеренно и в любой момент мб прикрыты.
Все эти задачи решены в i2p или в tor. Пир-тестинг, прокладка туннелей, шифрование, придывание tls-траффиком и вся остальная приблуда 1. Можно прикидываться нодами i2p/tor 2. Можно запилить свою сеточку по их аналогии, но с упрощениями некоторых моментов
весьма палевно: тор и на своей машине запустить -- нужно настройки фаера/аверки сделать, а уж на чужих..
problemaker, тор сильно палевный. еще раз, на практике тор для такого не приемлим. даже в гугл ты не сможешь зайти через тор) те формально все есть, формально оно рааботает, но для стелс задач оно не подходит. i2p - не могу сказать, но знаю что юзают с 2015 и не особо популярно в таких задачах, только если рансом - но там вся суть - это стянуть файл и стартануть. запилить свою сеточку... звучит чуть пренебрежительно, если воспринимать задачу в серьез, то она не так тривиальна. если в курсе - поделись ссылками на профильные статьи/литературу?
superakira, я до сих пор не могу понять какие задачи стоят. Если тебе надо связаться с сервером, то держи много разных прокладок в разных геолокациях. Связывайся всегда по HTTPS, на серваках перегенерируй сертификаты раз в 15 минут, внутри https используй дополнительную проверку на MITM. Находи особо долгоживущие узлы (статический IP и доступный порт, таких примерно 1-2%) и поднимай на них nginx и тоже используй как прокладку. На них абуза никогда не придёт, ибо диапазон из домашнего интернета, придёт разве что провайдеру, а ему как правило похуй. Регулярно обновляй списки прокладок.
problemaker, насколько я понял, речь идёт о вирусе с возможностью прокладки ручейка в глобальную сеть при условие, что лишь часть заражённых машин такой доступ имеет
problemaker, лол) ты серьезно? я имел виду ретрансляцию трафика с ботов без выхода к цнц через ботов с выходом, определение всех в подсети, совместный выбор/балансировка чтобы не захлебнулись при ретрансляции итд (те стабильный алгоритм) если именно ретрансляторы, на которые стукаются боты - тут haproxy в докере и крутить через облака образы, а не ngnix в реверс прокси - это оверкилл просто, тип траффика wss а не хттпс, но это дело вкуса, мне так лично лучше кажется. Ну это вот мое видиние. Но вот вопрос как лучше стучаться на те же ретрансляторы? Прошивать? ДГА? ДХТ какое-нить? Это все конечно гипотетически.
Это есть в i2p или tor и это работает. Собственно, я этот вариант уже упоминал, когда говорил, что можно запилить свой i2p/tor с выпиленным лишним функционалом. Серьёзно. Решается запилом дополнительных прокладочных адресов. Вот смотри, у тебя есть бот, который живёт уже полгода и стабильно в онлайне. Ты поднимаешь на нём nginx в режиме прокси и раскидываешь всем остальным этот адрес, как адрес сервера. твои облака убьют через полчаса по абузе, а машина, которая крутится в диапазоне провайдера домашнего интернете, будет жить месяцами. у ботов должна быть процедура обновления списка серверов, на которые они стучатся. У тебя их должно быть минимум 50. Ты просто скидываешь им адрес промежуточного, и они с ним работают, думая, что это настоящий сервер.
очень оптимистичное утв. что это за магия, коя такое позволяет? сейчас офиц. софтина отлично глючит, а прокладка неких суперскрытых ботнетов с таким долгожительством -- еть из разряда фэнтези. особенно забавно, когда на компе собирается зоопарк малвари, тогда уровень устойчивой работы растёт прям аж..
problemaker, хм... эм.... итаг) тут надо понимать что боты могут быть разные - с большим аптаймом ака сервера обычно и просто юзер которму пофиг что у него творится на машине. Предположим ты предлагаешь поставить нгникс... ок. как ты себе это представляешь...? 1. система определила что этот вот бот долго живет и будем гнать трафик через него. 2. .... 3. профит. вот весь цимес в п2) как ты его будешь реализовывать. как ставить нгникс? как он будет работать незаметно. сидит такой админ. все норм. он все процессы знает. и тут бабах)) и у него появился нгникс)) с конфигом к тому же)) это примерно как атомную бобму взорвать) я то думал по другому, что если траслировать то какимто кастомным плагином тогда. цц назначает ноду ретранслятором по аптайму и каналу например. их проще конфигурировать и меня все в атоматике раз в час. ну иесли не 100к бнеты, то абуз не будет. кстати был же ботнет рекламный, который заражал iot и потом через них ходили кликеры и выкликивали рекламы. сами они жилы в облаках. правда все это чуть другое.
Давайте запилим что-нибудь лайтовое. Эти обсуждения десятилетиями идут. Как раз человеческие либы подъехали для плюсов asio, без шлакобуста, в 200-300 кб собрать можно качественный код.