Router escutas no túnel SSH?

4

Por isso, estou em uma rede Wi-Fi pública que bloqueia sites como o YouTube para economizar largura de banda. Estou assumindo que o roteador está monitorando todo o tráfego e rejeitando todas as solicitações enviadas para os sites em sua lista negra. A fim de contornar isso, eu tentei usar um túnel SSH para que eu tivesse uma conexão criptografada com o meu servidor remoto e as solicitações da web seriam feitas a partir do servidor remoto. Portanto, o roteador ao qual estou conectado não deve ter ideia de quais são os pacotes que estou enviando.

Já experimentei esse método antes em outras redes que filtraram tráfego para sites como o YouTube e funcionou perfeitamente. de alguma forma, este roteador ainda é capaz de bloquear os sites. Verifiquei se meu tráfego está realmente passando pelo servidor remoto verificando o endereço IP, então sei que não estraguei as configurações ou esqueci de apontar meu navegador para a porta correta. Eu tentei rotear o tráfego através de dois servidores separados, um que usa autenticação de senha e outro que usa apenas chaves, e o tráfego é filtrado em ambos os casos.

Se os pacotes que estou enviando para e do servidor remoto estiverem criptografados, como o roteador saberá que estou tentando acessar o YouTube? O roteador está fazendo um homem no meio do ataque contra mim? Eu verifiquei a impressão digital do servidor e foi o mesmo de sempre, mas talvez o roteador possa falsificar a impressão digital?

Eu só quero entender como o roteador está fazendo isso.

    
por eyuelt 26.03.2014 / 13:07

2 respostas

0

tl; dr : foi um vazamento de DNS. Obrigado ao @ user2675345 pela dica!

Aqui está a página que recebi quando acessei um site bloqueado:

Primeiro,tenteifazerpingemalgunssiteseviqueosendereçosIPdeleseramosmesmos.Comopodeservistonestaimagem:

tanto o youtube.com quanto o metacafe.com, ambos bloqueados, têm 176.12.107.179 como seu IP. Sem surpresa, navegar para este IP em um navegador produz a página "Site Solicitado Bloqueado" mostrada acima. O ping em www.google.com, por outro lado, resulta em um IP legítimo apontando para o Google.

Os URLs foram mapeados para o IP errado. Eu usei dig para inspecionar as entradas de DNS e confirmar isso.

Defato,aentradadeDNSparayoutube.comtinha176.12.107.179comoseuIP.

Emseguida,useioWiresharkparaverificarassolicitaçõesdeDNSeviqueassolicitaçõesnãovinhamdoIPdoservidoremqueeuestavausandooSSH,masdomeuendereçoIPlocal.

Embora eu estivesse usando um túnel SSH, minhas solicitações de DNS não estavam passando pelo túnel. Além disso, eles pareciam estar indo para um endereço IP na mesma rede. Assim, parece que o roteador a bordo do ônibus estava agindo como um servidor DNS e fornecendo respostas ruins de DNS para sites em sua lista negra.

Esta é uma vulnerabilidade muito séria. Não só um intruso poderia ver todos os sites que eu estava indo, mas a pessoa que controla o roteador / servidor DNS poderia facilmente me encaminhar para uma versão maliciosa do youtube, em vez de para a página "Requested Site Blocked". E enquanto isso, estou pensando que meu tráfego está passando pelo túnel SSH e estou completamente seguro.

    
por 11.07.2014 / 10:57
0

Assim como o @ user2675345 está dizendo, você provavelmente deve verificar as configurações de proxy DNS se o seu navegador tiver alguma.

Siga estas etapas para ativar as pesquisas de DNS por meio de um proxy no Firefox:

  1. insira about:config na barra de endereço
  2. pesquise proxy
  3. defina network.proxy.socks_remote_dns para true

Eu costumava ser usuário do Chrome, mas mudei para o Firefox quando percebi que as pesquisas de DNS não usavam as configurações de proxy. Isso foi há um tempo e deve ser corrigido agora, de acordo com este relatório de erros.

    
por 08.07.2014 / 12:22