Скрытие трафика с Tor, VPN и Proxy
Debian-LabМежду прокси, VPN и Tor есть много различий, но их общая цель - скрыть наш IP-адрес, замаскировать наши действия, помочь обойти ограничения брандмауэра и, в свою очередь, обойти запреты. TOR и прокси намного проще использовать в тех случаях, когда вам нужно очень часто переключать свой IP-адрес (например, прокси-цепочки). Прокси-серверы кажутся более сложными для использования, поскольку они не могут проксировать весь трафик, а только для одного порта или службы. Ниже я предоставлю более подробную информацию о каждом из этих вариантов, а также об их плюсах и минусах.
Proxy
Прокси-серверы бывают нескольких форм:
HTTP ретранслирует запросы GET / POST и может добавлять ваш исходный IP-адрес в заголовок запроса, а также хранить полную историю вашего взаимодействия с сайтом.
Плюсы:
- Анонимность (при правильном использовании)
- Поддерживается практически всеми браузерами
- DNS-запросы от имени сервера
Минусы:
- История сервера
- Возможность фильтрации и замены данных с помощью прокси-сервера
- Работает только для протокола HTTP
В случае прокси-сервера SOCKS браузер открывает все сокеты TCP (а иногда и UDP) от имени сервера. В то же время (в зависимости от браузера) вы можете использовать свой локальный DNS-сервер, и сайт сможет отслеживать вас по нему, выдавая уникальное имя для каждого запроса в его поддомене и запоминая, с каких адресов DNS-запросы приходят к ним. .
Использование прокси в основном применимо для сканирования и запросов на уровне приложений, а не на уровне сети. Возьмем, к примеру, Nmap; здесь мы можем встретить несколько проблем. Nmap может выполнять только CONNECT и SOCKS4, а эти протоколы могут выполнять только TCP.
Кроме того, использование любого прокси означает, что Nmap взаимодействует со стеком IP прокси, а не цели. Это означает, что пинг ICMP не может быть выполнен, чтобы узнать, жив ли хост, поскольку ICMP не является TCP.
Плюсы:
- Анонимность клиента (при правильном использовании)
- Возможность перенаправить произвольное TCP-соединение (например, SSH)
- DNS-запросы от имени сервера (Google Chrome)
Минусы:
- DNS-запросы от имени клиента (Firefox)
- Возможность фильтрации и замены данных с помощью прокси-сервера
- История сервера
Основное преимущество в данном случае, если говорить о тестировании на проникновение, состоит в том, что мы сможем легко развернуть множество прокси-серверов на основе докер контейнеров или образов AWS / DigitalOcean и быстро переключаться между ними. Кроме того, конкретному скрипту или приложению намного проще работать через прокси, поскольку вы можете запускать различные инструменты на разных IP-адресах, в отличие от VPN.
Ключевым моментом является не просто скрыть свой IP-адрес, но и не забывать о таких параметрах, как «user-agent», чтобы межсетевые экраны видели Вас как реального пользователя или пользователей их продукта. Кроме того, в Интернете существует огромное множество открытых прокси-серверов, которые вы можете очень легко найти. Они в основном используются во время оценки безопасности приложений для обхода брандмауэров с моделями нарушителей типа «черный ящик». В более редких случаях его можно использовать для модели серого ящика, если вам нужен статический IP-адрес, но вы не можете получить его от своего интернет-провайдера.
VPN (OpenVPN)
«Виртуальная частная сеть (VPN) расширяет частную сеть через общедоступную сеть и позволяет пользователям отправлять и получать данные через общие или общедоступные сети, как если бы их вычислительные устройства были напрямую подключены к частной сети. Таким образом, приложения, работающие на вычислительном устройстве, например ноутбуке, настольном компьютере, смартфоне и так далее, через VPN могут получить выгоду от функциональности, безопасности и управления частной сетью.
Шифрование - обычная, но не неотъемлемая часть VPN-соединения
В случае использования VPN самым популярное решение - это OpenVPN. Он имеет множество полезных функций, в том числе возможность проходить NAT с использованием инкапсуляции SSL/TLS, возможность работать через UDP и многое другое. С помощью VPN вы можете изменить IP-адрес на своем компьютере, а также это поможет Вам с DNS трафиком (не забудьте здесь проверить конфигурацию клиент-сервер, чтобы трафик DNS проходил через сервер).
Вы сможете скрыть свой реальный IP-адрес от брандмауэров в течение некоторого времени, пока не получите бан, но это решение также эффективно потому, что VPN замаскирует весь Ваш трафик.
Использование VPN в настоящее время очень популярно для любого инструмента и идеально подходит как для работы на уровне приложений, так и на уровне сети. С помощью VPN вы можете легко выполнять сканирование сети, не беспокоясь о том, скрыт ли ваш реальный IP-адрес. Это популярно для использования с тестированием модели "серого ящика", когда вы договорились с клиентом выполнить тестирование на проникновение со статического IP-адреса, но у Вас его нету.
Однако, если вам необходимо смоделировать атаку из определенной страны или если Вам нужно скрыть реальный IP-адрес во время тестирования на проникновение с помощью черного ящика, использовать VPN - будет отличным решением.
Плюсы:
- Лучшее шифрование
- Более надежный
- Больше возможностей
- Легче использовать с огромным набором инструментов
- Может использоваться как «двойной VPN»
Минусы:
- У вас 1 IP на все
- Трудно переключать IP-адреса
- Требуется больше времени для подключения
- В большинстве случаев для автоматического переключения между VPN потребуется больше времени и усилий.
TOR
Tor (сеть Tor) - очень популярная в настоящее время технология анонимизации, которая помогает вам не только скрыть свой реальный IP-адрес, но и получить доступ к сети Tor. У вас есть два варианта его запуска:
- Вы можете просто установить браузер Tor (от Mozilla)
- Вы можете запустить службу Tor на удаленном сервере, который будет использоваться как прокси.
С помощью Tor вы можете легко переключать IP-адреса, используя определенную опцию в своем браузере или просто перезапустив службу Tor на своем сервере. Каждый раз вы будете получать новый IP-адрес выходного узла. Ваш реальный IP-адрес будет скрыт, а ваше соединение зашифровано, но здесь мы сталкиваемся с другой проблемой. Как упоминалось выше, вы подключитесь через огромную цепочку к выходному узлу, который имеет возможность видеть ваш трафик в открытом виде.
Кстати, с помощью Tor и proxychains Вы даже можете использовать инструменты сканирования сетевого уровня, такие как nmap , zmap , hping и другие. Подход основан на использовании службы Tor и запуске прокси-цепочек перед использованием какого-либо инструмента или скрипта. Команда для использования nmap с прокси-цепочками через Tor выглядит так:
proxychains nmap –sV 192.168.1.1
Таким образом вы скроете свой реальный IP-адрес и заставите Nmap работать строго через сеть Tor.
Конечно, это добавляет дополнительные риски для нашей из-за возможности утечки информации. Поэтому Вы должны принять во внимание все эти риски, прежде чем мы начнем использовать Tor.
Этот подход в основном используется при тестировании на проникновение методом черного ящика, когда нам нужно скрыть настоящий IP-адрес или обойти брандмауэры.
Плюсы:
- Легко использовать
- Вы можете быстро изменить IP и местоположение
Минусы:
- Кто-то на выходном узле может отслеживать ваш трафик
- Вы не можете использовать Tor так же, как прокси; это ближе к VPN методу
- Работает медленнее, так как выходная нода обычно выбирается по умолчанию в далекой от вас стране.
Заключение
Из приведенной выше информации мы можем сделать некоторые очень полезные выводы относительно того, как мы можем изменить наш IP и эффективность конкретных технологий.
Если мы говорим об инструментах, автоматизации и потоковой передаче, мы должны быть ближе к методу с использованием прокси потому, что с таким методом мы можем много выиграть в скорости.
Если мы говорим в основном о ручном процессе и нам нужно более безопасное и стабильное соединение, тогда подойдет и VPN. Хотя он обеспечит вам лучшую скорость, а также стабильное и зашифрованное соединение, по умолчанию он также будет маршрутизировать весь ваш трафик через сервер.
⏳ Наш основной канал - @debian_lab