OpenVPN被墙拦截的解决方案

k2775739 · 发表于 2012-12-17 09:52:00

迷惑协议才是王道啊，这才叫Q高一尺，F高一丈。

眼镜 · 发表于 2012-12-17 09:52:26

哈P哥发表于 2012-12-17 09:52

难道不能像6楼说的自己弄？
OpenVPN的数据包已经是加密过的，一般的过滤方法没法识别。现在G。F。W的做法是查找openvpn数据包的特征（比如包的长度、某些关键字节特称等），采用机器学习方法，识别出哪些数据包可能是OpenVPN的数据包。
理论上来说，即使是采用SSH隧道加密，虽然不知道数据包的真实内容，但利用机器学习方法也可以从加密的数据包中区分出哪些是HTTP、哪些是DNS数据包等，据说准确率可以到90%+。
最可靠的办法是伪装成其他协议，或者让协议变得毫无特称无法识别。像电驴，原来很多ISP都封掉了ED2K的协议，后来电驴就开发了“迷惑协议”防止封锁。T。O。R。的SSL/TLS认证过程是模仿FireFox的。
现在需要为OpenVPN加入类似的功能。估计指望官方加入这个功能不大可能，毕竟OpenVPN本身的设计初衷不是用于FQ。期待牛人自己fork一个带迷惑协议功能（特别是UDP）的OpenVPN。

哈P哥 · 发表于 2012-12-17 11:25:16

天朝在开发这些功能上边真是不遗余力啊~

godstar · 发表于 2012-12-17 11:25:46

godstar 发表于 2012-12-17 16:16

天朝在开发这些功能上边真是不遗余力啊~

这方面的技术可能跟国际接轨了

哈P哥 · 发表于 2012-12-17 13:41:41

可以将Tor流量伪装成Skype视频呼叫，

该程序被称为SkypeMorph，加拿大滑铁卢大学的计算机科学家Ian Goldberg教授是Tor Pr
oject理事会理事，他指出它的目标是让流量看起来像是其它不太可能被屏蔽的协议，除非
关闭互联网，但埃及已有先例。SkypeMorph依赖于微软的Skype服务在终端用户和网桥之间
建立加密通道。Tor用户首先向网桥发送一个Skype短消息，执行Diffie Hellman 密钥交换
以确保连接可信任。一旦传送完成，SkypeMorph启动Skype视频呼叫网桥，然后立即挂断，
网桥和终端用户随后使用正常的Tor协议安全通信。为了防止Tor流量被网络流量分析识别
出来，SkypeMorph利用流量调整功能，将Tor数据包转变成Skype使用的用户数据报协议包
。流量调整还模拟了正常的Skype视频通话产生的数据包大小和时间控制。观察流量的审查
者只会看到有人在进行Skype通信。

相关：
http://internet.solidot.org/internet/12/04/04/1058222.shtml?tid=120
http://software.solidot.org/software/11/09/16/0157258.shtml?tid=120
http://goo.gl/eCmEY
http://crysp.uwaterloo.ca/software/
http://crysp.uwaterloo.ca/software/SkypeMorph-0.5.tar.gz
http://www.cs.uwaterloo.ca/~iang/
http://bbs.sjtu.edu.cn/bbscon,board,Security,file,M.1333633193.A.html

xiaslM100700 · 发表于 2012-12-17 13:56:00

最近openvpn多种不正常。。。。

uuis · 发表于 2012-12-17 13:56:10

用自己的端口自己的密道让别人羡慕去吧

gaogeli · 发表于 2012-12-17 16:09:47

我的22端口都被墙封了。郁闷，估计是直接把TCP协议给我断了。