Router belauscht SSH-Tunnel?

1076
eyuelt

Ich bin also in einem öffentlichen WLAN-Netzwerk, das Websites wie YouTube blockiert, um Bandbreite zu sparen. Ich gehe davon aus, dass der Router den gesamten Datenverkehr überwacht und alle Anfragen zurückweist, die an die Sites auf seiner schwarzen Liste gesendet wurden. Um dies zu umgehen, habe ich versucht, einen SSH-Tunnel zu verwenden, damit ich eine verschlüsselte Verbindung mit meinem Remote-Server habe und die Webanfragen vom Remote-Server aus erfolgen würden. Der Router, mit dem ich verbunden bin, sollte keine Ahnung haben, welche Pakete ich sende.

Ich habe diese Methode bereits in anderen Netzwerken ausprobiert, die den Verkehr auf Websites wie YouTube filtern, und es hat perfekt funktioniert. irgendwie kann der router die websites trotzdem blockieren. Ich habe überprüft, ob mein Datenverkehr wirklich durch den Remote-Server geht, indem ich die IP-Adresse verifiziere. Ich weiß, dass ich die Einstellungen nicht durcheinander gebracht habe oder vergessen habe, meinen Browser auf den richtigen Port zu verweisen. Ich habe versucht, den Datenverkehr über zwei separate Server zu leiten, einen für die Kennwortauthentifizierung und einen für die Verwendung von Schlüsseln. In beiden Fällen wird der Datenverkehr gefiltert.

Wenn die Pakete, die ich an den und vom Remote-Server sende, verschlüsselt sind, kann der Router wissen, dass ich versuche, auf YouTube zuzugreifen? Tut der Router einen mittleren Angriff auf mich? Ich habe den Fingerabdruck des Servers überprüft und es war wie immer, aber der Router kann den Fingerabdruck möglicherweise fälschen?

Ich möchte nur verstehen, wie der Router dies tut.

4
Mein erster Gedanke ist ein DNS-Leck. Ich würde vorschlagen, dass Sie ein Paket-Sniffing-Tool wie Wireshark verwenden, um sicherzustellen, dass Ihre DNS-Anfrage für youtube.com den SSH-Tunnel durchläuft und nicht direkt an den Router geht und blockiert wird. user2675345 vor 10 Jahren 16
@ user2675345 ist wahrscheinlich korrekt. Shadur vor 10 Jahren 0
Vielleicht blockiert es den _all_-Verkehr, der aussieht wie "kleine ausgehende Nutzlast - große eingehende Nutzlast, die unterhalb der Leitungskapazität kommt" (was auf ein Streaming-Video hindeuten könnte)? Piskvor vor 10 Jahren 0
Könnte auch ein Paket-Inspektions-Engine in Arbeit sein. Um bessere Ergebnisse zu erzielen, lassen Sie Ihren SSH-Server auf TCP / 443 hören. :) vor 10 Jahren 0
@Piskvor - Sie blockierten die gesamte Website, nicht nur Videos. Ich konnte also nicht einmal auf die YouTube-Startseite gehen. vor 10 Jahren 0
@ user2675345 - Danke, dies ist das erste, was ich über DNS-Lecks höre. Ich werde es mir genauer ansehen und werde das nächste Mal, wenn ich wieder in diesem Netzwerk bin, nachprüfen. vor 10 Jahren 0
Wie genau manifestiert sich eine blockierte Site? Wenn möglich, machen Sie einen Screenshot. Daniel B vor 10 Jahren 0
Wie kannst du auf YouTube zugreifen? Mit einem PC + -Browser oder einem Android-Handy? Wenn Android: Könnte es sein, dass die Youtube-App den Tunnel ignoriert? Außerdem (für alle Geräte): Welche DNS-Server verwenden Sie? Wie user2675345 darauf hingewiesen hat, ignorieren Ihre DNS-Anforderungen möglicherweise den Tunnel. Haben Sie auch versucht, Ihren DNS-Cache zu bereinigen? masgo vor 10 Jahren 0
Sie können OpenVPN verwenden und den gesamten Datenverkehr einschließlich DNS über Ihren Server leiten. gogators vor 10 Jahren 1
Wenn Sie am anderen Ende des SSH-Tunnels einen Proxy verwenden, sollte dies seine eigene DNS-Suche durchführen. Tom Newton vor 10 Jahren 0

2 Antworten auf die Frage

0
MoonSire

Genau wie @ user2675345 sagt, sollten Sie wahrscheinlich die DNS-Proxy-Einstellungen überprüfen, wenn Ihr Browser über welche verfügt.

Führen Sie die folgenden Schritte aus, um die DNS-Suche über einen Proxy in Firefox zu aktivieren:

  1. Geben Sie about:configin die Adressleiste ein
  2. suchen nach proxy
  3. eingestellt network.proxy.socks_remote_dnsauftrue

Ich war früher selbst ein Chrome-Benutzer, wechselte aber zu Firefox, als ich bemerkte, dass die DNS-Lookups die Proxy-Einstellungen nicht verwendeten. Das war vor einiger Zeit und sollte nun gemäß diesem Fehlerbericht behoben werden .

0
eyuelt

dr : Es war ein DNS-Leck. Danke an @ user2675345 für den Tipp!

Hier ist die Seite, die ich bekam, als ich auf eine gesperrte Site zugegriffen habe:

gesperrte Seite

Ich habe zuerst versucht, ein paar Websites zu pingen und habe festgestellt, dass ihre IP-Adressen gleich sind. Wie man in diesem Bild sehen kann:

Pings

Sowohl youtube.com als auch metacafe.com, die beide blockiert sind, haben 176.12.107.179ihre IP. Wenig überraschend führt das Navigieren zu dieser IP in einem Browser zu der oben abgebildeten Seite "Requested Site Blocked". Das Pinging von www.google.com führt dagegen zu einer legitimen IP-Adresse, die auf Google verweist.

So wurden die URLs der falschen IP zugeordnet. Ich habe dig verwendet, um die DNS-Einträge zu überprüfen und dies zu bestätigen.

gräbt

Tatsächlich hatte der DNS-Eintrag für youtube.com 176.12.107.179seine IP-Adresse.

Ich verwendete dann Wireshark, um die DNS-Anfragen auszuchecken und sah, dass die Anfragen nicht von der IP-Adresse des Servers stammen, in den ich SSH'ed war, sondern von meiner lokalen IP-Adresse.

ip Spur

Obwohl ich einen SSH-Tunnel verwendete, gingen meine DNS-Anfragen nicht durch den Tunnel. Außerdem schienen sie zu einer IP-Adresse im selben Netzwerk zu gehen. Es sieht also so aus, als ob der Router an Bord des Busses als DNS-Server fungierte und schlechte DNS-Antworten für Websites auf seiner schwarzen Liste herausgab.

Dies ist eine sehr ernste Schwachstelle. Ein Lauscher konnte nicht nur alle Websites sehen, die ich besuchte, sondern auch die Person, die den Router / DNS-Server kontrollierte, konnte mich leicht zu einer böswilligen Version von YouTube leiten, anstatt zur Seite "Angeforderte Seite blockiert". Und trotzdem denke ich, dass mein Verkehr durch den SSH-Tunnel geht und ich absolut sicher bin.

Verwandte Probleme