VPN Gate, або розподілена мережа VPN, що не вбивається Великим Китайським Файрволом


VPN Gate, або розподілена мережа VPN, що не вбивається Великим Китайським Файрволом

Грабовий
хв

Сьогодні мова піде про розподілений VPN Gate, свого роду ворога Піднебесної в області інтернет цензури. На Хабре багато статей на тему SoftEther VPN (нижчий шар VPN Gate), але немає жодної технічно всебічної статті про саму розподілену мережу і таке почуття, що про неї взагалі забули.

VPN Gate – академічний експеримент Дайу Ноборі з 2013 року. Проект є інтернет-сервіс наукових досліджень у Вищій Школі Університету Цукуба, Японія. Мета цього дослідження полягає у розширенні знань «Глобальних розподілених відкритих ретрансляторів VPN».

Відмінною рисою цієї мережі є її функціонування як роя. Тобто, кожен бажаючий користувач може поділитися своєю пропускною здатністю іншими. Я знаю, що ви подумали, що черговий невдалий dVPN піар на основі блокчейну.

Однак цей проект вже налічує 8634 вузлів та 534 петабайти трафіку за весь час існування. Навіть у TOR-а вузлів – 7 тисяч.

Основними користувачами є китайці у зв'язку з успішною архітектурою боротьби проти активних проб Великого Китайського Файрвола.

Встановлення GUI клієнта, сервера із вбудованим плагіном здійснюється через власний сайт VPN Gate . Кожен згенерований zip білд програми відрізняється розміром, щоб ускладнити DPI аналіз даних усередині. Також до нього записуються рандомні адреси серверів VPN, якщо початкові сервери VPN Gate для отримання списків будуть заблоковані.

Але як на мене найбільшим успіхом команди проекту було прикручування NAT Hole Punching, де кожен користувач навіть без білого IP міг би поділитися своєю пропускною здатністю. Жодної реєстрації.

Запитайте ви, чому Китайський Файрволл (GFW — Great Firewall of China) ще його не заблокував, тут починається хронологія боротьби між силами добра і зла:

Відразу після початку проекту, перші 4 дні наплив більшості користувачів був саме з Китаю, 5к користувачів разом наринули на сервіс.

На п'ятий день GFW заблокував основний сайт VPN Gate. Користувачі почали ділитися на порталах як Weibo.

Тоді GFW почав блокувати сервери, отримуючи їх з головної сторінки проекту, тільки вони зробили помилку, вони не перевіряли IP адреси на легімітність, і тоді команди проекту кидає на стіл ось таку штуку:

Вони починають змішувати рандомні IP адреси зі списком, протягом трьох днів вони мають повний контроль над тим, що блокує GFW, вони ламають внутрішні сайти Китаю.

Через деякий час GFW починає перевіряти кожну IP адресу шляхом потужної технології DPI, яка називається active probing . Це коли на кожну запитану користувачем віддалену IP адресу спочатку відправляється рандомний GFW бот (з рандомного IP) з тест запитом, і якщо в отриманій відповіді містяться заборонені фільтром слова, віддалена IP адреса блокується.

Але оскільки кількість серверів VPN Gate велика, то у мережі перевага, що якщо клієнти надсилатимуть на перевірку кожен короткочасний запит від вузлів, які хотіли до них підключитися?

Хлопці автоматично почали обробляти такі запити у себе на сервері, так як у провайдерів піднебесної великий пул адрес, одиночним серверам не завжди вдається дізнатися айпишник бота, який їх просканив і видав на страту GFW.

Але якщо враховувати статистику з усіх вузлів, до яких одночасно в короткому інтервалі підключаються та відключаються айпишники, їх можна відсіяти і заблокувати. Таким чином мережа відображає спроби GFW ботів знайти їх. До того ж вона видає лише обмежений список серверів користувачам, таким чином навіть якщо одночасно з 16 мільйонів (за деякими даними, є навіть іноземні пули) IP адрес GFW спробує просканувати мережу, у нього це не вийде.

Динамічні IP-адреси учасників за NAT також відіграли позитивну роль у доступності мережі.

VPN сервери оперують на чотирьох протоколах: SSL-VPN, OpenVPN, L2TP/IPsec, MS-SSTP.

Будь-яким бажаючим допомогти, яким не шкода поділитися інтернет каналом, можуть завантажити пакет сервера, який налаштовується за 5-6 кліків. Також можна вказати своє повідомлення користувачам при підключенні, залишити адресу пошти для зв'язку - є деяке підстрахування від silovikov, клієнт зберігає пакети підключень два тижні (можете порадувати Ярову і поставити на 30 днів, жартую), швидкість також можна налаштувати, є вбудований файрвол з налаштуваннями безпеки, тобто. ваші локальні адреси безпеки, установка без прав адміністратора.

Тим, хто хоче підключитися, можна скачати пакет клієнта. Є можливість вибирати країни з найкращим пінгом та пропускною спроможністю.


Просмотры:

Коментарі

Популярні публікації