他们通过检查网络层中每个数据包的标头(而不是仅通过关闭端口)来进行过滤。他们还取消了VPN协议。
是否有其他方法可以安全地连接到Linux服务器?
#1 楼
根据我今天早些时候听到的消息,https / ssl可以正确地通过边界。因此,您应该检查一下开瓶器。
类似于
netcat
,它用于将ssh包装在https中允许使用https代理。另一种解决方案是使用LSH,由于Siavash在其信息中指出了这一点,因此LSH具有与ssh不同的签名,可以在伊朗使用。
评论
实际上,您应该能够将ssh端口更改为443,然后通过它进行连接。除非他们进行中间人攻击,否则他们将无法分辨ssh和https之间的区别。这适用于我尝试过的所有防火墙。我为此添加了一个答案,如果有效,请告诉我。
–user606723
2012年1月4日17:01
@ user606723:ISP(和政府)是中间人。这不是攻击,而是监视。是的,他们能够使用DPI分辨ssh和https之间的区别。
–彼得
2012年1月4日在18:08
也许ssl和ssh之间的握手有所不同?
–user606723
2012年1月4日在18:12
SSL / TLS握手未加密。您可以轻松地查看协议版本,受支持的密码套件(来自客户端),选择的密码,虚拟主机(只要使用了扩展名,并且大多数浏览器都可以)以及所提供的证书。您可以使用此信息来尝试对服务器/客户端软件进行指纹识别。简而言之,TLS不会尝试隐藏自身,它只会在握手完成后尝试保护应用程序数据。我对SSH加密层了解不多,但是它的握手肯定看起来与TLS不同。您不需要主动的MitM,被动地查看数据包就足够了
– CodesInChaos
2012年1月6日17:34
SSH连接始于服务器以明文形式发送“ SSH”,因此发现任何观看连接的人都很简单。开瓶器实际上掩盖了这个问题,还是只是通过代理建立了连接并使“ SSH”可见?
–凯文
2012年1月10日下午16:36
#2 楼
根据CCC会议上的一次演讲-28C3:政府如何试图阻止Tor-Tor项目在这个充满活力和挑战性的领域中拥有最好的往绩,可用于SSH。 Tor桥的创新用法是最新的发展之一。 YouTube上也有28C3 Tor演讲,幻灯片位于https://svn.torproject.org/svn/projects/presentations/slides-28c3.pdf请注意,使用规避方法可以识别得太容易会使用户面临更多侵犯其人权和人身安全的行为。请注意。
更新:《世界人权宣言》第19条在这里很重要:
第19条:人人有权享有见解自由和表达;这项权利包括享有不受干涉的见解自由,以及通过任何媒体和不分国界寻求,接受和传播信息和思想的自由。
评论
“请注意,使用过于容易识别的逃避方法可能会使用户面临更多侵犯人权的行为” –我不同意伊朗和其他国家所采取的过滤类型,但我几乎不认为使用SSH应该被认为是一项人权。
– MDMarra
2012年1月3日19:05
@MDMarra我不相信Neal试图说SSH本身是一项人权。这就是SSH隧道为那些受限制国家/地区的人们提供的功能(言论自由和信息访问权)。
– Iszi
2012年1月3日,19:20
我认为这里的问题是,即使从限制性政府的角度来看,OP也想做完全无害的事情,但是安全地做到这一点的方法是非法的或“可疑的”,因此使用它们可能会导致与当局。
– tdammers
2012年1月4日7:07
@MDMarra-在网络访问变得越来越重要的世界中,互联网访问权正受到越来越多的争论。
– Mark Booth
2012年1月4日15:02
互联网之父Vant Cerf和Matrix Architect类似,似乎不同意
– MDMarra
2012年1月5日于20:23
#3 楼
如果您未过滤https,则可以执行类似AjaxTerm
或在网络服务器上受保护的站点上运行的任何其他基于AJAX或HTML5的终端仿真器,该模拟器可以连接到本地ssh守护程序,或者在某些情况下可以连接到计算机其他接口上的远程守护程序。如果您的计算机上装有ICMP,则另一个选择(有点晦涩)是在打开的ICMP上运行TCP / IP。见这里。
评论
我猜AjaxTerm没有隧道吗?
–彼得
2012年1月3日14:26
#4 楼
尝试通过多个数据包发送SSH握手。许多数据包过滤技术在数据包级别上运行,不会为检查缓冲。如果这不起作用,请尝试执行此操作,但将两个或多个握手部分乱序发送。仅当DPI盒重新组装时,它才能抓住握手。
评论
在实践中我该如何做?降低MTU?
– Janus Troelsen
2012年11月18日在11:48
@JanusTroelsen:修改您的ssh客户端和服务器以在单独的写调用中发送S,S,H,并在它们之间使用sleep 1。
–约书亚
17年9月11日在15:15
#5 楼
您可以通过多种方式在其他协议上建立IP隧道。除了使用开瓶器之类的东西之外,您还可以尝试实施IP / DNS(即,使用碘)或IP / ICMP。控制台/#6 楼
您还可以考虑使用OzymanDNS或iodine之类的工具通过DNS隧道传输SSH通信量#7 楼
您可以使用VNC之类的东西,但没有VPN或SSH之类的安全隧道,它并不是很安全。如果他们也对此进行过滤,那么您将很难。评论
我也对其进行了测试,也对其进行了过滤:|享受你的自由,因为你不是在地狱出生的。
– Moein7tl
2012年1月2日,21:27
#8 楼
telnet-ssl / telnetd-ssl是另一种选择,但要求您首先以其他方式访问服务器以便安装守护程序,这是另一种选择。已经建议,这将不需要很多网络开销,并且使用非常简单(一旦守护程序运行)。评论
如果端口22关闭,则端口992不可能完全打开。
–天花板
2012年1月5日上午10:04
但443可能已打开。而且我很确定不可能分辨出https和telnet-ssl之间的区别。
–user606723
2012年1月5日在16:24
原则上,应该无法识别在SSL / TLS之上运行的是哪种类型的应用程序。但是握手提供了很多指纹识别的可能性。因此,除非特别注意,否则通常可能至少可以知道使用哪个客户端SSL库。当试图区分https和telnet-ssl时,我将首先考虑虚拟主机名扩展的存在和受支持的密码套件的列表。像中国一样,积极探测是另一种可能性,而且相对难以防范。
– CodesInChaos
2012年1月6日17:42
#9 楼
如果您知道当前的互联网连接已被过滤,请使用其他互联网连接方法,例如卫星互联网服务提供商。有许多不同的卫星互联网服务提供商:list1,list2。评论
听起来像是被“西方间谍”拘留的好东西。
–ceejayoz
2012年1月3日14:58
#10 楼
您应该能够将ssh端口更改为443,然后通过它进行连接。除非他们进行中间人攻击,否则他们将无法分辨ssh和https之间的区别。这已在我尝试过的所有防火墙上起作用。 (绝对不是很多)
我想知道是否可行。谢谢。
评论
在大多数防火墙上,都可以将端口443用于SSH。为此+1。但是它需要用于SSH connect命令的其他工具。有关详细信息,请参见此处:daniel.haxx.se/docs/sshproxy.html
–天花板
2012年1月5日上午10:07
@ceving,我们为什么需要那个?我没有
–user606723
2012年1月5日15:29
被动DPI可能足以检测SSL和SSH之间的差异。 SSL / TLS的握手很容易看到。
– CodesInChaos
2012年1月6日在17:55
@CodeInChaos:也许可见,但是没人看。
–天花板
2012年1月9日在22:07
OP表示,它不只是基于端口进行过滤。而且肯定有一些国家试图基于DPI筛选TOR,因此伊朗并非没有可能使用DPI筛选SSH。
– CodesInChaos
2012年1月9日在22:18
#11 楼
我也有同样的问题。如今,最初的SSH连接已建立,但在某些数据包传输后,它已被丢弃。我相信在达到限制后,他们已经开始丢弃SSH数据包。我已切换到MOSH https://mosh.mit.edu/。它使用SSH进行身份验证,然后切换到UDP。它比SSH更快,并且易于安装和使用。要使用它,只需将其安装在服务器上,在防火墙中打开udp端口60000:61000,然后像使用mosh客户端那样连接到服务器使用ssh客户端(无需启动任何程序)。
sudo yum install mosh
sudo iptables -I INPUT 1 -p udp --dport 60000:61000 -j ACCEPT
好的Windows客户端是MobaXTerm http://mobaxterm.mobatek.net/download-home -edition.html
评论
这很可能是Hackerspace全球网格的第一个用例...如果您考虑基于“过于本地化”而投票解决这一问题,请考虑到很多公司还在外围限制ssh,因此与那些需要在此问题上进行交流的人相比,答案是更多的人感兴趣。边境。据我所知,关于颠覆本地防火墙设置的问题可能被认为是不明智的,仅出于该原因它们是无法关闭的。
我认为我们想避开政治,但确实需要讨论技术问题,即使我们认识到它们可能被用来违反某人的政策。关键是技术上有效的安全策略可能会发生冲突。参见meta.security.stackexchange.com/questions/664/…
mosh.mit.edu也可能值得一试
我的学校阻止了SSH,但我转而使用端口53或类似端口。