.gif)
Torsten
Опытный user
- Регистрация
- 7 Ноя 2021
- Сообщения
- 961
- Реакции
- 114
ввиду того, что так называемая россия - страна свободная и демократическая, в ней практикуются блокировки vpn протоколов
а нам с вами, как свободным людям, приходится им противостоять
поэтому в этой статье мы рассмотрим обфускацию wireguard трафика самым примитивным способом
великий китайский, конечно, обойти так не выйдет, там нужен кардинально иной подход, но для ркн сие действо в самый раз
примечание
так как живу я не в россии, гарантировать работоспособность чего-либо не могу
однако, на момент написания статьи, текущая реализация была проверена на нескольких подопытных кроликах с разными провайдерами
стоит отметить, что статья написана из под линуксов и применима только к ним. ещё, возможно, к семейству bsd
что там у других фашистсих ос - я не знаю. и знать не хочу
самодельная обфускация wireguard была выбрана по двум причинам:
во-первых он быстрее и легковеснее, нежели что-то сфокусированное на обходе блокировок
во-вторых это полноценный vpn, со всеми его преимуществами
анатомия блокировок
многие наслышаны о технологии dpi - глубокого анализа пакетов
без её использования блокировки достаточно просты, например блокировки доменов по dns - подмена настоящего ip-адреса сайта на подконтрольных правительству dns-серверах, либо же блокировки по ip
но уже с её использованием, просторы становятся безграничными - с трафиком можно делать всё, на что хватит фантазии и здравого смысла:
начиная подменой ответа уже от неподконтрольных dns-серверов, заканчивая выборочной блокировкой сессий, на основе анализа зашифрованных данных нейронной сетью и подтверждения догадок ии попытками установить соеденение
любые блокировки протоколов выше транспортных по модели osi относятся ко второй категории, включая наш wireguard
перейдем к практике
расписывать как поднимать wireguard пару не буду, статья у нас не об этом
запускаем wireshark, будем смотреть трафик и думать о возможных способах выявления нашего протокола
![[IMG]](https://lztcdn.com/files/c0594f7f13cd3ca46c8b8408987837425be1179274fb5fda5b87cad2f1c5db2f.webp "[IMG]")
думать, в общем-то, долго не пришлось - сразу видим фиксированный размер пакета инициации хендшейка, 4 одинаковых байта в начале, криптоданные в середине и 16 нулей в конце
что-ж, с этим разобрались. самое тривиальное решение - обфусцировать весь наш wireguard трафик, чем мы и займемся
патчить будем wireguard-go, в кернелспейс без должной сноровки лезть очень опасно, к тому же компиляция этого добра - удовольствие сомнительное
добываем исходники:
git clone --depth 1 https://git.zx2c4.com/wireguard-go
сейчас наша задача - найти две функции, через которые идет вся отправка и получение данных, дабы в дальнейшем встроить туда обфускацию
если над архитектурой программы поработал хоть сколько-то смыслящий в этом деле человек - такие функции должны найтись
и правда! после нехитрых манипуляций с грепом нашлись SendBuffers в device/peer.go для отправки и RoutineReceiveIncoming в device/receive.go для получения
добавим в них вызовы к нашим, пока еще не созданным, функциям, передав буффер:
![[IMG]](https://lztcdn.com/files/f1ca61e8c084e89734d0309ed1eec6a61e707434de5484e70dc1266a7a276f44.webp "[IMG]")
![[IMG]](https://lztcdn.com/files/c92ede31ff9ccf40eac5086741155b218fefd020fb10ab2cdccb20f946b79e50.webp "[IMG]")
теперь самое интересное - обфускация. создаем файл device/obfuscation.go, пишем туда её логику, например банальный xor по ключу
здесь может быть все что угодно, абсолютно любой поточный шифр
![[IMG]](https://lztcdn.com/files/8f4546ab1bad96143d9bcd5de0fb105c4633f874331a88ac0bda8d2313ac8021.webp "[IMG]")
компилируем:
go build
вуаля! в итоге получаем непонятный для dpi протокол. wireshark, разумеется, тоже распознать ничего не может
![[IMG]](https://lztcdn.com/files/ad7d6e993887e95f0ac608e5d93e6be33c85dc2ecbc1112b532ccac99cb3f2a6.webp "[IMG]")
обмен пакетами идет, пиры друг друга понимают:
![[IMG]](https://lztcdn.com/files/642e8e1b64b35aed5ade58e722605356bc85cabcb59e3c19c3685fa75a40cce3.webp "[IMG]")
такие махинации можно провернуть с любым другим протоколом, если исходный код его реализации есть в открытом доступе
а нам с вами, как свободным людям, приходится им противостоять
поэтому в этой статье мы рассмотрим обфускацию wireguard трафика самым примитивным способом
великий китайский, конечно, обойти так не выйдет, там нужен кардинально иной подход, но для ркн сие действо в самый раз
примечание
так как живу я не в россии, гарантировать работоспособность чего-либо не могу
однако, на момент написания статьи, текущая реализация была проверена на нескольких подопытных кроликах с разными провайдерами
стоит отметить, что статья написана из под линуксов и применима только к ним. ещё, возможно, к семейству bsd
что там у других фашистсих ос - я не знаю. и знать не хочу
самодельная обфускация wireguard была выбрана по двум причинам:
во-первых он быстрее и легковеснее, нежели что-то сфокусированное на обходе блокировок
во-вторых это полноценный vpn, со всеми его преимуществами
анатомия блокировок
многие наслышаны о технологии dpi - глубокого анализа пакетов
без её использования блокировки достаточно просты, например блокировки доменов по dns - подмена настоящего ip-адреса сайта на подконтрольных правительству dns-серверах, либо же блокировки по ip
но уже с её использованием, просторы становятся безграничными - с трафиком можно делать всё, на что хватит фантазии и здравого смысла:
начиная подменой ответа уже от неподконтрольных dns-серверов, заканчивая выборочной блокировкой сессий, на основе анализа зашифрованных данных нейронной сетью и подтверждения догадок ии попытками установить соеденение
любые блокировки протоколов выше транспортных по модели osi относятся ко второй категории, включая наш wireguard
перейдем к практике
расписывать как поднимать wireguard пару не буду, статья у нас не об этом
запускаем wireshark, будем смотреть трафик и думать о возможных способах выявления нашего протокола
думать, в общем-то, долго не пришлось - сразу видим фиксированный размер пакета инициации хендшейка, 4 одинаковых байта в начале, криптоданные в середине и 16 нулей в конце
что-ж, с этим разобрались. самое тривиальное решение - обфусцировать весь наш wireguard трафик, чем мы и займемся
патчить будем wireguard-go, в кернелспейс без должной сноровки лезть очень опасно, к тому же компиляция этого добра - удовольствие сомнительное
добываем исходники:
git clone --depth 1 https://git.zx2c4.com/wireguard-go
сейчас наша задача - найти две функции, через которые идет вся отправка и получение данных, дабы в дальнейшем встроить туда обфускацию
если над архитектурой программы поработал хоть сколько-то смыслящий в этом деле человек - такие функции должны найтись
и правда! после нехитрых манипуляций с грепом нашлись SendBuffers в device/peer.go для отправки и RoutineReceiveIncoming в device/receive.go для получения
добавим в них вызовы к нашим, пока еще не созданным, функциям, передав буффер:
теперь самое интересное - обфускация. создаем файл device/obfuscation.go, пишем туда её логику, например банальный xor по ключу
здесь может быть все что угодно, абсолютно любой поточный шифр
компилируем:
go build
вуаля! в итоге получаем непонятный для dpi протокол. wireshark, разумеется, тоже распознать ничего не может
обмен пакетами идет, пиры друг друга понимают:
такие махинации можно провернуть с любым другим протоколом, если исходный код его реализации есть в открытом доступе
