Tha an dòigh a’ ceadachadh ionadachadh pacaid aig ìre cheanglaichean TCP a’ dol taobh a-staigh tunail crioptaichte, ach chan eil e a’ ceadachadh ceangal a-steach do cheanglaichean a chleachdas sreathan crioptachaidh a bharrachd (mar eisimpleir, TLS, HTTPS, SSH). Chan eil na h-algorithms crioptachaidh a thathas a’ cleachdadh anns an VPN gu diofar, leis gu bheil na pacaidean spoofed a’ tighinn bhon eadar-aghaidh taobh a-muigh agus air an giullachd leis an kernel mar phasganan bhon eadar-aghaidh VPN. Is e an targaid as coltaiche den ionnsaigh casg a chuir air ceanglaichean HTTP gun chrioptachadh, ach
Chaidh spoofing pacaid soirbheachail a nochdadh airson tunailean a chaidh a chruthachadh a’ cleachdadh OpenVPN, WireGuard agus IKEv2/IPSec.Chan eil Tor buailteach don duilgheadas, leis gu bheil e a’ cleachdadh SOCKS gus trafaic a chuir air adhart agus tha e ceangailte ri eadar-aghaidh loopback. Airson IPv4, tha ionnsaigh comasach ma tha rp_filter air a shuidheachadh gu modh “Loose” (sysctl net.ipv4.conf.all.rp_filter = 2). An toiseach, chleachd a 'mhòr-chuid de shiostaman am modh "Strict", ach a' tòiseachadh bho
inneal criathraidh rp_
Faodaidh an t-slighe freagairt a dhol tro eadar-aghaidh lìonra a bharrachd air an fhear tron ràinig am pasgan a bha a’ tighinn a-steach.
Ann am modh Loose, thèid pasgan a tha a’ tighinn a-steach a sgrùdadh mu choinneamh a’ chlàr seòlaidh, ach thathas den bheachd gu bheil e dligheach ma tha an seòladh stòr ruigsinneach tro eadar-aghaidh lìonra sam bith a tha ri fhaighinn. Tha an ionnsaigh a thathar a’ moladh stèidhichte air an fhìrinn gun urrainn don neach-ionnsaigh pasgan a chuir le seòladh stòr spoofed a fhreagras ris an eadar-aghaidh VPN, agus a dh’ aindeoin gun tèid am pacaid seo a-steach don t-siostam tron eadar-aghaidh lìonra a-muigh agus chan ann tron VPN, anns an rp_filter modh “Loose” cha tèid pacaid mar sin a thilgeil air falbh.
Gus ionnsaigh a dhèanamh, feumaidh an neach-ionnsaigh smachd a chumail air a’ gheata tro bheil an neach-cleachdaidh a’ faighinn a-steach don lìonra (mar eisimpleir, tro bhuidheann MITM, nuair a cheanglas an neach-fulang ri àite inntrigidh gun uèir fo smachd neach-ionnsaigh, no tro
Le bhith a’ gineadh sruth de phasgan meallta anns a bheil seòladh IP an eadar-aghaidh VPN air a chuir na àite, thathas a’ feuchainn ri buaidh a thoirt air a’ cheangal a stèidhich an neach-dèiligidh, ach chan fhaicear buaidh nam pacaidean sin ach tro sgrùdadh fulangach air an t-sruth trafaic crioptaichte co-cheangailte. le obrachadh an tunail. Gus ionnsaigh a dhèanamh, feumaidh tu faighinn a-mach seòladh IP an eadar-aghaidh lìonra tunail a chaidh a shònrachadh leis an t-seirbheisiche VPN, agus cuideachd dearbhadh gu bheil ceangal ri òstair sònraichte gnìomhach tron tunail an-dràsta.
Gus IP eadar-aghaidh lìonra brìgheil VPN a dhearbhadh, thèid pacaidean SYN-ACK a chuir chun t-siostam luchd-fulaing, ag àireamhachadh an raon iomlan de sheòlaidhean brìgheil (an toiseach, tha na seòlaidhean a thathas a’ cleachdadh anns an VPN air an àireamhachadh gu bunaiteach, mar eisimpleir, OpenVPN a’ cleachdadh an subnet 10.8.0.0/24). Faodar breithneachadh a dhèanamh air seòladh a bhith ann a rèir mar a gheibhear freagairt le bratach RST.
San aon dòigh, tha làthaireachd ceangal ri làrach sònraichte agus àireamh a ’phuirt air taobh an neach-dèiligidh air a dhearbhadh - le bhith a’ rèiteach tro àireamhan a ’phuirt, thèid pasgan SYN a chuir chun neach-cleachdaidh, mar an seòladh stòr, anns a bheil seòladh na làraich. Tha IP air a chuir na àite, agus tha an seòladh ceann-uidhe na IP VPN brìgheil. Faodar ro-innse a dhèanamh air port an fhrithealaiche (80 airson HTTP), agus faodar àireamh a’ phuirt air taobh an neach-dèiligidh a thomhas le feachd brùideil, a’ dèanamh anailis airson diofar àireamhan air an atharrachadh ann an dian fhreagairtean ACK an co-bhonn ri dìth pacaid leis an RST bratach.
Aig an ìre seo, tha fios aig an neach-ionnsaigh air na ceithir eileamaidean den cheangal (stòr seòlaidhean IP / port agus seòladh IP ceann-uidhe / port), ach gus pasgan meallta a ghineadh ris an gabh an siostam fulangach, feumaidh an neach-ionnsaigh an t-sreath TCP a dhearbhadh agus àireamhan aithneachaidh (seq agus ack) - ceanglaichean. Gus na paramadairean sin a dhearbhadh, bidh an neach-ionnsaigh an-còmhnaidh a ’cur phasganan RST meallta, a’ feuchainn diofar àireamhan sreath, gus an lorg e pasgan freagairt ACK, agus tha teachd a-steach a ’nochdadh gu bheil an àireamh a’ tuiteam taobh a-staigh uinneag TCP.
An ath rud, bidh an neach-ionnsaigh a ’soilleireachadh ceartachd a’ mhìneachaidh le bhith a ’cur phasgan leis an aon àireamh agus a’ cumail sùil air tighinn gu freagairtean ACK, agus às deidh sin bidh e a ’taghadh an dearbh àireamh den t-sreath gnàthach. Tha an obair iom-fhillte leis gu bheil freagairtean air an cur taobh a-staigh tunail crioptaichte agus chan urrainnear an làthaireachd anns an t-sruth trafaic eadar-ghlacte a sgrùdadh ach le bhith a’ cleachdadh dhòighean neo-dhìreach. Tha co-dhiù an cuir neach-dèiligidh pasgan ACK air a sheòladh chun t-seirbheisiche VPN air a dhearbhadh a rèir meud agus latency nam freagairtean crioptaichte, a tha co-cheangailte ri bhith a’ cur pacaidean spoofed. Mar eisimpleir, airson OpenVPN, leigidh pasgan crioptaichte de 79 leat breithneachadh ceart a dhèanamh gu bheil ACK a-staigh.
Gus an tèid dìon ionnsaigh a chur ri kernel an t-siostaim obrachaidh mar dhòigh sealach airson an duilgheadas a bhacadh
iptables -t amh -I PREROuting! -i wg0 -d 10.182.12.8 -m addrtype! --src-seòrsa IONADAIL -j DROP
no airson nftables
nft cuir clàr ip amh
nft cuir slabhraidh ip raw prerouting '{ seòrsa filter dubhan ro-làimh prìomhachas 0; }'
nft cuir riaghailt ip raw prerouting 'iifname! = "wg0" ip daddr 10.182.12.8 fib saddr seòrsa != drop ionadail'
Gus do dhìon fhèin nuair a bhios tu a’ cleachdadh tunailean le seòlaidhean IPv4, dìreach suidhich rp_filter gu modh “Strict” (“sysctl net.ipv4.conf.all.rp_filter = 1”). Air taobh VPN, faodar an dòigh lorg àireamh sreath a bhacadh le bhith a’ cur pleadhag a bharrachd ris na pacaidean crioptaichte, a’ dèanamh a h-uile pacaid den aon mheud.
Source: fosgailtenet.ru