Маршрутизатор подслушивает по туннелю SSH?

836
eyuelt

Поэтому я нахожусь в общественной сети Wi-Fi, которая блокирует такие сайты, как YouTube, чтобы сохранить пропускную способность. Я предполагаю, что маршрутизатор отслеживает весь трафик и отклоняет все запросы, отправленные на сайты из своего черного списка. Чтобы обойти это, я попытался использовать туннель SSH, чтобы у меня было зашифрованное соединение с моим удаленным сервером, и веб-запросы были сделаны с удаленного сервера. Поэтому маршрутизатор, к которому я подключен, не должен знать, какие пакеты я отправляю.

Я пробовал этот метод раньше в других сетях, которые фильтровали трафик на сайты, такие как YouTube, и он работал отлично. каким-то образом этот маршрутизатор все еще может блокировать сайты. Я проверил, чтобы убедиться, что мой трафик действительно проходит через удаленный сервер, проверив IP-адрес, поэтому я знаю, что я не просто испортил настройки или забыл указать моему браузеру правильный порт. Я попытался перенаправить трафик через два отдельных сервера, один из которых использует аутентификацию по паролю, а другой - только ключи, и трафик фильтруется в обоих случаях.

Если пакеты, которые я отправляю на удаленный сервер и с него, зашифрованы, как маршрутизатор может узнать, что я пытаюсь получить доступ к YouTube? Маршрутизатор атакует меня посредником? Я проверил отпечаток пальца сервера, и он был таким же, как обычно, но, возможно, маршрутизатор может подделать отпечаток пальца?

Я просто хочу понять, как маршрутизатор делает это.

4
Моя первая мысль - утечка DNS. Я бы посоветовал вам использовать инструмент перехвата пакетов, такой как Wireshark, чтобы убедиться, что ваш DNS-запрос для youtube.com проходит через SSH-туннель, а не направляется напрямую к маршрутизатору и блокируется. user2675345 10 лет назад 16
@ user2675345, вероятно, правильно. Shadur 10 лет назад 0
Возможно, он блокирует _all_ трафик, который выглядит как «маленькая исходящая полезная нагрузка - огромная входящая полезная нагрузка, приходящаяся ниже емкости линии» (что может указывать на потоковое видео)? Piskvor 10 лет назад 0
Также может быть какой-то механизм проверки пакетов в работе. Для лучших результатов, пусть ваш SSH сервер прослушивает tcp / 443 :) 10 лет назад 0
@Piskvor - они блокировали весь сайт, а не только видео. Так что я даже не смог зайти на домашнюю страницу YouTube. 10 лет назад 0
@ user2675345 - Спасибо, я впервые слышу об утечках DNS. Я посмотрю на это и обязательно проверю, когда в следующий раз снова окажусь в сети. 10 лет назад 0
Как именно проявляется заблокированный сайт? Если возможно, предоставьте скриншот. Daniel B 10 лет назад 0
Как вы получаете доступ к YouTube? С ПК + браузером или чем-то вроде телефона Android? Если Android: может ли приложение для YouTube игнорировать туннель? Также (для всех устройств): какие DNS-серверы вы используете? Как указал user2675345, возможно, ваши DNS-запросы игнорируют туннель. Вы также пытались очистить кэш DNS? masgo 10 лет назад 0
Вы можете использовать OpenVPN и направлять весь трафик, включая DNS, через ваш сервер. gogators 10 лет назад 1
Если вы используете прокси-сервер на другом конце туннеля ssh, он должен выполнить свой собственный поиск DNS. Tom Newton 9 лет назад 0

2 ответа на вопрос

0
MoonSire

Just like @user2675345 is saying, you should probably check the DNS proxy settings if your browser has any.

Follow these steps to enable DNS lookups through a proxy in Firefox:

  1. enter about:config in the address bar
  2. search for proxy
  3. set network.proxy.socks_remote_dns to true

I used to be a Chrome user myself, but switched to Firefox when I noticed that the DNS lookups didn't use the proxy settings. That was a while ago and should be fixed now according to this bug report.

0
eyuelt

tl;dr: It was a DNS leak. Thanks to @user2675345 for the tip off!

Here is the page I got when I accessed a blocked site:

blocked site

I first tried pinging a few websites and saw that their IP addresses were the same. As can be seen in this image:

pings

both youtube.com and metacafe.com, which are both blocked, have 176.12.107.179 as their IP. Unsurprisingly, navigating to this IP in a browser yields the "Requested Site Blocked" page shown above. Pinging www.google.com on the other hand, results in a legit IP pointing to Google.

So the urls were getting mapped to the wrong IP. I used dig to inspect the DNS entries and confirm this.

digs

Indeed, the DNS entry for youtube.com had 176.12.107.179 as it's IP.

I then used Wireshark to check out the DNS requests and saw that the requests weren't coming from the IP of the server I was SSH'ed into, but from my local IP address.

ip trace

Even though I was using an SSH tunnel, my DNS requests were not going through the tunnel. Also, they seemed to be going to an IP address on the same network. So it looks like the router onboard the bus was acting as a DNS server and giving out bad DNS answers for sites on its blacklist.

This is a very serious vulnerability. Not only could an eavesdropper see all of the websites I was going to, but the person controlling the router/DNS server could easily route me to a malicious version of youtube, rather than to the "Requested Site Blocked" page. And ll the while, I'm thinking that my traffic is all going through the SSH tunnel and I'm completely secure.

Похожие вопросы