Obfs4 что это

Маскировка трафика: что это такое и зачем нужно?

83c21270-b0a3-47b0-8491-b5fd6f0fd1b2

Маскировка трафика — это, упрощённо говоря, технология, которая позволяет сделать так, что исходящий трафик становится трудно отличить от обычного интернет-трафика. Изначально очень активно применялась для скрытия трафика Tor, но со временем ей стали пользоваться и VPN-сервисы.

2

Зачем нужна маскировка трафика?

Маскировка трафика позволяет, например, скрыть факт использования VPN или Tor (паттерн передаваемых ими пакетов данных заметно отличается на фоне обычного интернет-сёрфинга). Маскировка делает VPN- или Tor-трафик выглядящим для анализирующего оборудования как «обычное» интернет-поведение пользователя: будто просматриваются «обычные» сайты.

3

Почему функция маскировки трафика нужна/важна?

Она нужна для того, чтобы пользователь мог получить доступ к контенту во время блокировок интернета, как это происходит, например, в Китае, Иране и других странах, где почти весь интернет цензурируется или блокируется. Важна она тем, что позволяет обойти ограничения и дать людям свободу доступа к информации.

4

Каковы самые популярные инструменты маскировки?

Способов маскировки трафика достаточно много, разобрать все у нас не получится, но мы поговорим про самые популярные и известные инструменты.

obfs4 — разработанный в первую очередь для Tor транспортный протокол, который заставляет выглядеть передаваемый трафик «случайным» или «обычным», то есть усложняет анализ или блокировку тем, что изменяет пакет данных (интернет-трафик), как и все рассматриваемые транспортные протоколы. Это самый популярный инструмент, который используют VPN-сервисы, когда предоставляют услугу маскировки трафика. В использовании «были замечены» такие сервисы, как TunnelBear и CactusVPN.

meek — достаточно редкий, но значимый в сфере обхода цензуры инструмент, использующий технологию Domain Fronting, которая также используется во других инструментах (например, V2Ray). Domain fronting — это способ обойти блокировку, скрыв конечную цель соединения, используя особенности CDN (сетью доставки контента). Такие технологии позволяют сделать так, чтобы передаваемый трафик выглядел как трафик, соответствующий ситуации посещения сайтов Google, Amazon или других крупных ресурсов со своей распределённой CDN. Его использование в VPN-сервисах достаточно спорно, но, по заявлениям некоторых специалистов, ExpressVPN использует Domain Fronting в протоколе Lightway.

Shadowsocks — протокол, созданный достаточно давно, для обхода Великого китайского файрвола. Он может как использовать, так и не использовать шифрование в зависимости от настроек и кучи других деталей. С принципиальной точки зрения самой технологии, он исходит от прокси-протокола SOCKS5, но сильно отличается от него в плане разработок для шифрования и маскировки трафика. При этом в нём также оставлена возможность использования серверов без шифрования, что может негативным образом «послужить» не разбирающемуся пользователю и оставить его трафик незащищённым и легкоанализируемым. Так что, если вы не являетесь гиком, который может это настроить, полагаясь на свои знания, лучше смотреть в сторону других технологий.

5

Почему в «VPN»-расширениях нет функции маскировки трафика?

1) В современных браузерах нет возможности манипуляции трафиком.

«VPN»-расширения просто «говорят» браузеру, какой прокси-сервер и для какого сайта использовать.

2) При использовании HTTPS-прокси для анализирующего оборудования трафик итак выглядит как HTTPS и его не надо пытаться под него замаскировать.

Единственное, пока ещё не ввели новые стандарты шифрования (новый стандарт ECH, который позволяет защититься от этого уже существует, но доступен только в 107 версии Google Chrome), в таких пакетах можно увидеть, к какому имени сервера обращается браузер, когда подключается к прокси, и таким образом (по домену) понять, что, скорее всего, это прокси.

Но, во-первых, к счастью, пока что фильтрационное оборудование, в основном, не производит анализа трафика на предмет того, является ли сервер-получатель прокси, или нет, а во-вторых, есть надежда на то, что вскоре браузеры и интернет-серверы начнут поддерживать новую реализацию стандарта, где из зашифрованного пакета уже не вытащить такой информации.

Вы можете прочитать наш материал на тему «Почему VPN в браузерах не бывает?». Там можно узнать различия между VPN и proxy, и почему расширения корректно называть именно proxy.

6

Так помогает ли маскировка или нет?

С уверенностью можно сказать — да. Маскировка трафика помогает очень многим пользователям во многих странах. Специалисты исследуют вопрос блокировок и метода их обхода, тем самым помогая пользователям, так что это не только технический плюс, но и исследовательский/научный.

Right now, Tor is protecting the privacy of millions of people like you!

Это возможно благодаря пожертвованиям для нашего сообщества. If you value the privacy that Tor offers yourself and others, please make a donation today. You’ll ensure Tor continues to provide online privacy to everyone who needs it.

obfs4

развернуть

obfs4 / obfs4

Подключаемый транспорт, позволяет трафику Tor выглядеть «случайным», как и obfs3, но вдобавок препятствует цензорам искать мосты, сканируя интернет. Мосты obfs4 менее подвержены блокировкам, чем мосты obfs3.

Редактировать этот элемент — Отправить отзыв — Постоянная ссылка

Скачать Tor Browser

Скачайте Tor Browser – познайте поистине приватный интернет без слежки и цензуры.

Наша миссия:

продвижение прав и свобод человека путем создания и внедрения бесплатных технологий анонимности и конфиденциальности с открытым исходным кодом, поддержка их неограниченной доступности и использования, а также содействие их научному и общественному пониманию.

Пожертвовать

Подписывайтесь на нашу новостную рассылку

Получайте ежемесячные новости от Tor Project:

Делай добро и бросай его в воду: бесплатно поднимаем obfs4-бриджи в Oracle Cloud

Надеюсь, ты уже слегка отошёл от новогодних праздников и возвращаешься в привычную колею. Лично я эти длинные выходные терпеть ненавижу и, посмотрев, по традиции, «Хоббита» с «Властелином Колец» дня за 3-4, начинаю от скуки лезть на стену и остервенело искать, чем бы себя занять. Не стал исключением и прошедший год — в этот раз сердце успокоилось с помощью бриджей Тора, ораклового облака и вполне реальной возможности заполучить ценный лут.

Но давайте обо всём по порядку.

Вряд ли кто-то за прошедший месяц успел забыть, что в РФ, на минуточку, блокируется Тор. Меня, как пользователя сети интернет, этот факт категорически не устраивает — причём в данном случае дело даже не столько в самом факте блокировок, а в том, как организационно и технически реализован (а точнее — НЕ реализован) данный процесс.

Напомню, что РКН, ответственный за «регулирование» интернета подобными методами, доселе в основном занимался веб-сайтами — и демонстрировал при этом хоть какое-то подобие обратной связи, давая возможность зайти на соответствующий ресурс и увидеть, что вообще происходит. Ну, такие мелочи, как, скажем, основание блокировки, номер постановления и само состояние «заблокирован/ не заблокирован». Хоть какая-то информация.

В случае же Тора всё совершенно по-другому. Использование печально известных ТСПУ, ответственных за периодические «штормления» рунета, даёт возможности творить с проходящим трафиком что угодно — и не перед кем за это не отчитываться. Ну, скажем, сломать ненадолго известные популярные DNS-серверы. Или вот начать блокировать Тор. Каким образом технически реализована эта блокировка, на основании чего, какие IP-адреса затронуты — всё это тайны, покрытые мраком. Сочувствую саппортам интернет-провайдеров, к которым наверняка образовался тогда шквал звонков.

Началось всё с банального — блокировки всех или большей части входных узлов Тора. Дело это нехитрое, так как списки этих нод, так же, кстати, как и выходных — секретом не являются и доступны публично. Но Тор не позиционировался бы как инструмент обхода цензуры, если бы его так легко можно было поломать. Для таких вот случаев, когда государство или какой-то особенно упоротый провайдер начинает с ним борьбу, у Тора есть некоторое количество встроенных методов обхода — с помощью так называемых бриджей. Именно на них практически сразу и нацелились наши «регуляторы».

К сожалению, какого-то гарантированно рабочего технического способа противостоять блокировкам у Тора нет — поэтому приходится полагаться на меры организационного характера, максимально затрудняя составление полного списка бриджей. Это, например, выдача настроек с сайта или прямо из Тор Браузера после разгадывания капчи; получение бриджа по почте в ответ на входящее письмо. Как вы понимаете, при наличии достаточного админресурса все эти методы успешно компенсируются, как выразились в одном из комментариев, «ротой курсантов ФСБ, мануально перебирающих бриджи». Именно поэтому важно постоянно пополнять список бриджей, добавляя новые.

Этим, завершая слегка затянувшуюся художественную ремарку, я и решил заняться на новогодних праздниках.

Сами разработчики Тора, похоже, были совершенно со мной согласны в этом плане и до блокировок в России. Именно поэтому они ещё в середине прошлого ноября организовали кампанию «Help Censored Users, Run a Tor Bridge», направленную именно на увеличение числа бриджей. Целью было анонсировано 200 штук — и, глядя на статистику, можно сказать, что эта цель была достигнута с лихвой: за последние два месяца количество бриджей увеличилось примерно вдвое, с 1200 до 2300:

В качестве поощрения «мостоводам» они предлагают различного вида мерч — наклейки, футболки и даже худи. Этот тот самый ценный лут, о котором я говорил в первом абзаце. Но получение лута, даже от таких крутых ребят, как The Tor Project, само по себе на статью не тянет. В самом деле — кто угодно ведь может арендовать десяток виртуалок на каком-нибудь Digital Ocean или Scaleway, особого подвига в этом нет. Мне показалось интересным усложнить себе задачу, попытавшись проделать то же самое, но без каких-либо финансовых вложений.

На этом этапе я припомнил, что в середине прошлого года Oracle анонсировал расширение линейки инстансов, доступных по программе Always Free, виртуалками на базе ARM-процессоров Ampere (на Хабре про это даже писали). Интересность новых инстансов заключается в том, что они, в отличие от предлагаемых ранее, обладают не всего одним гигабайтом памяти, а целыми шестью. Кроме того — вместо двух экземпляров x86-виртуалок, «армовских» можно запустить целых четыре (или две двойных, или одну мега-квадро-виртуалку с 4 ядрами и 24 ГБ ОЗУ).

Процесс регистрации, ограничения и неочевидные моменты программы Always Free Tier неплохо расписаны в статье по линку в прошлом параграфе, дублировать информацию я не буду. Заполнив все необходимые поля, подтвердив почтовый адрес и привязав банковскую карту (для людей с повышенной тревожностью — её в любой момент можно отвязать, ничего не потеряв), вы оказываетесь в панели управления облаком, где нас в первую очередь интересует раздел Compute > Instances. Он, разумеется, девственно чист — но это ненадолго. Без сомнений кликайте кнопку «Create instance» — и поехали!

По умолчанию нам предлагают совсем не ту «форму» виртуалки, как это называется у Оракла, которую хотелось бы. Меняем в настройках вид процессора на Ampere, shape — на VM.Standard.A1.Flex, а ОС — на ту, которая вам ближе. Я, поскольку вожу давнюю дружбу с Дебианом (но его в списке нет), выбрал банальную Убунту, имейте этот факт в виду при дальнейшем чтении. Не забудьте при создании скачать SSH-ключ для доступа или закинуть собственный публичный.

Кажется, что уже можно ломиться в консоль новорожденного сервера и творить непотребства — но перед этим придётся задержаться в браузере ещё на минуту, чтобы заранее открыть нужные для функционирования бриджа порты (а также, по желанию, ограничить SSH-доступ доверенными адресами). Делается это в разделе Networking > Virtual Cloud Networks, после чего необходимо зайти в единственную доступную сеть, и далее в Security Lists, где нужно добавить ingress-правило, открыв два любых незанятых TCP-порта на 0.0.0.0/0. В моём случае это 8443 и 443.

Вот теперь ничто не мешает нам залогиниться на виртуалку, где нужно проделать буквально несколько манипуляций из-под рута:

Установить нужные для Докера зависимости и добавить его репозиторий в ОС.

apt update apt install -y ca-certificates curl gnupg lsb-release curl -fsSL https://download.docker.com/linux/ubuntu/gpg | sudo gpg --dearmor -o /usr/share/keyrings/docker-archive-keyring.gpg echo \ "deb [arch=$(dpkg --print-architecture) signed-by=/usr/share/keyrings/docker-archive-keyring.gpg] https://download.docker.com/linux/ubuntu \ $(lsb_release -cs) stable" | sudo tee /etc/apt/sources.list.d/docker.list > /dev/null

Установить зависимости для docker-compose и установить его самого с помощью pip.

apt update apt install -y curl python3-pip libffi-dev python-openssl libssl-dev zlib1g-dev gcc g++ make docker-ce iptables-persistent pip3 install docker-compose

Внимательные читатели наверняка заметили, что мы зачем-то установили кажущийся лишним пакет iptables-persistent. Это не просто так, нюанс в том, что в Oracle Cloud по умолчанию фаерволл работает не только на уровне всей сети, но и на самих виртуальных машинах (при этом хостер добавляет пачку своих правил — в такой ситуации просто обнулять iptables я не решился), поэтому нам нужно будет открыть наши порты ещё и внутри. Делается это элементарно — достаточно добавить два соответствующих правила в начало цепочки INPUT, например, скопировав их в /etc/iptables/rules.v4:

-A INPUT -p tcp -m state --state NEW -m tcp --dport 443 -j ACCEPT -A INPUT -p tcp -m state --state NEW -m tcp --dport 8443 -j ACCEPT

После данной манипуляции нужно не забыть обновить настройки фаерволла и рестартовать сервис контейнеризации:

iptables-restore /etc/iptables/rules.v4 service docker restart

На данном этапе мы получили полностью готовое к разворачиванию бриджа окружение, осталось только установить и запустить сам контейнер. Для этого нам понадобятся всего два файла, которые можно скачать прямо из репозитория проекта:

wget https://gitlab.torproject.org/tpo/anti-censorship/docker-obfs4-bridge/-/raw/main/docker-compose.yml wget https://gitlab.torproject.org/tpo/anti-censorship/docker-obfs4-bridge/-/raw/main/.env

Первый представляет собой шаблон для Докера, описывающий загрузку и конфигурацию контейнера. Второй — файл с настройками, который нужно будет заполнить вручную, введя номера портов и почту для связи с владельцем ноды. При желании бридж можно как-то назвать. Кроме того, в разделе с параметрами, пробрасываемыми Тору, нужно будет отключить IPv6 и явным образом указать внешний адрес виртуалки (по идее, он должен определяться автоматически, но у меня почему-то не заработало, а разобраться руки не дошли). В результате наш .env должен принять примерно такой вид:

# Set required variables OR_PORT=8443 PT_PORT=443 EMAIL=changeme@gmail.com # If you want, you could change the nickname of your bridge NICKNAME=helloandgtforkn1 # If needed, activate additional variables processing OBFS4_ENABLE_ADDITIONAL_VARIABLES=1 OBFS4V_AddressDisableIPv6=1 OBFS4V_Address=81.177.103.94

Проделав всё это, вполне можно попробовать запустить ваш бридж:

docker-compose up -d

Если всё в порядке, спустя несколько секунд, проверив с помощью docker-compose logs логи, вы должны увидеть радостную надпись «Self-testing indicates your ORPort 81.177.103.94:8443 is reachable from the outside. Excellent. Publishing server descriptor».

В принципе, на этом можно было бы и закончить, поскольку бридж в таком состоянии уже полностью работоспособен.

Но если вы, так же, как и я, возжелаете халявного мерча от The Tor Project, то придётся выполнить ещё пару шагов. Во-первых, нужно получить данные бриджа — делается это командой docker exec %container-id% get-bridge-line (идентификатор контейнера можно посмотреть в первой колонке вывода docker ps). Полученную строку (или строки, если вы решили запустить несколько бриджей) в соответствии с правилами эвента необходимо отправить с той почты, которую вы указали в настройках, на frontdesk@torproject.org. Кроме того, зачем-то нужно отписаться на форуме в соответствующей теме , скопировав туда хэшированный (не перепутайте, это важно!) ключ вашей ноды. Сделать это можно, погрепав лог контейнера по фразе «Your Tor bridge’s hashed identity key».

Если что-то пошло не так

Если get-bridge-line у вас, как и у меня, почему-то не заработал (подозреваю, что это вот этот баг, но скорее рано, чем поздно, его починят), можно получить те же данные руками:

Скопировать из лога контейнера фингерпринт сервера, погрепав его по фразе «Your Tor server’s identity key fingerprint» — это строка из 40 символов вида 50065F50AB29D4F5FCA70314A8D8EBE6B9C9F87B.
Скопировать последнюю строку вывода команды docker exec %container-id% cat /var/lib/tor/pt_state/obfs4_bridgeline.txt, отчекрыжить слово Bridge и заменить поля «», «» и «» на внешний адрес вашей виртуалки, порт obfs4-бриджа (в моём конфиге это 443, переменная PT_PORT) и нагрепанный из лога фингерпринт.

Получиться должно вот такое:

obfs4 81.177.103.94:443 50065F50AB29D4F5FCA70314A8D8EBE6B9C9F87B cert=MEbrh3SdwDIPnVqnw+A6BMylU6IjGIG2mitDeZrNtnhN6CyQXOOHj2VvZpV3TRU6fHLzJw iat-mode=0

На этом наши манипуляции завершены — мы получили работающий obfs4-бридж, который хоть немного, возможно ненадолго, но поможет пользователям Тора в РФ и других странах, где «регулируют интернет».

Если награды от разработчиков вас не прельщают, просто запустите несколько инстансов, никуда ничего не отправляя — бридж самостоятельно зарегистрируется в сети и через некоторое время можно будет посмотреть на него по ссылке вида https://bridges.torproject.org/status?id=%hashed-server-id%. А вы после такого непременно получите жирный плюс в карму.

Благодарю за внимание, хорошей вам связности и стабильного резолва.

Настройка мостов в браузере Тор

Загрузка Yandex Pack

Мы понимаем, что доступ к информации — это не только важно, но и критически важно. Мы понимаем, что в наше время большинство сайтов и сервисов, даже незначительно связанных с интернетом, требуют регистрации и прохождения сложных процедур проверки личности, что противоречит идеалам свободного доступа к информации и частной жизни. К счастью, есть инструменты, которые позволяют обойти эти ограничения. Tor Browser является одним из них.

Как настроить мосты в Tor Browser?

Tor Browser — это браузер, который помогает сохранить анонимность в интернете. Он работает путем перенаправления вашего трафика через сеть узлов, которые анонимизируют его. Таким образом, ваши данные не могут быть связаны с вашим реальным IP-адресом, и вы можете обойти ограничения, установленные вашим провайдером интернет-услуг.

Однако иногда настройки браузера могут быть заблокированы. В этом случае вам нужно будет использовать мосты. Мосты — это специальные серверы, которые позволяют вам обходить блокировки Tor.

Итак, мосты — это серверы, которые неизвестны центральным серверам Tor. Они используются для обхода блокировок и цензуры Интернета, которые могут препятствовать доступу к сети Tor. Мосты не публикуются на официальных сайтах Tor, чтобы предотвратить их блокировку, поэтому вы должны получить их адреса от надежных источников, таких как официальные рассылки Tor или другие доверенные источники.

Чтобы настроить мосты в Tor Browser, вам нужно сделать следующее:

Откройте Tor Browser.
Нажмите на кнопку «Tor Network Settings» (Настройки сети Tor).
Нажмите на кнопку «Configure» (Настроить) под разделом «Tor is censored in my country» (Tor заблокирован в моей стране).
Выберите опцию «I need to use a bridge to connect to Tor» (Мне нужно использовать мост, чтобы подключиться к Tor).
Выберите тип моста, который вы хотите использовать. Tor Browser предлагает три варианта: «Obfs4», «Meek» и «Snowflake». Обратите внимание, что каждый тип моста имеет свои особенности и может не работать в некоторых случаях.
Введите адрес моста, который вы хотите использовать. Вы можете найти список адресов мостов на официальном сайте Tor.

Как только вы введете адрес моста, браузер попытается использовать его для подключения к сети Tor. Если мост не работает, попробуйте выбрать другой тип моста или другой адрес.

Другие причины, по которым вы можете использовать мосты, могут включать блокировку Tor в вашей стране или наличие цензуры в вашей сети. В любом случае, использование мостов — это простой и эффективный способ сохранить доступ к интернету и обойти любые ограничения.

Теперь давайте более подробно рассмотрим три типа мостов, которые предлагает Tor Browser:

Obfs4 — это протокол, который используется для обхода блокировок Tor. Он скрывает трафик, делая его похожим на обычный трафик интернет-сервисов, таких как Skype или HTTPS. Obfs4 является одним из самых надежных и эффективных типов мостов, которые вы можете использовать.

Meek — это другой тип моста, который используется для обхода блокировок. Он перенаправляет трафик через обычные HTTPS-сайты, такие как Google или Amazon. Это делает трафик труднее для блокировки, поскольку он выглядит как трафик HTTPS. Meek не такой надежный, как Obfs4, но он может работать в тех случаях, когда другие типы мостов заблокированы.

Snowflake — это самый новый тип моста, который предлагает Тор. Он использует браузерные прокси-серверы, чтобы помочь пользователям обойти блокировки. Этот тип моста является экспериментальным и может не работать в некоторых случаях.

Теперь вы знаете, как настроить мосты в Tor Browser и какие типы мостов вы можете использовать для обхода блокировок. Надеемся, что эта информация будет полезной для вас, и поможет сохранить вашу анонимность и свободный доступ к интернету.