openVPN detektierung verhindern

Jump to last post
Togijak

Togijak

Mensch
Registriert
18 Juli 2013
Beiträge
206
Mit ziemlichem Erstaunen habe ich feststellen müssen, dass es möglich ist (offensichtlich per Script) zu erkennen, dass man mit einem VPN unterwegs ist. Den Test dazu findet man über
You do not have permission to view link please Anmelden or Registrieren
und Hintergrundinformationen dazu stehen
You do not have permission to view link please Anmelden or Registrieren


Das Resultat sieht dann so aus

6Ei4AxH.jpg


was irgendwie nicht Sinn der Sache sein kann. Nach einfügen des Fixes mssfix 1250

N1BTbpq.jpg


ist das Resultat des erneuten Testes

0WOlGk9.jpg

Da ich das Einfügen des Fixes an meinem Client gezeigt habe der Hinweis für openVPN Nutzer, der Fix muss in die Config Datei von openVPN eingefügt werden. Angeblich soll auch der Fix mssfix 1360 funktionieren (was ich nicht getestet habe).

Die Quelle dieses Tipps stammt aus dem Forum von AirVPN
You do not have permission to view link please Anmelden or Registrieren
 
Zuletzt bearbeitet:
Umgehen wirst du das nie können. Du kannst versuchen es zu verschleiern, aber es ist nur eine Interessenfrage des "Angreifers".
Wie alter_Bekannter schon sagte kann man schlicht über die IP schon herausfinden, ob du mutmaßlich über einen Server ins Netz gehst oder über einen Privatanschluss. Im Fall liegt der Schluss nahe, dass du einen Proxy/ VPN verwendest.
Alternativ kann man auch gegen deine öffentliche IP (bzw. die des VPN/ Proxy) einen Portscan durchführen und sieht ggf. anhand der well-known oder anderer standardisierter (offener) Ports, ob du ggf. einen Proxy/ VPN verwendest.
 
Wenn er den Inhalt seiner Grafiken verstanden hat wir er dich gleich auch noch flamen, siehe den Bereich ab "PTR Test" bei beiden.:p
 
  • Thread Starter Thread Starter
  • #7
hmm nun bin ich aber gespannt, wie jemand erklären will, wie die angeblichen IP-Listen (der Adressbereich) sich durch Veränderung der MTU verändern soll? Ich hab in der Zwischenzeit die Bilder erneuert, damit deutlicher wird worum es geht. Offensichtlich hat sich niemand die Mühe gemacht, den verlinkten Beitrag
You do not have permission to view link please Anmelden or Registrieren
zu lesen, denn dann wäre jedem klar, dass der Adressbereich garnix damit zu tun hat.

Und warum das überhaupt wichtig sein kann wäre da auch erläutert worden

You may already know that huge video and music streaming services and game shops never really liked VPN users who easily bypass all restrictions to unblock country restricted content or to buy a game for less. Examples are plentiful: Netflix changed their ToS recently so that it can now terminate your account contract if you’re found to be circumventing its geo-restrictions, Hulu was also noticed for blocking VPN users, and Steam has been always suspicious to non-Russian speakers from Russia.
Zum Vergrößern anklicken....
 
alter_Bekannter schrieb:
Wenn er den Inhalt seiner Grafiken verstanden hat wir er dich gleich auch noch flamen, siehe den Bereich ab "PTR Test" bei beiden.:p
Zum Vergrößern anklicken....
Warum? Betrachten wir doch ein real life Szenario, so wie es den TS wahrscheinlich auch interessiert:
Er, Nutzer A, ist mit einem Proxy/ VPN unterwegs und möchte diese Tatsache verstecken.
Netflix (und Co), Serverbetreiber S, möchte (zuverlässig) erkennen können, ob seine Besucher mit Proxy/ VPN unterwegs sind.

Dabei gilt:
1. S möchte false-positives vermeiden
2. S möchte eine hohe Trefferquote
Alles andere würde keinen Sinn machen, bei nur 1 würde er niemanden aussperren und bei nur 2 würde er jeden aussperren.
Die Bedingungen sind also eher zur formalen Definition eines Optimierungsproblems von Relevanz. Andererseits haben sie auch praktische Bedeutung: Bei nur 1 würden keine Nutzer ausgesperrt, dann wäre die Contentindustrie nicht erfreut und S müsste schließen. Bei nur 2 würden alle Nutzer ausgesperrt und S hätte bald keine Kunden mehr und müsste schließen.

Es gibt diverse Möglichkeiten, wie S versuchen kann, (zuverlässig) zu prüfen, ob A einen Proxy/ VPN einsetzt.
Der TS hat gerade einen der gefühlt 20.000 Wege verbaut.
Meine Aussage war lediglich, dass ich der festen Überzeugung bin, dass es S nicht in seinem Vorhaben aufhalten wird.
 
You do not have permission to view link please Anmelden or Registrieren


Öh gerade die markierten Bereiche indizieren das deine Software nicht erkannt wurde aber du ein "Probably Server user" bist. Der Gesamtkontext klingt für mich wie: Keine Auffälligkeiten mehr im verhalten zu finden, aber "vermutlich Server user" => Schlussfolgerung die machen das an der IP Range fest.

Im Bild 1 wurdest du lediglich aufgrund des Formats der Datenverbindung als OpenVPN Verbindung eingeordnet. Was sich einfach wie du es getan hast durch eine Änderung dieses Verbindungsverhaltens vermeiden lässt.

You do not have permission to view link please Anmelden or Registrieren


Klar der Punkt sind die Prioritäten die meisten arbeiten in dem Sektor eher nach dem Motto:
"Wo gehobelt wird da fallen Späne", siehe Netflix und Steam.

Beide sperren lieber mal großzügig pauschal aus. Kannst du Gegenbeispiele nenne die eine Praxisrelevante Größe darstellen?
 
You do not have permission to view link please Anmelden or Registrieren
steht, dass es gerade nicht um simple IP-Listen geht. Laut Artikel benutzt der Service mehrere Methoden, um VPN-Verbindungen zu erkennen:
  • MTU/MSS-Werte der Verbindung, die bei OpenVPN anders ausfallen. OpenVPN hat einen gewissen Overhead an Daten, die in ein Paket müssen. Dadurch sind die durch OpenVPN geleiteten Datenpakete kleiner als "normale" Gegenstücke. Hier hilft der mssfix.
  • Abgleich des User-Agent mit den Fingerprints der Verbindung. Anhand bestimmter Eigenschaften einer Verbindung/HTTP-Anfrage kann man teilweise feststellen, welches Betriebssystem/Programm die Verbindung aufgebaut hat ("Fingerprint"). Unterscheiden sich diese Informationen jetzt von den im User-Agent übertragenen, wurde entweder der UserAgent manipuliert, oder ein zwischengeschalteter Proxy-Server erzeugt die Anfragen. Diese Methode zielt eher auf Proxys als auf OpenVPN ab.
  • PTR-Records. Per Reverse-DNS-Lookup der IP-Adresse wird versucht herauszufinden, ob die Verbindung eher von einem Home-User stammt, oder aus einem Rechenzentrum kommt. Dagegen wären mir spontan keine Abwehrmaßnahmen bekannt.
 
Rakorium-M schrieb:
You do not have permission to view link please Anmelden or Registrieren
steht, dass es gerade nicht um simple IP-Listen geht. (...)

  • PTR-Records. Per Reverse-DNS-Lookup der IP-Adresse wird versucht herauszufinden, ob die Verbindung eher von einem Home-User stammt, oder aus einem Rechenzentrum kommt.
Zum Vergrößern anklicken....
Genau das ist ein simpler Abgleich von Listen.

Laut Artikel benutzt der Service mehrere Methoden, um VPN-Verbindungen zu erkennen
Zum Vergrößern anklicken....
Weder alter_Bekannter, noch accC haben etwas anderes gesagt.
 
Zuletzt bearbeitet von einem Moderator:
  • Thread Starter Thread Starter
  • #13
Es geht mir persönlich nicht mal so sehr um Streaming sondern mehr um Aspekte wie die, die sich aus Artikeln wie dem

NSA ordnet Tor-User als Extremisten ein
03.07.2014

Der Wunsch nach Anonymisierung macht User in den Augen der NSA automatisch zu Extremisten und stellt sie unter Beobachtung. Das berichten NDR und WDR und berufen sich auf den Quellcode von Xkeyscore.

Die Journalisten Lena Kampf, Jacob Appelbaum und John Goetz haben sich Teile des Quellcodes des Ausspäh-Programms Xkeyscore angesehen und festgestellt, dass Nutzer des Anonymisierungsdienstes Tor sowie der Distribution Tails automatisch in einer Extremistendatenbank der NSA landen. Der Geheimdienst, der sich nach eigener Aussage strikt an die Gesetze halte, speichert die IP-Adressen derjenigen, die auf einen von Tors Directory Authorities zugreifen. Xkeyscore dient der Echtzeitüberwachung des Internet. Die Directory Authorities sind quasi die Eingangsportale in das Tor-Netzwerk, dessen Verschlüsslung der NSA laut den Snowden-Dokumenten Probleme beim Auswerten bereitet.

Der Server des in der Sendung porträtierten Directory-Authority-Betreibers Sebastian Hahn taucht in der Liste ebenso auf wie andere europäische Directory Authorities. In der Kommentarspalte des Quellcodes bezeichnet der Geheimdienst die Nutzer des Anonymisierungsdienstes als Extremisten. Auch Suchanfragen, die Begriffe wie "Tor" und "Tails" ethalten, speichert der Geheimdienst routinemäßig. Ausgenommen von der Überwachung sind offenbar die Partnerländer der USA, Neuseeland, Australien, Großbritannien sowie Kanada.

You do not have permission to view link please Anmelden or Registrieren
Zum Vergrößern anklicken....

ergeben. OK was die NSA mach würde mir am .... vorbei gehen, wenn da nicht der Datenaustausch mit anderen Diensten wäre und wie deutsche Dienste denken reagieren und was das für absurde Konsequenzen haben kann hat man eben erst bei netzpolitik.org sehen können. In Deutschland muss sich jeder, der dem Staat kritisch gegenüber steht, möglicherweise auch zum Widerstand bereit ist Gedanken machen, in welchen Listen er geführt wird und warum (z.B. Nutzer des TOR-Browser).

Das Witch Script identifiziert übrigens auch TOR Nutzer

DeEpcPM.jpg

aber auch diesbezüglich habe ich mich schon an Jacob gewandt, denn viele User nutzen TOR nicht nur im DeepWeb und wollen deswegen auch nicht automatisch auf irgend einer Liste landen.
 
Was per se Quatsch ist, denn die meisten TOR Exit nodes tragen sich selbst auf extra Listen ein um nicht für den Traffic zu haften.;)

TOR Nutzer zu identifizieren ist daher schon sehr einfach und präzise.
 
  • Thread Starter Thread Starter
  • #15
@alter_Bekannter

"IRONIE ON"
Wenn ein Eintrag in eine Liste reicht um nicht für den Traffic (Datenmenge) zu haften würde kein Mensch mehr seinen Traffic bezahlen :p
"IRONIE OFF"

was in totalitären Staaten trotzdem negative Konsequenzen für den Nutzer haben kann = ein zweischneidiges Schwert
 
Ich bin mir gerade nicht sicher ob du das verstanden hast, die Listen existieren und zwar aus gneau diesem Grund:
You do not have permission to view link please Anmelden or Registrieren


Direkt auf der ersten Seite ist sogar der Wikipediartikel der es erwähnt...

Die Aussage hat nichts mit meiner Meinung zu tun, es ist schlicht ein Fakt.
 
bg.png
fr.png
hu.png
Alle drei Screenshots während einer aktiven OpenVPN Verbindung auf einem Linux System erstellt.
Wenn das einfache ändern des mssfix/MTU die VPN-Erkennung aushebelt macht das wohl mein Anbieter richtig. Ist wohl auch "nur" ein Abgleich mit den von OpenVPN verwendeten Standardwerten, passen die nicht 100%ig wirds nicht erkannt. Diese zu ändern ist ein Klacks. Habe die Werte mal teilweise geschwärzt weil ich nicht weiss ob der Anbieter damit einverstanden wäre.
Auch die PTR Geschichte scheint nicht sonderlich zuverlässig zu sein. Das es ein Server ist wird nur in einem Fall erkannt, da hat der VPN Anbieter seinen Hostnamen gesetzt, der wird wohl gelistet sein und wird erkannt. Trotzdem wird weder OpenVPN noch ein Proxy erkannt.
Einmal gibts wohl gar keinen Hostnamen zu erkennen und einmal schlägt die Erkennung offensichtlich total fehl.
 
  • Thread Starter Thread Starter
  • #18
You do not have permission to view link please Anmelden or Registrieren


Hatte ich schon verstanden und auch gar nicht angenommen, dass es sich um eine Meinung handelt
 
Meinungen sind wie A... jeder hat eins!!
NSA ordnet Tor-User als Extremisten ein
03.07.2014
Zum Vergrößern anklicken....
UND ich hab eh nicht vor irgendwann da rüber zu fliegen! Ausserdem bin ich Tor User seit Jahren also eh zu spät

Ah und jede Firma die OpenVpn benutzt ist dann eh auch bei der NSA dabei !
 
Zuletzt bearbeitet:
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben