V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
bfchengnuo
V2EX  ›  问与答

上层网络可以检测你访问了那些网站或者跟踪你的网络活动?绕过的方案有那些?

  •  
  •   bfchengnuo · 2019-11-20 09:47:48 +08:00 · 4162 次点击
    这是一个创建于 1831 天前的主题,其中的信息可能已经有所发展或是发生改变。

    纯属好奇,求各位大佬解答。

    我记得之前在家用路由器设置里看到过这个功能(大概),所以这个层面应该是可以检测的,甚至很早之前用的 P2P 终结者,利用 ARP 欺骗还是啥的也能做到限制域名访问等。

    我知道想查肯定是能查到的,在一般情况下,摸鱼不被明显的检测到的方法有那些呢? 不考虑根据 IP 反查的情况...

    • HTTPS:根据我对 HTTPS 的简单了解,它应该只保证了对传输内容的加密与防篡改,域名应该是透明的
    • 使用 $$:这部分的具体原理不是很清楚,不过感觉默认应该不是远程 DNS 解析,这样的话应该也逃不过,仅是内容“加密”
    • 使用 v$ray:同上,不知道支不支持远程 DNS 解析。
    • 使用 歪 PN:这个应该没啥问题,直接全局隧道。
    • 使用 proxifier 类似的软件,然后设置远程 DNS 解析,感觉可以。

    昨天还看到了下面的一则消息:

    Windows 将支持 DNS over HTTPS

    微软官方博客宣布,Windows 将支持 DNS over HTTPS ( DoH ),加密 DNS 流量以保护用户隐私。微软称,提供加密 DNS 支持而不破坏已有的 Windows 管理配置并非易事,但微软相信应该将隐私视为一种人权,因此必须内置端对端网络安全。微软认为加密 DNS 有助于让整个互联网生态系统变得更健康。微软称他们寻求让用户能使用他们想要的任何协议,Windows DNS 客户端未来会提供选项支持 DNS over TLS (DoT) ,但当前的优先任务是支持 DoH,因为它可以重用现有的 HTTPS 基础设施,可以更快提供给用户。微软表示提前宣布支持 DoH 是为了让它的意图尽可能早的传达给用户。 来源: https://www.solidot.org/story?sid=62659

    DNS 解析是否是主要的泄漏原因?不知道 MacOS 这方面什么情况。


    Chrome 在隐身模式下,也有提醒:

    以下各方可能仍会看到您的活动:

    • 您访问的网站
    • 您的雇主或您所在的学校
    • 您的互联网服务提供商
    第 1 条附言  ·  2019-11-20 10:36:35 +08:00
    虽然提到了某类软件,但是本意并不侧重在出 q,毕竟国内的服务器也能用嘛

    主要是想简单隐藏下访问的网址,方便大胆的摸鱼~
    20 条回复    2019-11-20 17:44:24 +08:00
    aoling
        1
    aoling  
       2019-11-20 09:59:11 +08:00
    自问自答显摆的你专业嘛?

    深信服 AC 了解一下
    wysnylc
        2
    wysnylc  
       2019-11-20 10:02:26 +08:00
    如果不是为了出 q,任意 vpn 都可以
    说这么一堆你都是不了解不了解麻烦百度谷歌了解下行吗
    fancy111
        3
    fancy111  
       2019-11-20 10:04:06 +08:00
    想多了,绕过是不可能的,除非你网络通信全局加密,注意不是 HTTPS 这种公私有证书形式,而是端对端消息加密,这样即使获取了你的流量信息,也不知道内容。
    bfchengnuo
        4
    bfchengnuo  
    OP
       2019-11-20 10:15:20 +08:00
    @aoling 并不是自问自答,我仅仅是思考过这几种方式,就是因为不专业所以不确定是否可行。

    @wysnylc 原因并非全是出 q,有很大原因是怕摸鱼被查,我根据我的想法谷歌查了一些资料,已经写在上面了,但是并不确定可行性,继续深入需要一定的时间,我觉得问一下是最快的。

    @fancy111 我也这样认为,端对端消息加密应该是个比较好的方案。
    locoz
        5
    locoz  
       2019-11-20 10:24:30 +08:00   ❤️ 1
    思路没问题,所有流量通过隧道加密转发出去、DNS 强制通过隧道远端查询,这样就只有建立隧道的时候有风险了,建立通道后是全程加密的,网关只能看到你连了一个远端服务器和一堆加密的通信。
    locoz
        6
    locoz  
       2019-11-20 10:27:28 +08:00
    当然,除了加密以外,最好再加上一些混淆,因为单纯的加密会很明显,FQ 用的那些东西都是这么做的。
    wysnylc
        7
    wysnylc  
       2019-11-20 10:39:47 +08:00
    @bfchengnuo #4 别人一看你整天和一个 ip 打交道,内容还加密了肯定是要找你谈话的网络部的又不是傻子
    想摸鱼就用热点用 4g,你只要用公司的网络查你只是愿不愿意的问题
    passerbytiny
        8
    passerbytiny  
       2019-11-20 10:44:37 +08:00   ❤️ 1
    仅考虑上层网络:
    一,HTTPS 仅能保证数据——无法被查看和纂改,但不保证路径——你访问经过的域名、IP、URL 都是明文的而且必须是明文的。
    二,DNS 不在讨论范围内,DNS 是域名-IP 翻译服务而不是网络服务,可用来做域名劫持,但从来不是网络跟踪的主要手段。DNS over HTTPS 是用来防止域名劫持的,也不在讨论范围内。
    三,你所说的剩余所有手段,可统称为 VPN——虚拟私人网络,此时,数据和路径都是无法被跟踪的,但是:这毕竟是虚拟私人网络而不是物理私人网络,你跟 VPN 服务器之间的流量,是可以被跟踪的。

    总之一句话,完全绕过是不可能的。
    locoz
        9
    locoz  
       2019-11-20 10:55:48 +08:00
    @wysnylc #7 阿里云按量付费+多机+随机时间自动更换,v2ray https 伪装,加上一些假请求干扰,要看出来还是有点难度的
    wysnylc
        10
    wysnylc  
       2019-11-20 11:06:17 +08:00
    @locoz #9 长期还是有风险的,而且这么小心翼翼用来摸鱼已经失去了摸鱼的意义
    DOH github 上有 Simple DnsCrypt 可以用,我也发过贴
    pkookp8
        11
    pkookp8  
       2019-11-20 11:47:31 +08:00 via Android
    如果只有一台主机用来做跳板,我觉得还是会被看出来的
    不管什么协议,总得有 ip 吧
    ip 是国外的,流量没有特征也是一种特征,那就有被发现的可能
    q 可能只有很少的一部分黑名单,多数是机器学习以及特征的判断,所以才有一段时间后 ip 的解禁一说
    locoz
        12
    locoz  
       2019-11-20 12:02:56 +08:00
    @wysnylc #10 hhhh 其实弄这些的时候就可以是在摸鱼了,边摸边完善 其实技术方面被发现的概率可能还没有被人看到之后找人事举报的概率高
    imn1
        13
    imn1  
       2019-11-20 12:14:23 +08:00
    在国内,我不建议全部流量都跑到一个方向,这样更容易被关注
    至少一些东西要用国内的 DNS,和直连访问
    datocp
        14
    datocp  
       2019-11-20 12:49:06 +08:00 via Android
    早期的 s 用了 10 天就删除了,因为在 2015 年 1 月 1 号大家都上不了网,我只记得 socks5 是有远程 dns 解析功能出现这么个事情就担心被人中间代理了。
    最喜欢的可能是 stunnel,支持服务器客户端互相验证身份,服务器端定时变更证书。ssl 看起来是个特征没发现现在都在 ssl,特征也变得非常普通。支持 rr 负载将内容打散到不同服务器。应用特殊的应用,可以将 web 的 tcp 443 进行 https ssl 复用。除了 stunnel,没见过更高级的其它东东了。
    optional
        15
    optional  
       2019-11-20 13:54:54 +08:00
    为什么会认为 DOH 保护隐私? DOH 只是保护了链路上可能被监听,但是对于 DNS 厂商而言,这解析记录简直是用户双手奉送上来的。
    opengps
        16
    opengps  
       2019-11-20 13:57:59 +08:00
    http 协议全程明文,稍微有点“不怀好意”的设备都能做到
    mercury233
        17
    mercury233  
       2019-11-20 14:02:09 +08:00
    @passerbytiny https 的 url 不是明文的,只有域名是明文的,但 url 泄露的风险还是存在的
    sdfsun
        18
    sdfsun  
       2019-11-20 17:33:27 +08:00
    不只是 dns 的问题,即使隧道加密也是能找到特征的,包括使用的行为特征。这是一件道高一尺魔高一丈的事情。
    whwlsfb
        19
    whwlsfb  
       2019-11-20 17:41:47 +08:00 via Android
    完全检测是不现实的,基于 dns 黑名单检测的话 pi-hole 了解一下
    whwlsfb
        20
    whwlsfb  
       2019-11-20 17:44:24 +08:00 via Android
    @whwlsfb 不好意思看错了,我以为是绕过网站跟踪😰
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2699 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 23ms · UTC 03:07 · PVG 11:07 · LAX 19:07 · JFK 22:07
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.