OpenVPN被墙拦截的解决方案

lgsr

其实俺就是看看有图比，就自己一个人用，换个端口用不了2天就封，有必要这么赶尽杀绝吗？
我现在是用SSH+OPENVPN

眼镜

你们是哪的 帝都么？我这pptp挺好的。

victzhang

哈P哥 发表于 2012-12-17 09:52
难道不能像6楼说的自己弄？

OpenVPN的数据包已经是加密过的，一般的过滤方法没法识别。现在G。F。W的做法是查找openvpn数据包的特征（比如包的长度、某些关键字节特称等），采用机器学习方法，识别出哪些数据包可能是OpenVPN的数据包。
理论上来说，即使是采用SSH隧道加密，虽然不知道数据包的真实内容，但利用机器学习方法也可以从加密的数据包中区分出哪些是HTTP、哪些是DNS数据包等，据说准确率可以到90%+。
最可靠的办法是伪装成其他协议，或者让协议变得毫无特称无法识别。像电驴，原来很多ISP都封掉了ED2K的协议，后来电驴就开发了“迷惑协议”防止封锁。T。O。R。的SSL/TLS认证过程是模仿FireFox的。
现在需要为OpenVPN加入类似的功能。估计指望官方加入这个功能不大可能，毕竟OpenVPN本身的设计初衷不是用于FQ。期待牛人自己fork一个带迷惑协议功能（特别是UDP）的OpenVPN。

哈P哥

victzhang 发表于 2012-12-17 13:56
OpenVPN的数据包已经是加密过的，一般的过滤方法没法识别。现在G。F。W的做法是查找openvpn数据包的特征 ...

牛人自己开发出来也不见得给你用。

godstar

天朝在开发这些功能上边真是不遗余力啊~

哈P哥

godstar 发表于 2012-12-17 16:16
天朝在开发这些功能上边真是不遗余力啊~

这方面的技术可能跟国际接轨了

uuis

可以将Tor流量伪装成Skype视频呼叫，

该程序被称为SkypeMorph，加拿大滑铁卢大学的计算机科学家Ian Goldberg教授是Tor Pr
oject理事会理事，他指出它的目标是让流量看起来像是其它不太可能被屏蔽的协议，除非
关闭互联网，但埃及已有先例。SkypeMorph依赖于微软的Skype服务在终端用户和网桥之间
建立加密通道。Tor用户首先向网桥发送一个Skype短消息，执行Diffie Hellman 密钥交换
以确保连接可信任。一旦传送完成，SkypeMorph启动Skype视频呼叫网桥，然后立即挂断，
网桥和终端用户随后使用正常的Tor协议安全通信。为了防止Tor流量被网络流量分析识别
出来，SkypeMorph利用流量调整功能，将Tor数据包转变成Skype使用的用户数据报协议包
。流量调整还模拟了正常的Skype视频通话产生的数据包大小和时间控制。观察流量的审查
者只会看到有人在进行Skype通信。

相关：
http://internet.solidot.org/internet/12/04/04/1058222.shtml?tid=120
http://software.solidot.org/software/11/09/16/0157258.shtml?tid=120
http://goo.gl/eCmEY
http://crysp.uwaterloo.ca/software/
http://crysp.uwaterloo.ca/software/SkypeMorph-0.5.tar.gz
http://www.cs.uwaterloo.ca/~iang/
http://bbs.sjtu.edu.cn/bbscon,board,Security,file,M.1333633193.A.html

k2775739

用自己的端口 自己的密道 让别人羡慕去吧

gaogeli

迷惑协议才是王道啊，这才叫Q高一尺，F高一丈。

xiasl