Каким образом любая компания «замените свой DNS и наблюдайте за netflix из другой страны» может работать с трафиком HTTPS?

705
guest

Существует множество сервисов, таких как «unblock-us.com», которые позволяют использовать гео-ограниченные сервисы из других стран. Настройка всегда одна и та же: просто замени DNS и все.

У меня вопрос: как это работает?

Для HTTP-трафика это очень просто - DNS должен вернуть IP-адрес какого-либо сервера, который находится в нужной географической области, принимает HTTP-запросы и перенаправляет их на сервер, известный из заголовка HOST.

Для HTTPS-трафика - HTTP-трафик отправляется по SSL, поэтому теоретически любой прокси-сервер может видеть только то, что кто-то отправил большую часть зашифрованных данных с неизвестным назначением. Как это работает?

0

2 ответа на вопрос

0
Daniel B

Служба Smart DNS не должна беспокоиться о фактическом содержании запроса. Он просто перенаправляет все соединение как есть. Конечно, для этого требуется соотношение 1: 1 между перенаправленным доменным именем и IP-адресом.

Если вы хотите получить доступ netflix.com, смарт DNS - сервер «кует» ответ и направляет вас, скажем, 1.2.3.4. Этот сервер находится в США, чтобы обмануть Netflix. Он просто меняет некоторые заголовки на трафик, в то же время передавая данные между фактическими netflix.comсерверами и вашим ПК. Для Netflix похоже, что он общается с 1.2.3.4.

Сервер знает, что когда приходит трафик 1.2.3.4, это для Netflix. Там может быть другой адрес 1.2.3.5, для Youtube.

Можете ли вы объяснить это немного больше? Если в США есть сервер, через который проходит мой трафик, мой браузер увидит этот сервер вместо netflix.com, поэтому выдает ошибку, в которой говорится, что IP-адрес этого сервера не совпадает с netflix.com. Sam 7 лет назад 0
@Sam Этот процесс полностью прозрачен для вашего браузера. Он не знает, что `netflix.com` на самом деле имеет другой IP-адрес, потому что эта информация была« подделана »службой Smart DNS. Daniel B 7 лет назад 0
Хорошо, я только что прочитал, что сертификаты не привязаны к IP, а только к имени хоста. Я всегда думал, что они связаны с обоими. Sam 7 лет назад 0
0
nKn

Большинство современных программных средств способны дешифровать и повторно шифровать трафик SSL, настроив прокси-сервер как посредника. Таким образом, цепочка доверия сертификатов SSL / TLS действительно нарушена, но немного более изощренна, поэтому пользователь даже не знает об этом.

В моем случае я использовал Squid3аналогичную конфигурацию для прозрачного прокси, и есть функция, Squid-in-the-middle SSL Bumpкоторая в резюме делает это. Это (как вы увидите по этой ссылке ) влечет за собой некоторые моральные и даже юридические проблемы, поскольку это может быть незаконно в зависимости от того, в какой стране / штате вы живете. Однако имейте в виду, что когда прокси-сервер генерирует динамический сертификат, он должен быть принят пользователем в любом случае.

Есть очень хорошая ссылка, которая подробно описывает это, и ее легко прочитать, поэтому я надеюсь, что она поможет вам понять, как создаются такие прозрачные прокси.

Это все еще видно для пользователя, если он не решит доверять ЦС, который динамически создает сертификаты. Daniel B 8 лет назад 0
Вы правы, я добавил фразу, поясняющую это, спасибо. nKn 8 лет назад 0

Похожие вопросы