在公司用 zerotier 被安全运维检测到了

2023-11-21 16:55:34 +08:00
 kinboy
应该是在网关上流量分析检测到的,本地没有安装监控软件,zerotier 用的默认的官方信令配置,想知道网关上一般是通过什么手段检测的
如果是通过域名,是不是自己搭建 moon server+高位端口可以避开检测
如果是通过协议分析,应该就无法避免了
8979 次点击
所在节点    信息安全
44 条回复
6a82aa9bfe
2023-11-21 17:13:05 +08:00
被检测到说明你公司不允许用,你还想避免,被抓到怕不是要牢底坐穿
ragnaroks
2023-11-21 17:20:31 +08:00
zerotier 的 UDP 包特征明显且固定
somebody1
2023-11-21 17:26:28 +08:00
什么时候因为你的 zerotier 公司内网被突破了,你是不是还要再发个帖子问会不会蹲监狱啊?

我告诉你,会的,有重大破坏,会被判刑的。

公司明令禁止的东西为什么要违反,就跟那个改造电瓶车的一样,要么你跟公司去走申请,跟你申请下来,你写保证书。要么你就别用。
a8Fy37XzWf70G0yW
2023-11-21 17:30:00 +08:00
不是僅僅通過網域名稱這一點就能確定的。建議 PO 主瞭解一下企業上網行爲管理系統的功能有哪些。
mskumiko
2023-11-21 17:36:00 +08:00
@somebody1 你耽误我行使自由权益了!/DOGE
janus77
2023-11-21 17:55:17 +08:00
我就一句话
如果大伙给你说了解决办法,然后导致你被抓了,你会来找我们麻烦吗?
gps949
2023-11-21 18:01:05 +08:00
你用 ZT 干啥了?如果 ZT 只为远程一两个机器可能还好,你要是把 ZT 作为通道走外面的节点作为代理节点,那不是流量都走向那一两个 IP 了?都用不到什么域名、协议分析啥的,单看流量都能揪出来了
kinboy
2023-11-21 18:17:37 +08:00
@6a82aa9bfe #1
@somebody1 #3
@mskumiko #5
@janus77 #6
谢谢各位的友善提醒,让大家笑话了,我在这里提问只是一个情景假设,当然没有必要去冒这样的风险,之所以会在公司电脑上安装是为了连上家里的局域网,有时候假期在家需要远程公司电脑用,运维反馈后就立即卸载了,实际上运维反馈出现 zt 攻击的不是我本地电脑,是另一台 openwrt 软路由上的 zt 攻击,我也没有连过那台 openwrt 设备
guanzhangzhang
2023-11-21 18:45:55 +08:00
udp 不是很正常的特征吗🤔,心跳包啥的 udp 更明显了
Jat001
2023-11-21 18:57:03 +08:00
为了不被公司监控,我上班都是自带 5g 路由器的🤡
Jat001
2023-11-21 18:58:53 +08:00
@Jat001 不对,这玩意叫 5g cpe
8520ccc
2023-11-21 19:55:38 +08:00
这题我会,ZT 其实是基于标准的 wireguard 协议,而 wireguard 协议每个 UDP 包的前缀是固定的!所以很容易被检测……至于如何突破,则需要修改协议了
rekulas
2023-11-21 20:32:03 +08:00
要伪装流量当然用大家常用的机场协议比较好 最好 ws 类的 估计不容易引起怀疑
mmtromsb456
2023-11-21 20:51:42 +08:00
@8520ccc ZeroTier 不是 Wireguard 协议的,Tailscale 才是用标准 Wireguard 上构建了一层密钥分发和 NAT 发现的,ZeroTier 是自定义协议并构建出 L2 SDN 的
julyclyde
2023-11-21 20:56:57 +08:00
他们识别的那个“攻击”到底是不是“攻击这个意思”?
建议先当面沟通一下,看他们到底懂不懂?

到底是指:
只要发现违规就认定为攻击
还是
发现了经由这个渠道的攻击痕迹
yankebupt
2023-11-21 21:12:58 +08:00
@kinboy 公司防火墙配置严密的话 进 出 的每一个包都会被分类并记录在案的,出现分类以外的包基本都是攻击,何况未经过混淆的 zt 特征那么明显,估计都单有一类……
如果不止分类,有深度包检测的话不少利用已知协议封装好的反向连接 shell 都能检测出来……
尽量不要自己搭 zt ,直接桥接到内网的话等于是一个后门。

要连家里网拷点什么东西的话管运维要个跳板机或跳板代理临时用一下,防火墙搭的这么好的单位一般都有这东西……
如果是非工作使用,自带设备或 5G CPE 吧,专网专用.
Hylenbin
2023-11-21 21:18:52 +08:00
补充一条 ZeroTier 和 WeChat 类似,如果路由器开启了 UPnP 会自动在路由器上添加 UPnP 配置,虽然一般企业用路由器不会开启 UPnP 吧,但这个真是打开路由器一眼就看出来,根本不需要做什么流量分析。
leconio
2023-11-21 21:48:55 +08:00
可以用手机流量播 zt 呀,然后用电脑访问。。。
有特殊需求不走公司网络的话,仅 tcp ,可以用自己安卓手机播 zt ,然后把自己不走公司网络的软件通过 socks5 代理到本地某个端口,然后再手机上启动一个 sshd ,然后把 sshd 端口通过 adb forward 映射到电脑上,通过 ssh -D xxx@127.0.0.1 创建 ssh tunnel ,通过 socks5 隧道转发 tcp 流量,由于是本地 lo 比较不容易被检测。缺点是不支持 udp

or 用那种把手机模拟成一个计算机网卡的软件,然后用 route 命令转发到这个网卡上,支持 udp 。但凭空多一个网卡还是会被检测。
wheat0r
2023-11-21 22:32:00 +08:00
zerotier 并没有隐藏连接特征,上网行为审计设备很容易看出来
est
2023-11-21 22:35:06 +08:00
@kinboy

> 有时候假期在家需要远程公司电脑用

老人给你一个建议:要么让公司给出一个家里如何连公司的方案,要么就向上级汇报假期无法处理公司办公网事务

用技术去改变制度是愚蠢的

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/993893

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX