RDot

RDot (https://rdot.org/forum/index.php)
-   Инструментарий/Tools (https://rdot.org/forum/forumdisplay.php?f=61)
-   -   Tor FAQ (https://rdot.org/forum/showthread.php?t=3237)

dikiy 21.08.2014 10:12

Tor FAQ
 
Double Socks Tor (socks->tor->socks)

В связи с участившимися новостями о небезопасности сети tor, предлагаю простое решение, позволяющее обойти возможности детекта нашего подключения к сети tor, а также маркировки и снифа нашего трафика на входной и выходной ноде соответственно.

Для работы нам понадобятся два ssh тоннеля.

Сокращения:
input-ssh-ip - ip адрес ssh тоннеля 1
out-ssh-ip - ip адрес ssh тоннеля 2
tor-server-ip - ip адрес нашего сервера с tor демоном

#Поднимаем ssh-socks через который будем коннектится к tor сети (socks->tor)
Код:

ssh -CND 33900 root@input-ssh-ip
#В настройках /etc/tor/torrc прописываем
Код:

Socks5Proxy 127.0.0.1:33900
#Рестартим tor
Код:

service tor restart
#Поднимаем выходной ssh-socks (tor->socks)
Код:

ssh -CND 44999 root@out-ssh-ip -o ProxyCommand="nc -X 5 -x 127.0.0.1:9050 %h %p"
Теперь на порту 44999 у нас висит нужный нам socks прокси.


Плюшки)

Демон Tor'a имеет одну особенность: его можно настроить так, что он будет доступен не только с локального адреса 127.0.0.1:9050, но и по удаленному ip. Что позволит не поднимать тор на каждом сервере, с которого мы делаем наши пентесты.

Для этого в кофиг /etc/tor/torrc добавляем следующие строчки:

#На каком адресе слушать
Код:

SocksListenAddress tor-server-ip
#С каких адресов доступно подключение
Код:

SocksPolicy accept 99.99.99.1/32
#Рестартим tor
Код:

service tor restart
Вуаля. По адресу tor-server-ip:9050 у нас висит tor-socks и теперь на любой машине (добавленной в SocksPolicy accept) можно сделать так:

Код:

ssh -CND 44999 root@out-ssh-ip -o ProxyCommand="nc -X 5 -x tor-server-ip:9050 %h %p"
Продолжеие следует...

SuvSomat 21.08.2014 10:27

http://habrahabr.ru/company/mailru/blog/232563/

ваше решение спасет от маркировки ?

dikiy 21.08.2014 11:07

Цитата:

Сообщение от SuvSomat (Сообщение 36874)
http://habrahabr.ru/company/mailru/blog/232563/

ваше решение спасет от маркировки ?

Насколько я понял, для маркировки нужно минимум два условия: исходящий от нас тор трафик, снифер на уровне провайдера. тк тор идет через шифрованный socks, то провайдер не увидит тор трафик. Соответственно решение спасет от маркировки тор трафика.

SuvSomat 05.01.2015 22:42

Цитата:

Сообщение от dikiy (Сообщение 36873)
Продолжеие следует...

нет ничего нового , или в привате все ?

devv 06.01.2015 00:40

Цитата:

Сообщение от dikiy (Сообщение 36878)
Насколько я понял, для маркировки нужно минимум два условия: исходящий от нас тор трафик, снифер на уровне провайдера. тк тор идет через шифрованный socks, то провайдер не увидит тор трафик. Соответственно решение спасет от маркировки тор трафика.

А что на это скажут товарищи из приватных групп?

Как мне кажется, по идее да, не должон палиться такой трафф, но ведь могут быть подводные камни и скрытые возможности которые не видны на первый взгляд, в частности трафф идущий с тора через шифрованную SSH тунелю (или VPN) к "пентестеру" на компьютер всё равно могут оставлять какие то следы, а провайдер всё равно видит траффик, хоть и шифрованные бинарные куски, но видит, и может быть в этом бинарном мусоре может найтись совсем не мусорная информация...


Часовой пояс GMT +3, время: 18:08.

Powered by vBulletin® Version 3.8.5
Copyright ©2000 - 2020, Jelsoft Enterprises Ltd. Перевод: zCarot