Wie kann ein Unternehmen, das „DNS austauschen und Netflix von einem anderen Land aus beobachten“ kann, mit HTTPS-Datenverkehr arbeiten?

761
guest

Es gibt viele Dienste wie "unblock-us.com", die die Nutzung von Geo-eingeschränkten Diensten aus anderen Ländern ermöglichen. Das Setup ist immer das gleiche: Ersetzen Sie einfach DNS und das war's.

Meine Frage ist: wie funktioniert das?

Für den HTTP-Verkehr ist das ganz einfach: DNS muss die IP eines Servers zurückgeben, der sich im richtigen geografischen Bereich befindet, akzeptiert HTTP-Anforderungen und leitet sie an den Server weiter, der aus dem HOST-Header bekannt ist.

Für HTTPS-Datenverkehr - HTTP-Datenverkehr wird über SSL gesendet, sodass theoretisch jeder Proxy nur sehen kann, dass jemand einen Blob verschlüsselter Daten mit unbekanntem Ziel gesendet hat. Wie funktioniert es?

0

2 Antworten auf die Frage

0
Daniel B

Der Smart DNS-Dienst muss sich nicht mit dem tatsächlichen Anforderungsinhalt befassen. Es leitet die gesamte Verbindung so um, wie sie ist. Dies erfordert natürlich eine 1: 1-Zuordnung zwischen dem umgeleiteten Domänennamen und der IP-Adresse.

Wenn Sie darauf zugreifen möchten, netflix.com„fälscht“ der Smart DNS-Server die Antwort und weist Sie beispielsweise an 1.2.3.4. Dieser Server befindet sich in den USA, um Netflix zu täuschen. Es tauscht lediglich einige Header aus, während zwischen den eigentlichen netflix.comServern und Ihrem PC vermittelt wird. Für Netflix sieht es so aus, als würde es mit ihm kommunizieren 1.2.3.4.

Der Server weiß, dass der Datenverkehr 1.2.3.4für Netflix gilt. Es könnte eine andere Adresse 1.2.3.5für Youtube geben.

Kannst du das etwas mehr erklären? Wenn es in den USA einen Server gibt, auf dem mein Datenverkehr durchgelassen wird, wird meinem Browser dieser Server anstelle von netflix.com angezeigt. Daher wird ein Fehler ausgegeben, der angibt, dass die IP-Adresse dieses Servers nicht mit netflix.com übereinstimmt Sam vor 7 Jahren 0
@Sam Dieser Vorgang ist für Ihren Browser vollständig transparent. Es weiß nicht, dass "netflix.com" tatsächlich eine andere IP-Adresse hat, da diese Informationen vom Smart DNS-Dienst "gefälscht" wurden. Daniel B vor 7 Jahren 0
Okay, ich habe gerade gelesen, dass Zertifikate nicht an die IP gebunden sind, sondern nur an den Hostnamen. Ich dachte immer, sie wären an beide gebunden. Sam vor 7 Jahren 0
0
nKn

Die meisten modernen Programme können den SSL-Verkehr entschlüsseln und erneut verschlüsseln, indem sie den Proxy als Man-in-the-Middle konfigurieren. Auf diese Weise ist die Vertrauenskette des SSL / TLS-Zertifikats zwar unterbrochen, jedoch etwas differenzierter, so dass der Benutzer nicht weiß, dass dies der Fall war.

In meinem Fall habe ich Squid3eine ähnliche Konfiguration für einen transparenten Proxy vorgenommen, und es gibt eine Funktion namens " Squid-in-the-middle SSL Bumpresume", die dies tut. Dies wird (wie Sie in diesem Link sehen werden ) mit einigen moralischen und sogar rechtlichen Fragen verbunden, da dies je nach Land / Bundesstaat illegal sein kann. Beachten Sie jedoch, dass der Proxy auf jeden Fall akzeptiert werden muss, wenn der Proxy ein dynamisches Zertifikat generiert.

Es gibt einen sehr schönen Link, der dies ausführlich beschreibt und leicht zu lesen ist. Ich hoffe, es hilft Ihnen zu verstehen, wie diese transparenten Proxys ausgeführt werden.

Dies ist für den Benutzer weiterhin sichtbar, sofern er nicht der Zertifizierungsstelle vertraut, die dynamisch Zertifikate erstellt. Daniel B vor 8 Jahren 0
Du hast recht, ich habe einen Satz hinzugefügt, um es zu erklären, danke. nKn vor 8 Jahren 0

Verwandte Probleme