۲۰ فروردین، ۱۳۹۴

سیستم جدید فیلترینگ برای بلوک کردن ارتباطات رمزنگاری شده است. 2015

رزا: با تشکر از کامنت انتیپومو، کامنت را در زیر قرار میدهم. همچنین دوستانی که هنوز از برنامه ی چت وایبر استفاده میکنند لطفن مطلب اینجا را بخوانند.
من کمی در وب جستجو کردم و پیشنهاداتی را که برای عبور از دیوار آتشین چین (فیلترینگ هوشمند) توصیه شده را جمع آوری کردم. برای خواندن کُل مطلب روی تیترها کلیک کنیم. در ضمن این پُست با اطلاعات جدید مرتب به روز خواهد شد.
همه ی دانش
برای همه...
 مروری بر رمزنگاری شخصی – عمومیEnigmail، GnuPG


انتیپومو: در مورد فیلترینگ کامنتت رو خوندم مثل اینکه خبر نداری از فیلترینگ جدید، سیستم جدید فیلترینگ
برای بلوک کردن ارتباطات رمزنگاری شده است یه چیز تو مایه های فایروال چین، یعنی از چندین لایه تشکیل شده تی سی پی و یو دی پی با قانونهای مخصوصی بسته میشن ولی http نه، تو لایه های بعدی ارتباط ایپی های داخل و خارج محدودتر میشن با مقداری رد و بدل کردن دیتا ... خلاصه وضعیت طوریه که مردم بصورت ناخوداگاه و خودجوش Failover میکنند و خبر ندارند مشکل از سرعت پایین نت نیست بلکه از سیستم فیلترینگ جدیده برای همین صداش در نیومده
فعلا پکت ها بعضی اوقات دراپ میشه پینگم رد میشه و بهترین کار استفاده از تونل icmp برای انتقال پکت ها به لایه های بالاتره
امیدوارم این روند موقتی باشه وگرنه اگر بخوان فایروال چین رو کپی کنند ارتباط به خارج همچنان باقی خواهد مونداما بدون رمزگزاری و این یعنی ردیابی افراد
 دیدم اسم وایبر رو اوردی خواستم بگم وایبر اوضاش خرابه
http://meidaan.com/archive/1229
البته خودم هم تست کردم مقدار دیتایی که میفرسته یخورده بیشتر از دیگر مسنجرهاست اما اونقدر این وایبر سبک و سریعه که همه گیر شده



اخرین وضعیت از سرویس ها : کریو : کیفیت خیلی پایین ( وصل میشه ولی سرعت دریافت اطلاعات کمتر از 2 کیلوبات)
اوپی وی پی ان : کیفیت پایین
سیسکو : کیفیت عالی
اس تونل : کیفیت عالی
یوزر رایگان جهت اتصال به سرویس های ما
user : Night-VPN
password : Night-VPN



انتیپومو: دوستان داخل برای دستیابی به tor ودانلود امکانات این پست نیاز به آنتی فیلتر با سرعت بالا دارند
فعلا اولتراسورف در بستر https سرعت بالاتری دارد و فقط هر یک ساعت یکبار در بعضی ispهای معروفتر قطع میشود
پس فعلا برای استفاده از بالاترین سرعت
127.0.0.1:9666
روی https بروزرها و یا دانلود منجرها ست شود و پورت های دیگر آنتی فیلترها روی http ست شود.
اگر از پروکسی فایر یا کریو استفاده میشود قانون دایرکت برای اولتراسورف ایجاد شود.


همانطور که اخیراً بسیاریتون تجربه نمودید، دولت ایران یکی دو سالی حداقل هست که احتمالاً با کمک چین، داره سیستم مشابهی همچون "فایروال بزرگ چین" (Great Firewall of China یا به اختصار در اینترنت به عنوان GFW) رو راه اندازی میکنه.

نحوه ی کارکرد این سیستم به این شکله که با بکارگیری روش های Deep Packet Inspection (بررسی عمیق پاکت های ارتباطی) یه تشخیص نسبتاً سطحی میده که مثلاً روی فلان پورت از فلان پروتوکل، چه نوع ترافیکی داره رد و بدل میشه؛ اینکه مثلاً آیا این ترافیک متن عادی مثل http هست، ترافیک remote desktop هست، ترافیک رمزنگاری شده ی ssl https هست (حتی روش رمزنگاری)، یا ترافیک مثلاً فلان روش tunneling اطلاعات و ارتباطات به صورت رمزنگاری شده هست و غیره... پتانسیل این سیستم تا حتی حملات میان-شبکه ای و شنود اطلاعات رمزنگاری شده هم میتونه پیش بره، همونطور که چند سال پیش مشاهده میشد (البته اگر بخوان همه رو شنود کنن خیلی سخته، فقط برخی رو روشون زوم میکنن)...

توضیحات مفصل و بحث در این روابط رو در اینجا میتونید بخونید و دنبال کنید: http://www.no-filter.com/forum/showthread.php/6674


یکی از روش های کارآمد برای جلوگیری از این شناسایی نوع پکت ها و نتیجتاً پیشگیری از ایجاد محدودیت ها و اختلالات بر اساس نوع پکت ها که سال هاست به طور پراکنده وجود داشته و روش بحث و کار شده، به هم ریختن اطلاعات پکت ها و header های این پکت ها به شکلی هست که قابل تشخیص نباشن! این کاری هست که روش های obfuscation و scrambling اصولاً بهش فکر میکنن.

تا جایی که اطلاعات دارم، پس از ایجاد و راه اندازی مراحل اولیه ی فایروال عظیم چین که اصولاً از vpn های عادی و openvpn تا tor و غیره رو دچار اختلال کرد، توسعه دهندگان و جامعه ی پروژه ی بزرگ TOR به این فکر افتادن که روشی برای مقابله بیابن که نتیجه ـش بهبود و ایجاد روشی برای traffic obfuscation و گنجاندنش داخل پکیج TOR بود و در طی سال های اخیر، سعی کردن تا بهتر و بهتر بشه؛ همچنین روش های در هم و برهم کردن جدیدی هم بهش افزودن.

نام برنامه obfsproxy هست و نحوه ی کارش به این شکله:


هدف وجودی meek، یک برنامه ی سبک هست که روی سرویس هایی مثل سرویس های cloud hosting که google, amazon, microsoft ارائه میدن، بدون کُندی کار کرده و ترافیک رو فوروارد کنه به مقصد مدنظرتون.

مسلماً روی هر وب سرور دیگری هم نباید مشکلی داشته باشه اجراش، ولی هدف این هست که سانسورچی، تصور کنه شما با آدرس هایی همچون google.com یا سرورهای amazon, microsoft در ارتباطی (که هستی) و امید به این هست که با توجه به اینکه سرورها و ارتباطات رمزنگاری شده با این سایت های معروف و پر استفاده، بلوکه، مختل، و فیلتر نمیشوند، شما بتونید از کاور نام دامنه ی مثلاً google.com استفاده کنید و ترافیکتون به نظر بیاد یه ارتباط رمزنگاری شده ی عادی با سرور های google هست!

اصولاً بسیاری از سرویس های اینترنتی، از سرورهای cloud شرکت هایی همچون google, amazon, microsoft استفاده میکنن (که اغلب پلن های رایگان با ترافیک، cpu/ram، و درکل منابع محدود رایگان هم دارن که مثلاً روزی یک گیگ پهنای باند داره یا کمتر!)؛ برای سانسورچی، تصمیم ساده ای نیست که بخواد ترافیک انتقالی به این سرورها رو مختل کنه که باعث بشه سرویس های اینترنتی بسیاری، از جمله دسترسی به سایت های اصلی این شرکت ها، دچار اختلال بشه. روش برعکس (ایجاد whitelist از پکت ها) هم بسیار وقتگیر و انرژی-بر هست، و نتیجه ی قطعی شک دارم بده برای اهداف سانسورچی و نهایتاً هر اقدامی علیه این سرورها، باعث اختلال در سرویس های محبوب اینترنتی ممکنه بشه کم و بیش...



"کلاینت این برنامه، یک اتصال دائمی ثابت با سرور برقرار نمیکنه و فقط نقش میانی این وسط داره برای شکل دادن به دیتا به شکلی که طرف سرور بشناسدش" که به این معنی است که پروتکلش همون پروتکل مورد استفاده ی برنامه فیلترشکن خودمونه. البته اینطور که در پست 14 گفتید ممکنه بتونه از پروتکل http هم استفاده کنه. درسته؟)

تا جایی که میبینم، این روش های فعلی به جز یکی که در حال ساخته، بر بستر tcp کار میکنن و اطلاعات رو در شکل های مختلفی، بعضاً بی معنی، بعضاً به شکلی که به نظر بیاد فرمت های شناخته شده ای هستن که احتمالاً سانسورچی آزادشون گذاشته، و بعضاً بصورت ارتباطات http و حتی با گول زدن به اینکه انگار شما دارید با https://www.google.com به عنوان یک مرورگر وب صحبت میکنید (meek)، و غیره کار میکنن (البته من خودم هنوز meek رو تست نکردم که ببینم آیا فقط برای ترافیک tor طراحی شده یا هر چیزی رو عبور میده). در لایه ی اول هم برخیشون به صورت tls رمزنگاری رو انجام میدن تا باطن رو مخفی نگه دارن؛ ولی کاری میکنن که حتی ظاهر هم خوانا نباشه برای سانسورکننده و به نظر بیاد بایت های رندوم هستن...


در دو لینک ویکی زیر، به طور کامل و حتی با شکل، هر یک توضیح داده شدن + لینک به توضیحات توسعه دهندگان هر یک:

به شخصه Bananaphone برام جالب بود
 


 برای خواندن ادامه روی اینجا کلیک کنیم


درود بر عزیزان

همانطور که اخیراً بسیاریتون تجربه نمودید، دولت ایران یکی دو سالی حداقل هست که احتمالاً با کمک چین، داره سیستم مشابهی همچون "فایروال بزرگ چین" (Great Firewall of China یا به اختصار در اینترنت به عنوان GFW) رو راه اندازی میکنه.

نحوه ی کارکرد این سیستم به این شکله که با بکارگیری روش های Deep Packet Inspection (بررسی عمیق پاکت های ارتباطی) یه تشخیص نسبتاً سطحی میده که مثلاً روی فلان پورت از فلان پروتوکل، چه نوع ترافیکی داره رد و بدل میشه؛ اینکه مثلاً آیا این ترافیک متن عادی مثل http هست، ترافیک remote desktop هست، ترافیک رمزنگاری شده ی ssl https هست (حتی روش رمزنگاری)، یا ترافیک مثلاً فلان روش tunneling اطلاعات و ارتباطات به صورت رمزنگاری شده هست و غیره... پتانسیل این سیستم تا حتی حملات میان-شبکه ای و شنود اطلاعات رمزنگاری شده هم میتونه پیش بره، همونطور که چند سال پیش مشاهده میشد (البته اگر بخوان همه رو شنود کنن خیلی سخته، فقط برخی رو روشون زوم میکنن)...

توضیحات مفصل و بحث در این روابط رو در اینجا میتونید بخونید و دنبال کنید: http://www.no-filter.com/forum/showthread.php/6674

یکی از روش های کارآمد برای جلوگیری از این شناسایی نوع پکت ها و نتیجتاً پیشگیری از ایجاد محدودیت ها و اختلالات بر اساس نوع پکت ها که سال هاست به طور پراکنده وجود داشته و روش بحث و کار شده، به هم ریختن اطلاعات پکت ها و header های این پکت ها به شکلی هست که قابل تشخیص نباشن! این کاری هست که روش های obfuscation و scrambling اصولاً بهش فکر میکنن.
تا جایی که اطلاعات دارم، پس از ایجاد و راه اندازی مراحل اولیه ی فایروال عظیم چین که اصولاً از vpn های عادی و openvpn تا tor و غیره رو دچار اختلال کرد، توسعه دهندگان و جامعه ی پروژه ی بزرگ TOR به این فکر افتادن که روشی برای مقابله بیابن که نتیجه ـش بهبود و ایجاد روشی برای traffic obfuscation و گنجاندنش داخل پکیج TOR بود و در طی سال های اخیر، سعی کردن تا بهتر و بهتر بشه؛ همچنین روش های در هم و برهم کردن جدیدی هم بهش افزودن.
نام برنامه obfsproxy هست و نحوه ی کارش به این شکله:
- در سمت سرور، برنامه رو تنظیم میکنید که روی فلان پورت tcp به گوش بنشینه و اطلاعات دریافتی رو به فلان پورت روی سرور forward کنه. این بخشش تفاوتی با بسیاری برنامه های دیگه نداره ولی بخش مهمش اینه که میتونید براش روش های درهم ریزی متفاوت رو تعریف کنید که بعضاً تشخیصشون بسیار سخته توسط سیستم هایی همچون GFW چین و DPI ها.

- در سمت کلاینت به این شکل هست که شما فقط به برنامه، روش درهم ریزی رو میگید و تعریف میکنید که روی فلان پورت محلی، به گوش بنشینه. بعد برای مثال در openvpn تعریف میکنید که از اون پورت محلی، به عنوان پراکسی استفاده کنه برای اتصال به IP سرور روی پورتی که obfsproxy روش به گوش نشسته تا فوروارد کنه به پورت openvpn server.

این برنامه رو هم میتونید سورسش رو بگیرید که بر اساس زبان Python نوشته شده و خودتون کامپایل کنید با توضیحات اینجا:
https://www.torproject.org/projects/...n#instructions

هم اینکه این برنامه به صورت از پیش کامپایل شده و آماده، داخل پکیج TOR Browser موجوده به علاوه ی کتابخوانه های python ی که نیاز داره، پس نتیجتاً نیازی نیست که حتماً python رو روی سیستم نصب و مسیرهاش رو مشخص کنید تا سیستم عامل و برنامه ها بشناسنش!

حالا میرسیم به آموزش:
این آموزش بر اساس نسخه ی ویندوزی پکیج Tor و این برنامه هست، ولی اصولاً دستورات برنامه در سیستم عامل های مختلف یکسانه.
ابتدا پکیج Tor Browser رو از اینجا دانلود کنید:

https://www.torproject.org/download/download-easy.html.en


پس از دانلود torbrowser-install-x.x.x_en-US.exe اجراش کنید که ازتون میپرسه کجا نصب کنه و غیره. درواقع این فایل فقط یه آرشیو zip هست و extract میکنه.

سپس به مسیر نصب برید و میتونید obfsproxy.exe رو اونجا بیابید:

کد:
.\Tor Browser\Browser\TorBrowser\Tor\PluggableTransports\
حالا که پیداش کردید، از منوی start یه cmd.exe باز کنید. به آدرسی که obfsproxy.exe توشه برید. برای رفتن بین پوشه ها در فضای متن فرمان، به این صورت کار میکنید:

کد:
cd "C:\Users\USERNAME\Desktop\Tor Browser\Browser\TorBrowser\Tor\PluggableTransports"
* اوایل نام فولدر رو بزنید و بعد دکمه tab کیبورد رو، خودش پر میکنه جای خالی رو... البته که میتونید فولدر PluggableTransports رو کپی کنید جای دیگه ای که آدرسش سر راست تر هست؛ هیچ وابستگی ای به بخش های دیگر Tor ندارن برنامه های داخل اون فولدر!

خوب حالا یک مثال اجرای این برنامه رو تست میکنیم؛ برای این مثال، من OpenVPN استفاده میکنم ولی مسلماً برنامه های سریع تر و بهتری هم هستن:

تصور کنید که OpenVPN روی سرور بر روی پورت tcp:555 به گوش نشسته. میخوایم که obfsproxy ارتباطات رو از اینترنت، روی پورت tcp:666 بگیره و به 127.0.0.1:555 فوروارد کنه.

در سمت سرور مینویسیم:

کد:
obfsproxy.exe --log-min-severity=info obfs2 --shared-secret=FlyingSpaghetti --dest=127.0.0.1:555 server 0.0.0.0:666


در سمت کلاینت مینویسیم:

کد:
obfsproxy.exe --log-min-severity=info obfs2 --shared-secret=FlyingSpaghetti socks 0.0.0.0:999


حالا کلاینت obfsproxy روی پورت tcp:999 به گوش نشسته تا هر اطلاعاتی دریافت میکنه رو با جزئیاتی که بهش دادیم، درهم و برهم کنه!

حالا در مثلاً کانفیک openvpn client این خطوط رو اضافه و save میکنیم:

کد:
socks-proxy-retry
socks-proxy 127.0.0.1 999


و Connect و تمام...



سرعت من با این روش از حالت عادی هم بالاتر بود و با توجه به اختلالات اخیر، اختلالات رفع میشن تا حد زیادی یا حتی کلاً!

سرعت با OpenVPN حدود 200 کیلوبایت برثانیه، سرعت دانلود از طریق چیزی مثل NeoRouter یا دیگر روش های سبک تر و سریعتر، بالای 500 کیلوبایت بر ثانیه که حداقل 2 برابر سرعت سابق من با این روش ها هست (حداکثر سرعت اتصال من 700 هستش).



اصولاً مصارف این برنامه فقط محدود به OpenVPN نیست و هر چیزی از پراکسی ساپورت کنه رو میتونید درونش تونل کنید. خودش هم به تنهایی اگر وصلش کنید به مثلاً ccproxy، به عنوان آنتی فیلتر کار میکنه ولی اصلاً توصیه نمیشه چون رمزنگاری جدی ای در این روش درکار نیست و اطلاعات رد و بدلی اگر چنین کاری کنید، امنیت چندانی نخواهند داشت. توصیه میکنم از تونل کردن تونل های رمزنگاری نشده داخل این برنامه و فروشش به مردم ناآگاه خودداری کنید عزیزان...

این آموزش به رایگان در اختیار شما قرار گرفته، از چاپیدن هموطنانتان برای یک کار ساده بپرهیزید و مثل غارتگرانی نباشید که مملکت رو گرفتن دستشون!

چند نکته:
- برای راهنمایی درباره ی هر بخش از برنامه و مشاهده ی commands موجود، بنویسید obfsproxy -h . برای مثال obfsproxy obfs2 -h

- قسمت --log-min-severity=info همونطور که مشخصه، کارش نمایش log عملیات هست و درجات متفاوتی غیر از info هم داره؛ میتونید حذفش کنید.

- قسمت obfs2 یکی از روش های درهم کردن اطلاعات توسط این برنامه هست، obfs3 و غیره هم هستن که بعضاً ممکنه کندتر هم باشن. بزنید obfsproxy -h برای اطلاعات بیشتر.

- قسمت --shared-secret=FlyingSpaghetti به نوعی یک پسورد هست که بر اساسش، obfs2 اطلاعات رو به صورت "منحصر به فردی" در هم برهم کرده و این اطلاعات فقط با همین کلید قابل بازگشایی در طرف دیگرند. هم برای امنیت مهمه و هم قابلیت شناسایی ارتباط کاهش میابه و اختلال، بسیار دیرتر رخ میده یا شاید هرگز رخ نده (برای من کلاً رفع شده). FlyingSpaghetti یک مثال بود و هر کلیدی میتونید بگذارید. البته که این بخش اجباری نیست و میتونید پسورد نگذارید و بدون --shared-secret=whatever هم کار میکنه، ولی عدم وجود یک پسوردی که نوع درهم کردن رو منحصربفرد کنه، باعث میشه که شناسایی ارتباط توسط سیستم فیلترینگ بسیار ساده تر بشه، تا جایی که دیدم دیری نمیپایه تا شناسایی و دچار اختلالش کنه (به هر حال چینیا زیاد روی این سیستم و جوانب امر کار کردن)!

- در کل تونل هایی که نیازمند ارتباطی به شدت پایدار نباشن، سرعتشون بالاتره. خود برنامه، یه مقدار خیلی کمی تأخیر رو میبره بالا ولی توسعه دهندگان Tor، همواره سعیشون رو میکنن که بهتر بشه. نسخه های جدیدش رو از tor repository یا داخل همین پکیج های رسمی tor میتونید بیابید.


- softether vpn client متأسفانه فقط از socks v4 ساپورت میکنه و این برنامه سمت کلاینتش فقط socks v5 هست؛ نتیجتاً کار نمیکنه! حوصله نداشتم بگردم ببینم میشه کاری کرد softether از socks5 ساپورت کنه یا نه، اگر میدونید بنویسید برای دوستان. البته این تأثیری در فانکشن openvpn در softether vpn Server نداره اگر از طریق openvpn client در دستگاه کلاینتتون وصل میشید چون این ساپورت میکنه.

- در سمت کلاینت به جای 0.0.0.0 میتونید بزنید 127.0.0.1 تا دیگر افراد داخل شبکه ی محلی بهش دسترسی نداشته باشن.

- udp هم اگر برنامه ی مورد نظرتون ساپورت کنه، باید بتونید توش تونل کنید (مثلاً کریو و ovpn over udp) و نباید مشکلی باشه...

------ Upadte ------


اتصال بدون نیاز به استفاده از socks5 proxy داخل برنامه (روش بهتر نسبت به پست اصلی، ارتباط مستقیم و بی نیاز به تعریف socks5 proxy داخل openvpn/vpn/softether/stunnel/غیره)

در سمت کلاینت، اگر میخواید مستقیم ارتباط برقرار کنید و نه از طریق socks5 proxy تا برنامه هایی همچون stunnel یا انواعی که از socks5 proxy ساپورت نمیکنن بتونن از این استفاده کنن، به جای قسمت آخر "socks 127.0.0.1:666" بنویسید:

کد:
--dest 100.200.300.400:666 client 127.0.0.1:999
که 100.200.300.400 آدرس ip سرورتون هست و پورت روبروش هم پورتی که obfsproxy روی سرور بهش به گوش نشسته. این موضوع در تمام مودهای متفاوتی که opfsproxy ساپورت میکنه، یکسانه.

نمونه سمت کلاینت:

کد:
obfsproxy.exe obfs2 --shared-secret FlyingSpaghetti --dest 100.200.300.400:666 client 127.0.0.1:999
بعد داخل برنامه ی مقصد (در این مثال ها، openvpn)، بدون هیچ پراکسی ای بگید مستقیماً به آدرس 127.0.0.1:999 وصل بشه.

زیاد به این آپشن قبلاً توجه نکرده بودم و به همین خاطر پست اصلی رو بر اساس فانکشن socks5 نوشتم! داخل obfsproxy -h اینا رو توضیح مختصر داده؛ البته نمونه ننوشته.

 من متأسفانه وقت کافی برای سر زدن به اینجا و پاسخگویی ندارم. روش های متعددی که برخیشون داخل obfsproxy داخل پکیج tor گنجانده شدن در لینک زیر نام برده شده و راهنمایی و documentations برای هر یک موجوده؛ مثلاً یکیشون تا جایی که میدونم، میتونه اطلاعات رو طوری قطعه قطعه به صورت http رد و بدل کنه که به نظر بیاد یک صفحه ی وب عادی داره رد و بدل میشه.

https://www.torproject.org/docs/plug...sports.html.en

توضیحات و نحوه ی کارکرد هر یک:
https://trac.torproject.org/projects...ableTransports

https://trac.torproject.org/projects...ableTransports

این روش ها در چند سال اخیر، اغلب پس از اجرای همین سیستمی که امروز در ایران میبنید در چین (Great Firewall of China / GFW)، توسط متخصصین زیرمجموعه یا فعال در جامعه ی پروژه ی معظم Tor، توسعه یا بهبود بخشیده شدن. یکی از معدود جاهایی که در این شرایط میتونید باهاشون همکاری کرده و بهشون متوسل بشید، همین جامعه هستن که برای آزادی نت و مقابله با همین سیستم های شدید censorship دارن تلاش میکنن on Tor Project.

هر روشی که در بالا اومده یا در جای دیگر میابید رو با دوستان به اشتراک بگذارید و اگر documentation ناقصی دارن، یکم توضیح بدید برای دیگران. باید متحد باشید و از خساست اطلاعاتی خودداری کنید؛ متخصصین داخلی و کمپانی های خارجی که دارن به این حکومت های منطقه برای اجرای چنین سیستم هایی کمک میکنن، از تمام این راه ها مطلعن و چیزی برای مخفی کاری وجود نداره که حالا روشی رو یافتید، بترسید که اگر معرفی کنید، رازهای جهان فاش بشن و ببندنش!

این علوم کامپیوتر و شبکه رو خود ما انسان ها درست کردیم و رازی درونش وجود نداره. روش ها و راه های مقابله باهاشون کاملاً مشخصن، فقط بحث سر اینه که "میزان و شدت مقابله" چقدر باشه به طوری که شبکه رو فلج نکنه! مثلاً من شک دارم این وضعیت فجیع رو به صورت طولانی مدت ادامه بدن و این فقط یه تست و تنظیمات اولیه هست که در یکی دو سال اخیر، به صورت پراکنده، اغلب در زمان تعطیلات رسمی ادارات و تجارت میبینیم. چنین وضعیتی شاید در چین و اون جامعه و زیرساخت ها جوابگو باشه، ولی جامعه ی ایران و نیازهای اقشار جامعه از اینترنت، اجازه ی این مسئله رو نمیده که بخوان چنین اختلال طولانی مدتی که بدون هدف، همه چیز رو از کار میندازه، به طور طولانی مدت عملیاتی کنن؛ البته که نادان هایی پیدا میشن در هر زمینه ای که دست به کارهای ابلهانه بزنن، ولی خوشبختانه هنوز به نظر میاد افرادی در این سیستم موندن که قادر به تفکرن!
- - - - - - - - - - - - - - - - - -

ممنون از جواب شما ولی مشکل همینه که ارور میده میگه شما ساکس 5 رد نمیکنی از تونل
میکه این چیزی که شما (من) رد میکنم ساکس 22 هست

شما باید به stunnel سمت کلاینت، بگید ترافیکش رو از داخل پورتی که obfsproxy روش به گوش نشسته به صورت محلی، عبور بده که این برنامه، پراکسیش بر اساس استاندارد socks5 کار میکنه.

من نمیدونم داخل stunnel و config این برنامه آیا راهی هست که پراکسی تعریف کرد یا نه؛ احتمالاً باید سازنده راهی گذاشته باشه چون بسیاری از یوزرها ممکنه مثلاً در یک ارگان و پشت فایروالی باشن که فقط یک پراکسی سرور روی پورت 80 و 443 براشون تعریف شده باشه! اگر خود برنامه ساپورت نمیکنه، شاید بتونید از چیزی مثل proxifier ویندوزی کمک بگیرید که تونلش کنه داخل پورتی که obfsproxy داره بهش گوش میده روی کامپیوتر؛ البته خود obfsproxy.exe رو باید داخل تنظیمات مثلاً proxifier بزنید که ترافیکش direct باشه.

اتصال بدون نیاز به استفاده از socks5 proxy داخل برنامه (روش بهتر نسبت به پست اصلی، ارتباط مستقیم و بی نیاز به تعریف socks5 proxy داخل openvpn/vpn/softether/stunnel/غیره)

در سمت کلاینت، اگر میخواید مستقیم ارتباط برقرار کنید و نه از طریق socks5 proxy تا برنامه هایی همچون stunnel یا انواعی که از socks5 proxy ساپورت نمیکنن بتونن از این استفاده کنن، به جای قسمت آخر "socks 127.0.0.1:666" بنویسید:

کد:
--dest 100.200.300.400:666 client 127.0.0.1:999
که 100.200.300.400 آدرس ip سرورتون هست و پورت روبروش هم پورتی که obfsproxy روی سرور بهش به گوش نشسته. این موضوع در تمام مودهای متفاوتی که opfsproxy ساپورت میکنه، یکسانه.

نمونه سمت کلاینت:

کد:
obfsproxy.exe obfs2 --shared-secret FlyingSpaghetti --dest 100.200.300.400:666 client 127.0.0.1:999
بعد داخل برنامه ی مقصد (در این مثال ها، openvpn)، بدون هیچ پراکسی ای بگید مستقیماً به آدرس 127.0.0.1:999 وصل بشه.

زیاد به این آپشن قبلاً توجه نکرده بودم و به همین خاطر پست اصلی رو بر اساس فانکشن socks5 نوشتم! داخل obfsproxy -h اینا رو توضیح مختصر داده؛ البته نمونه ننوشته. متأسفانه پست اصلی رو نمیشه ادیت کرد؛ اگر مدیری این رو میبینه، انتهای پست اصلی اضافه کنه.

يعني با اينكار احتياج نيست حتمابا ويندوز بريم و فايل كانكنت نياز نداره؟؟؟؟ با آيفون هم ميشه وصل شد
منظورتون اگر از "فایل کانکت"، برنامه ی obfsproxy هست، این برنامه لازمه هم در سمت سرور و هم در سمت کلاینت. حالا شما source ـش رو میتونید بگیرید و برای سیستم عامل های مختلف compile ـش نموده و با همین کد بالا استفاده کنید.

البته اگر پکیج Tor برای سیستم عامل مورد نظرتون موجود باشه، داخلش این برنامه و برنامه های مربوطه و همچنین fteproxy به صورت آماده موجوده و میتونید یا از خود Tor استفاده کنید، یا از این برنامه ها با config شخصی و سرور شخصی. داخل تنظیمات Tor باید تنظیم مربوط به اینکه isp شما ارتباط با tor رو مختل میکنه رو فعال نموده و بگید با فلان روش به شبکه ی tor متصل بشه تا سرعت بالاتر باشه.

لیست پل های موجود، با ساپورت از روش مورد نظر شما برای درهم ریختن اطلاعات:

https://bridges.torproject.org
تنها یک مشکل هست وقتی میخوای صفحه فیلتر واز کنی 40 ثانیه طول میکشه تا بشناسه وگرنه اصلا مشکل دیگه نداره هم سرعت و هم دقتش عالیه به یکی از دوستام تو چین گفتم اونها راحت استفاده میکنن پورس جو کرده از این روش بوده واقعا فکره خوبی خواهشن herbog وقت بزار چون تنها openvpn که کار میکنه واقعا ممنون از دوستانی کمک میکنن
این برنامه ها (obfsproxy, fteproxy,...) که همگی از دل جامعه ی tor دراومدن (یا بیشتر توسعه یافتن)، همونطور که گفتم، قابل استفاده با هر چیزی هستن که روی tcp ارتباطات رد و بدل میکنه (یا حتی برنامه های بر اساس udp که از تعریف socks5 proxy ساپورت میکنن).

برای چیزهایی که بر اساس tcp کار میکنن (از http server تا softether, openvpn و غیره)، کافیه سمت سرور، بگید فوروارد کنه به پورت مورد نظرتون روی 127.0.0.1 یا localhost. سمت کلاینت هم بگید به عنوان client و با روش درهم-ریزی مدنظر، متصل بشه به dest SERVERIP:PORT-- و با کدی که در انتهای پست اول اشاره شده.

البته در صفحات مربوط به این روش ها در جامعه ی tor project، پروژه ای هم بر اساس udp هست که هنوز در دست توسعه ـس. اصولاً نیازی بهش نیست و مهم نیست توی این تونل درهم-شده، چه چیزی رو منتقل میکنید و فرق چندانی فکر نکنم در سرعت و کیفیت ایجاد کنه که از چه برنامه ای استفاده کنید (به جز تفاوت های بنیادین سرویس ها و روش های مختلف که مثلاً شاید یکی کمی از دیگری سریعتر باشه در پردازش/کدگذاری/کدگشایی در دو سوی ارتباط)...

https://trac.torproject.org/projects...ableTransports
- - - - - - - - - - - - -
افرادی هم که سرور شخصی نداشته و به دنبال گزینه های رایگان خوب و پرسرعت هستید
: اکثر این روش ها که ثبات بالاتر و کیفیت بهتری دارن، داخل پکیج Tor Browser گنجانده شدن که باید پس از باز کردن برنامه ی Tor Browser، دکمه ی Configure رو در قسمت پایینی پنجره (This computer's Internet connection is censored or proxied. I need to configure bridge or proxy settings) زده، Proxy رو No بزنید (البته اگر در شرکتی یا جایی هستید که نیازه، Yes باید زده و تعریف کنید)، در صفحه ی بعد، Does your ISP block or otherwise censor connections to the Tor Network، گزینه Yes رو زده، و بعد نوع درهم ریخته کردن اطلاعات رو که میخواید، تعیین کنید (گزینه ها در این لحظه flashproxy, fteproxy, obfs3, meek-amazon/ms.azure/google, scramblesuit).

https://www.torproject.org/download/download.html.en


https://i.imgur.com/75HBH4G.jpg


البته معمولاً فیلترینگ های فعالی مثل ایران و چین، هر نسخه ی جدید رو چک کرده و IP های پیشفرض پل های (bridges) روش های بالا رو که در برنامه تعریف شده، block یا کند میکنن. برای گرفتن لیستی از bridge های جدید به صورت رندوم، میتونید به لینک زیر مراجعه کنید و در همون صفحه در داخل برنامه، تیک Enter custom bridges رو زده و فقط آدرسی که در لینک زیر بهتون داده شده رو کپی پیست کنید توی کادر خالی و دکمه Connect رو بزنید:

https://bridges.torproject.org

به عنوان یکی از آخرین روش ها در شرایط وخیم، پل های به صورت meek-google رو بدید به برنامه (meek، ترافیک رو به طوری تغییر میده که انگار شما دارید با یک سرویس بر اساس دامنه ی مستقیم google.com یا نمونه های مشابه cloud-based machines/apis مثل amazon, microsoft azure ارتباط برقرار میکنید؛ که البته درواقع همین اتفاق داره میفته و شما با google.com ارتباط دارید که البته تنها کار کدی که بر روی سرویس گوگل پیاده شده، redirect کردن ترافیک به tor nodes هست! وقتی خوبه که فیلترینگ، فقط ارتباطات امن با برخی دامنه های معروف رو whitelist کرده باشه و بقیه رو دچار اختلال کنه (که الانم تقریبا همینطوره!))...

Tor شاید کمی کندتر از وی پی ان مستقیم باشه، ولی درصورت آشنایی، امنیت بالاتری داشته و به هر حال بهتر از هیچی هست در شرایطی که هیچ راه حلی ندارید!

لازم به ذکره که Tor در پکیج بالا، روی پورت socks5 به آدرس 127.0.0.1:9050 یا 127.0.0.1:9051 به گوش مینشینه و میتونید در برنامه های دیگه هم تعریفش کنید که استفاده کنن (پورت دقیق رو در صورتی که یکی از بالایی ها نبود، در همون نسخه ی امن تر شده ی Firefox که اتوماتیک باز میشه، داخل options > advanced > network > connection >> settings ببینید.) 

پاسخ : Obfuscated Proxy, OBFSPROXY, پراکسی در هم و بر هم، و

بنده به زودی نرم‌افزاری رو که خودم نوشتم و کارش اینه که با overhead بسیار کمی، تغییری بسیار ساده در payload لایه tcp ایجاد می کنه رو اینجا پابلیک می کنم تا دست این دوستان سودجوی عزیز توی کاسه بمونه .

مساله اینجاست که وقتی فیلترینگ از لایه IP انجام بشه، حتی این Obfuscated Proxy هم کاری از پیش نمیبره. چون فایروال ملی به این کانکشن هم مشکوک می شود و بعد از مدتی از لایه IP دسترسی رو قطع می کند.

روش کار برنامه بنده به این صورت هست که تغییر payload تی سی پی رو بسیار ساده و با overhead کم انجام میده. یه مشکلی که به نظر بنده Obfuscated Proxy داره اینه که احتمالا در سمت سرور، به دلیل اینکه تغییرات محتوای بسته مقداری سنگین هست (تغییر شکل به محتوای معمولی HTTP و بالعکس) ، افزایش بار ترافیک، افت سرعت زیادی به بار خواهد آورد. (منظور با افزایش تعداد کلاینت هاست)

مضاف بر این، کافیه شما در سمت سرور چند IP داشته باشید، یعنی چند IP مختلف روی کارت شبکه assign شده باشد. بدین شکل در سمت کلاینت، با تنظیم timeout خاصی، کانکشن TCP بعد از مثلا 2 دقیقه به IP بعدی زده می شود و به این صورت هم هیچکدام از IP ها مسدود نمی شود و هم اینکه تغییری در تجربه کاربر از وب ایجاد نمی شود. چون public IP کاربر (علیرغم اینکه کلاینت ساید به IP های مختلفی در سرورساید وصل می شود) بدون تغییر بوده و ثابت می ماند.

یعنی اتصال شما به 5 عدد IP به صورت time sharing تقسیم می شود و در هر بازه زمانی تنها به یکی از IP های سرورساید دیتا ارسال و دریافت می کنید.

برنامه به صورت Cross platform ارائه می شود تا روی همه سیستم عامل های کامپیوتر قابل استفاده باشد.

۴ نظر:

ناشناس گفت...

سلام رزا جان
اگر اینترنت رو هم قطع کنند باز هم:
نه سر کار می ریم
نه شهروند سربراهی می شیم
نه سازش می کنیم!
فقط :
می خندیم
خشمگین می شیم
و خرابکاری می کنیم!
:)
آزادی و طغیان و همبستگی در حیوانیت ما ریشه داره پس هرچفدر هم فیلتر بشه از بین نمی ره!
با عشق و همبستگی
وحید

Rosa گفت...

سلام وحید جان
راستش اینروزها هر کامنت و آپدیتی خبر سلامتی است. و خوشحال کننده
مثل بازی مار و پله میمونه.
متاسفانه در این میدان
سواد برنامه ریزی من صفر است.
تابستان ها دانشگاه شهروندی هست و باید ببینم واحد داره بردارم.
من فعلن در همان قدم اولش گیربکس کردم:)
یاد رمان نینا و قاچاق حروف سربی یا درست کردن کاغذ استنسیل ، مورس و ... خیر باشه...
اینروزها قهرمانان ما ناشناسانند.
البته آرون سوارتز و اسنودن و بیشماران قهرمانان دیگر که هر پازل پروگرامی را کامل کرده، از داخل شکماژدها گزارش می دهند.
امروز انگشتان کوچولویی فیلتر کودکان را برداشته و کمی دنبال سوالات جنسی در جستجو:)

از بودنت خوشحالم
میدانم چقدر انرژی میبره این کامنتها
با عشق
و همبستگی
شورش؟
بر حق است!

انتیپومو گفت...

دوستان داخل برای دستیابی به tor ودانلود امکانات این پست نیاز به آنتی فیلتر با سرعت بالا دارند
فعلا اولتراسورف در بستر https سرعت بالاتری دارد و فقط هر یک ساعت یکبار در بعضی ispهای معروفتر قطع میشود

پس فعلا برای استفاده از بالاترین سرعت
127.0.0.1:9666
روی https بروزرها و یا دانلود منجرها ست شود و پورت های دیگر آنتی فیلترها روی http ست شود
اگر از پروکسی فایر یا کریو استفاده میشود قانون دایرکت برای اولتراسورف ایجاد شود.


Rosa گفت...

مرسی انتیپومو،
اطلاعات را روی صفحه ی اصلی گذاشتم. راه دیگر احتمالن اسنودن است. خرابکاری در قلب سیستم و دیوار چین!
البته هزینه اش بالا است...
ع و ه