当前在线人数14828
首页 - 分类讨论区 - 电脑网络 - 热门网络技术版 - 同主题阅读文章

此篇文章共收到打赏
0

  • 10
  • 20
  • 50
  • 100
您目前伪币余额:0
未名交友
[更多]
[更多]
自行设计HTTPS VPN Twin-Server的历程 -- 撩拨防火长城
[版面:热门网络技术][首篇作者:vpneveryone] , 2019年03月16日20:42:45 ,297次阅读,0次回复
来APP回复,赚取更多伪币 关注本站公众号:
[分页:1 ]
vpneveryone
进入未名形象秀
我的博客
[回复] [回信给作者] [本篇全文] [本讨论区] [修改] [删除] [转寄] [转贴] [收藏] [举报] [ 1 ]

发信人: vpneveryone (vpneveryone), 信区: EmergingNetworking
标  题: 自行设计HTTPS VPN Twin-Server的历程 -- 撩拨防火长城
发信站: BBS 未名空间站 (Sat Mar 16 20:42:45 2019, 美东)

兵马未动,粮草先行。一个良好的工程习惯就是,在设计开发产品之前,就要想到如何
测试。
人在美国,如何测试产品呢?同样也许有人会问,“你在美国,如何知道做黑匣子测试
?前面说的‘公有IP重复利用’问题怎么发现?”
为了远程测试,我临时设置了4个Raspberry Pi板子,寄给国内的同学,朋友(深圳,
上海,北京,西安)。每个板子同时跑几种VPN协议--IPsec, OpenVPN TCP, OpenVPN
UDP, SSH。为了让这些协议不互相干扰,每个协议只建立通道,不做路由。
每个Raspberry Pi开机就自动建立通道到美国的服务器。再从服务器反向远程登录到各
个板子上。这样就当是人在国内测试了。当然整个测试就是黑匣子测试,自己根据结果
推断,验证。
我说我很幸运,因为,就这四个板子,我居然有一天发现,深圳的那个朋友家里的路由
器“公有IP”跟西安朋友家里一样,92.xx.xx.xx,但是跑whatismyip.com,路由器IP就
不一样,而且不是92.xx.x.xx。
除了了解到国内IP重复利用问题,还了解一些防火长城的特性。
•    联通的网络似乎对VPN松一点,IPsec, OpenVPN大部分时间能连上,还可以
流畅看netflix。电信网络就掐得死死的,根本连不上。(这是我2016年在中国自己家
里测试的,不是远程测试。不知道现在联通是不是还vpn友好?)
•    IPsec 和OpenVPN 现在基本没戏。其协议包特征非常明显,防火长城一下
就掐死。
•    SSH可以通过防火墙,也许是因为网络设备一般都有SSH远程调试吧?防火
长城网开一面。就是通过反向SSH,我可以从美国连回这些板子见识一下防火长城的厉
害。
•    SSH 可以连,但是防火长城好像还是在模糊猜测/预测里面内容。比如,一
旦跑速度测试,它就给你掐断。想想也是,正常SSH远程终端一般连接的包都很小,一
旦防火长城发现大量大包,就认为你这肯定不是正常远程终端。掐死。但是呢,它也就
掐死你几分钟,然后给你恢复。应该是它不确定你里面跑什么,就这样让你也不爽。有
问题吗?那你去政府网管部门登记呀?我们这种只想看看国内视频什么的,估计都没法
等级。算是吃哑巴亏吧?
•    后来的几种不同VPN协议(包括自己写的)的测试,都看到同样的规律:只
要防火长城不知道你里面跑什么,它就随机给你断一会儿,然后恢复。为什么不把我的
IP封死呢?我猜,可能就是它也想立牌坊呀。记得以前某官员说过,大意是,“中国互
联网很自由畅通呀。。。”也许可以翻译成“我们从来都不直接封IP的。。”
•    从RaspberryPi板子上看,我一跑OpenVPN/TCP防火长城就给你发TCP reset
包,掐断TCP连接。跑OpenVPN/UDP, 就是泥牛入海,包直接被防火墙丢掉,这边服务器
就没收到。IPsec 也是这样,协议包都到不了美国。
•    针对目前掌握的规律:
1.    标准的VPN协议已经被识别
2.    用TCP,很容易被用TCP reset包掐断
3.    加密包,只要流量一大,就被掐,
4.    没有直接封IP, 几分钟后恢复。
我就当练练手,自己写个简单的通道协议:自己定义加密包,用UDP, stateless。服
务器/客户端两端的端口每隔(随机5~30)秒换一个(随机2049~60000)端口,简单的
说就是打一枪换一个地方。这样把流量分散到各个不同的连接(src-ip:port  ~ dst-ip
:port)上。这个协议在美国稳定的网络环境下测试好了,再放到Raspberry Pi上试试。
结果如何?(待续)

--
※ 来源:·WWW 未名空间站 网址:mitbbs.com 移动:在应用商店搜索未名空间·[FROM: 108.]

 
[分页:1 ]
[快速返回] [ 进入热门网络技术讨论区] [返回顶部]
回复文章
标题:
内 容:

未名交友
将您的链接放在这儿

友情链接


 

Site Map - Contact Us - Terms and Conditions - Privacy Policy

版权所有,未名空间(mitbbs.com),since 1996