上层网络可以检测你访问了那些网站或者跟踪你的网络活动?绕过的方案有那些?

2019-11-20 09:47:48 +08:00
 bfchengnuo

纯属好奇,求各位大佬解答。

我记得之前在家用路由器设置里看到过这个功能(大概),所以这个层面应该是可以检测的,甚至很早之前用的 P2P 终结者,利用 ARP 欺骗还是啥的也能做到限制域名访问等。

我知道想查肯定是能查到的,在一般情况下,摸鱼不被明显的检测到的方法有那些呢? 不考虑根据 IP 反查的情况...


昨天还看到了下面的一则消息:

Windows 将支持 DNS over HTTPS

微软官方博客宣布,Windows 将支持 DNS over HTTPS ( DoH ),加密 DNS 流量以保护用户隐私。微软称,提供加密 DNS 支持而不破坏已有的 Windows 管理配置并非易事,但微软相信应该将隐私视为一种人权,因此必须内置端对端网络安全。微软认为加密 DNS 有助于让整个互联网生态系统变得更健康。微软称他们寻求让用户能使用他们想要的任何协议,Windows DNS 客户端未来会提供选项支持 DNS over TLS (DoT) ,但当前的优先任务是支持 DoH,因为它可以重用现有的 HTTPS 基础设施,可以更快提供给用户。微软表示提前宣布支持 DoH 是为了让它的意图尽可能早的传达给用户。 来源: https://www.solidot.org/story?sid=62659

DNS 解析是否是主要的泄漏原因?不知道 MacOS 这方面什么情况。


Chrome 在隐身模式下,也有提醒:

以下各方可能仍会看到您的活动:

4202 次点击
所在节点    问与答
20 条回复
aoling
2019-11-20 09:59:11 +08:00
自问自答显摆的你专业嘛?

深信服 AC 了解一下
wysnylc
2019-11-20 10:02:26 +08:00
如果不是为了出 q,任意 vpn 都可以
说这么一堆你都是不了解不了解麻烦百度谷歌了解下行吗
fancy111
2019-11-20 10:04:06 +08:00
想多了,绕过是不可能的,除非你网络通信全局加密,注意不是 HTTPS 这种公私有证书形式,而是端对端消息加密,这样即使获取了你的流量信息,也不知道内容。
bfchengnuo
2019-11-20 10:15:20 +08:00
@aoling 并不是自问自答,我仅仅是思考过这几种方式,就是因为不专业所以不确定是否可行。

@wysnylc 原因并非全是出 q,有很大原因是怕摸鱼被查,我根据我的想法谷歌查了一些资料,已经写在上面了,但是并不确定可行性,继续深入需要一定的时间,我觉得问一下是最快的。

@fancy111 我也这样认为,端对端消息加密应该是个比较好的方案。
locoz
2019-11-20 10:24:30 +08:00
思路没问题,所有流量通过隧道加密转发出去、DNS 强制通过隧道远端查询,这样就只有建立隧道的时候有风险了,建立通道后是全程加密的,网关只能看到你连了一个远端服务器和一堆加密的通信。
locoz
2019-11-20 10:27:28 +08:00
当然,除了加密以外,最好再加上一些混淆,因为单纯的加密会很明显,FQ 用的那些东西都是这么做的。
wysnylc
2019-11-20 10:39:47 +08:00
@bfchengnuo #4 别人一看你整天和一个 ip 打交道,内容还加密了肯定是要找你谈话的网络部的又不是傻子
想摸鱼就用热点用 4g,你只要用公司的网络查你只是愿不愿意的问题
passerbytiny
2019-11-20 10:44:37 +08:00
仅考虑上层网络:
一,HTTPS 仅能保证数据——无法被查看和纂改,但不保证路径——你访问经过的域名、IP、URL 都是明文的而且必须是明文的。
二,DNS 不在讨论范围内,DNS 是域名-IP 翻译服务而不是网络服务,可用来做域名劫持,但从来不是网络跟踪的主要手段。DNS over HTTPS 是用来防止域名劫持的,也不在讨论范围内。
三,你所说的剩余所有手段,可统称为 VPN——虚拟私人网络,此时,数据和路径都是无法被跟踪的,但是:这毕竟是虚拟私人网络而不是物理私人网络,你跟 VPN 服务器之间的流量,是可以被跟踪的。

总之一句话,完全绕过是不可能的。
locoz
2019-11-20 10:55:48 +08:00
@wysnylc #7 阿里云按量付费+多机+随机时间自动更换,v2ray https 伪装,加上一些假请求干扰,要看出来还是有点难度的
wysnylc
2019-11-20 11:06:17 +08:00
@locoz #9 长期还是有风险的,而且这么小心翼翼用来摸鱼已经失去了摸鱼的意义
DOH github 上有 Simple DnsCrypt 可以用,我也发过贴
pkookp8
2019-11-20 11:47:31 +08:00
如果只有一台主机用来做跳板,我觉得还是会被看出来的
不管什么协议,总得有 ip 吧
ip 是国外的,流量没有特征也是一种特征,那就有被发现的可能
q 可能只有很少的一部分黑名单,多数是机器学习以及特征的判断,所以才有一段时间后 ip 的解禁一说
locoz
2019-11-20 12:02:56 +08:00
@wysnylc #10 hhhh 其实弄这些的时候就可以是在摸鱼了,边摸边完善 其实技术方面被发现的概率可能还没有被人看到之后找人事举报的概率高
imn1
2019-11-20 12:14:23 +08:00
在国内,我不建议全部流量都跑到一个方向,这样更容易被关注
至少一些东西要用国内的 DNS,和直连访问
datocp
2019-11-20 12:49:06 +08:00
早期的 s 用了 10 天就删除了,因为在 2015 年 1 月 1 号大家都上不了网,我只记得 socks5 是有远程 dns 解析功能出现这么个事情就担心被人中间代理了。
最喜欢的可能是 stunnel,支持服务器客户端互相验证身份,服务器端定时变更证书。ssl 看起来是个特征没发现现在都在 ssl,特征也变得非常普通。支持 rr 负载将内容打散到不同服务器。应用特殊的应用,可以将 web 的 tcp 443 进行 https ssl 复用。除了 stunnel,没见过更高级的其它东东了。
optional
2019-11-20 13:54:54 +08:00
为什么会认为 DOH 保护隐私? DOH 只是保护了链路上可能被监听,但是对于 DNS 厂商而言,这解析记录简直是用户双手奉送上来的。
opengps
2019-11-20 13:57:59 +08:00
http 协议全程明文,稍微有点“不怀好意”的设备都能做到
mercury233
2019-11-20 14:02:09 +08:00
@passerbytiny https 的 url 不是明文的,只有域名是明文的,但 url 泄露的风险还是存在的
sdfsun
2019-11-20 17:33:27 +08:00
不只是 dns 的问题,即使隧道加密也是能找到特征的,包括使用的行为特征。这是一件道高一尺魔高一丈的事情。
whwlsfb
2019-11-20 17:41:47 +08:00
完全检测是不现实的,基于 dns 黑名单检测的话 pi-hole 了解一下
whwlsfb
2019-11-20 17:44:24 +08:00
@whwlsfb 不好意思看错了,我以为是绕过网站跟踪😰

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/621256

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX