ПРЕДУПРЕЖДЕНИЕ: Статья предназначена для повышения осведомленности о киберугрозах и методах защиты. Все методы и инструменты, упомянутые в статье, должны использоваться только в законных целях, с разрешения владельцев систем и в рамках действующего законодательства. https://t.me/seberdtg/1852
Шифрование DNS не скрывает IP-адреса назначения. Провайдер видит куда идёт соединение даже при включённом DoH. Метаданные трафика хранятся несколько лет отдельно от содержимого. Полная невидимость в домашней сети недостижима без изменения модели поведения.
Как анализируют зашифрованный трафик по паттернам
Даже когда содержимое зашифровано, форма передачи выдаёт суть. Размер пакетов вместе с интервалами между ними и объёмом данных за единицу времени образуют уникальный отпечаток. DPI-системы считывают эти сигналы без расшифровки содержимого. Система измеряет интервалы между пакетами, распределение размеров и направление передачи. Расшифровка содержимого не требуется. Эти параметры образуют сигнатуру протокола.
WireGuard имеет характерный размер пакетов рукопожатия. Для инициирования соединения используется около 150 байт.
OpenVPN создаёт узнаваемый ритм обмена служебными данными примерно раз в минуту.
Протокол QUIC от Google использует UDP вместо TCP. Это меняет паттерн трафика. Пакеты идут без подтверждения доставки. Система классификации должна учитывать эту особенность. Иначе трафик QUIC будет определён неверно.
Я проводил эксперимент в собственной сети. Запустил три сервиса одновременно — видеозвонок, торрент и мессенджер. Смотрел на график трафика в реальном времени. Через пятнадцать минут смог определить какой сервис активен только по форме графика. Без расшифровки. Без доступа к содержимому. Просто по ритму.
Размер пакетов и интервалы передачи
Протоколы оставляют следы. Видеопоток генерирует пакеты примерно одинакового размера с периодичностью. Мессенджер передаёт короткие всплески данных с большими паузами. Торрент-клиент создаёт множество одновременных соединений с асимметричным трафиком. Эти паттерны классифицируются автоматически. Алгоритмы обучаются на размеченных выборках трафика. Точность классификации зависит от качества данных и сложности обфускации.
В домашней сети ситуация ещё проще для анализа. Роутер видит все устройства в локальной сети и может сопоставить внутренний IP с MAC-адресом сетевой карты. Это позволяет привязать активность к конкретному устройству. Ноутбуку, телефону, умному телевизору. Производитель роутера уже знает какое устройство вы используете по MAC-адресу. Некоторые производители роутеров собирают эту статистику. Отправляют на свои сервера для «улучшения качества продукта». Вы соглашаетесь на это при первой настройке. Галочка в лицензионном соглашении.
Отличия видеостриминга от мессенджера
Видеостриминг требует стабильной полосы пропускания. Пакеты идут плотным потоком, размер каждого близок к максимальному значению MTU. Задержки между пакетами минимальны. Мессенджер работает иначе. Короткие сообщения занимают несколько сотен байт. Интервалы между передачами нерегулярны и зависят от активности пользователя. Голосовой вызов в мессенджере создаёт иной паттерн. Более равномерный поток, но с меньшей средней нагрузкой чем видеостриминг. Система сопоставляет наблюдаемые параметры с эталонными профилями. Совпадение выше порогового значения означает классификацию. Это работает даже когда payload зашифрован полностью.
Разница в объёме передачи тоже заметна. Час видеостриминга в высоком качестве требует передачи нескольких гигабайт данных. Час переписки в мессенджере — несколько мегабайт. Провайдер видит этот объём без расшифровки. По соотношению входящего и исходящего трафика можно определить тип активности. Загрузка файлов, видеозвонок, просмотр ленты социальной сети. Знакомая ситуация. Обсудили с другом покупку велосипеда у микрофона. Через час видите рекламу велосипедов в ленте. Микрофон тут не при чём. Вы зашли на сайт магазина вчера. Провайдер передал метаданные рекламной сети. Рекламная сеть сопоставила с вашим профилем. Алгоритм решил что вы в рынке. Вот и реклама. Совпадение? Не совсем.
Кто имеет доступ к данным соединений
Техническая возможность сбора не равна практическому использованию. Законодательство задаёт рамки, инфраструктура определяет ограничения, доступ распределён по иерархии.
Обязанности оператора связи по хранению
Операторы связи хранят метаданные соединений в течение нескольких лет. Содержимое сообщений и звонков подлежит хранению в течение более короткого срока. Полный дамп трафика сохраняется около месяца с циклическим обновлением. Объёмы данных определяют практические ограничения. Канал высокой пропускной способности генерирует терабайты статистики ежедневно. Физические ограничения систем хранения не позволяют сохранять всё бессрочно. Для канала высокой пропускной способности система накапливает значительный объём статистики в день.
Масштаб объясняет почему реальный дамп хранится ограниченное время а не годами. Объёмы физически не позволяют больше при нынешней ёмкости систем хранения. Это не теоретическое ограничение, а вполне конкретная проблема с жёсткими дисками и бюджетами на оборудование. Представьте библиотеку. В ней хранится миллион книг. Но читальный зал вмещает только тысячу. Остальные книги на складах. Чтобы достать книгу со склада нужно время. Так и с трафиком. Свежий дамп доступен быстро. Старый — только по специальному запросу. И не весь.
Оборудование СОРМ и управление доступом
Оборудование устанавливается на площадке оператора, но управляется через выделенный канал. Оператор не имеет прямого доступа к тому, какие именно данные извлекаются в текущий момент. Такое разделение доступа представляет архитектурную особенность системы. Запросы на получение данных оформляются в установленном порядке с фиксацией в журнале. Каждый запрос требует авторизации сотрудника с соответствующими полномочиями. Сам факт наличия оборудования не означает постоянного мониторинга всех абонентов.
Система записывает параметры каждого соединения:
- Адрес отправителя
- Адрес получателя
- Порт отправителя
- Порт получателя
- Время начала и окончания соединения
- Протокол транспортного уровня
Этих параметров достаточно для восстановления маршрута данных. Я разговаривал с сотрудником телеком-компании на отраслевой конференции. Он сказал что видит стойки с оборудованием в своём дата-центре каждый день. Но не знает кто и когда запрашивает данные. Для него это просто железо которое занимает место и потребляет электричество. Доступ к интерфейсу управления находится в другом ведомстве. Он пожал плечами когда я спросил подробности. Сказал что даже не знает сколько таких стоек в стране. Знает только свою площадку. Остальное не его уровень доступа. Мы выпили кофе. Разговор закончился. Я не стал спрашивать больше.
Технические средства противодействия угрозам
Устройства функционируют на стыке сетей оператора и магистральных каналов. Управление осуществляется централизованно. Функции включают фильтрацию трафика по заданным критериям, анализ протоколов и применение мер реагирования. Расширения протоколов, шифрующие служебные поля, могут блокироваться на этом уровне. Попытка установить соединение с такими расширениями иногда приводит к разрыву или деградации соединения. ТСПУ работают прозрачно для пользователя.
Вы не получаете уведомления когда ваше соединение проходит через фильтрацию. Только результат. Сайт открывается или не открывается, соединение устанавливается или сбрасывается. Диагностика проблемы требует специальных инструментов которые есть не у каждого пользователя. Попробуйте прямо сейчас. Откройте сайт dnsleaktest.com. Нажмите Standard Test. Посмотрите результаты. Видите сервер провайдера в списке. DoH не работает или не настроен. Видите сторонний резолвер. Настройка применена. Но IP-адреса всё равно видны. Проверка занимает две минуты. Результат останется с вами.
Что видно в сетевом протоколе при подключении
Протоколы передают служебную информацию до установления защищённого канала. Эти поля остаются в открытом виде по design.
DNS запросы и открытые доменные имена
Когда браузер получает адрес сайта, устройство запрашивает у DNS-сервера соответствующий IP. По умолчанию этот запрос передаётся в открытом виде через сервер оператора. Провайдер видит весь список запрошенных доменов. По сути, хронологию посещений. Шифрование содержимого страницы не влияет на этот этап. DoH и DoT меняют ситуацию, но требуют явной настройки на стороне клиента и поддержки на стороне резолвера.
Три типа DNS-запросов используют разные порты:
- Стандартный DNS — порт 53
- DoT — порт 853
- DoH — порт 443
Провайдер видит порт назначения даже при зашифрованном содержимом. По порту можно определить тип DNS-запроса. В настройках браузера указывается адрес резолвера. Например Cloudflare или NextDNS. Операционная система требует отдельной конфигурации через профиль или реестр. Проверка работы DoH занимает две минуты. Открываете сайт dnsleaktest.com, запускаете стандартный тест. Если в результатах видите сервер провайдера — DoH не работает.
Если видите сторонний резолвер — настройка применена. Но даже при успешном тесте IP-адреса остаются видимыми для провайдера. Есть ещё один тест. Откройте командную строку. Введите nslookup google.com. Посмотрите какой сервер ответил. Если видите адрес провайдера — запросы идут через него. Если видите адрес Cloudflare или другого резолвера — DoH работает. Но помните. IP-адрес google.com всё равно виден в трафике.
Поле SNI при установке защищенного соединения
HTTPS шифрует содержимое, но не скрывает имя сервера при установке соединения. В процессе TLS-рукопожатия браузер передаёт Server Name Indication. Это доменное имя передаётся до начала шифрования. Это поле читается DPI-оборудованием для применения политик фильтрации. Расширение ECH шифрует поле SNI. Поддержка требует совместимости на всех участках соединения.
В некоторых случаях инфраструктура блокирует соединения с ECH. Браузеры постепенно внедряют поддержку ECH. Chrome, Firefox, Safari — каждый движется своим темпом. Но даже при полной поддержке на стороне клиента требуется поддержка на стороне сервера и отсутствие блокировок на промежуточных узлах. Цепочка должна быть полной иначе расширение не сработает. Интересный момент. Firefox поддерживает ECH по умолчанию. Chrome требует включения через флаги. Safari молчит. Почему разная политика. Коммерческие интересы. Технические ограничения. Не знаю точно. Могу предположить.
Адреса назначения и восстановление сайтов
Даже при зашифрованном DNS и скрытом SNI провайдер видит IP-адрес назначения. По этому адресу часто можно восстановить посещённый сайт, особенно если сервер обслуживает ограниченное число доменов. Геолокация IP, данные WHOIS, репутационные базы — эти источники позволяют сопоставить адрес с ресурсом. Совпадение не всегда однозначно, но для большинства популярных сайтов восстановление тривиально. Крупные сервисы используют несколько IP-адресов для распределения нагрузки. У Google тысячи адресов по всему миру. У небольшого блога один адрес на виртуальном хостинге. Во втором случае восстановление посещённого сайта по IP работает почти без ошибок. В первом случае можно определить только компанию-владелец. Я пробовал восстановить сайт по IP. Взял адрес из лога роутера. Вбил в браузер. Открылся сайт хостинг-провайдера. Не тот сайт который мне нужен. На том же адресе ещё сорок сайтов. Угадать какой именно — задача со звёздочкой. Но провайдеру не нужно угадывать. У него есть полная картина трафика.
Как снизить видимость активности в сети
Полная невидимость в домашней сети недостижима без изменения модели поведения. Можно затруднить сбор данных, но нельзя устранить сам факт подключения к инфраструктуре.
[√] Включить DoH или DoT в браузере
[√] Выбрать внешний резолвер (Cloudflare, NextDNS)
[ ] Настроить обфускацию в VPN клиенте
[ ] Проверить работу ECH на целевых ресурсах
[x] Принять что полная невидимость недостижима
Настройка зашифрованных DNS резолверов
Включение DoH или DoT направляет DNS-запросы к внешнему резолверу в зашифрованном виде. Это убирает доменные имена из открытого трафика между клиентом и провайдером. Настройка требует выбора доверенного резолвера и конфигурации клиента. Браузеры и операционные системы предоставляют соответствующие опции.
Настройка находится в разных разделах браузеров:
- Firefox: Параметры → Приватность и защита → DNS через HTTPS
- Chrome: Настройки → Конфиденциальность и безопасность → Безопасность → Использовать безопасный DNS
- Windows 10 и 11: через сетевые адаптеры на уровне системы
- MacOS: требует профиль конфигурации или терминал
Каждый резолвер имеет свою политику хранения логов. Некоторые не хранят ничего, некоторые хранят анонимизированные данные сутки, некоторые хранят всё. Выбор резолвера представляет выбор кому доверить информацию о ваших запросах. Cloudflare обещает не хранить логи. NextDNS хранит сутки. Quad9 хранит анонимизированные данные. Google DNS — вопрос открытый. Кому доверять. Решать вам. Я выбрал NextDNS. Потому что вижу статистику в личном кабинете. Прозрачно.
Использование обфускации в VPN клиентах
Стандартные VPN-протоколы имеют узнаваемые сигнатуры. DPI-системы классифицируют их по характеристикам рукопожатия и структуре пакетов. Протокол WireGuard использует постоянные ключи. Это создаёт статичный паттерн в начале соединения. Протокол VLESS с Reality меняет ключи для каждого соединения. Паттерн становится переменным. Детектирование усложняется. Обфускация меняет внешний вид трафика. Результат приближается к обычному HTTPS. Это усложняет детектирование, но не гарантирует невидимость. Методы детектирования тоже развиваются. Где окажется баланс через год — неизвестно.
Три протокола маскируют трафик под обычный HTTPS:
- Shadowsocks
- VLESS с Reality
- XRay
Для DPI-системы это выглядит как посещение обычного сайта. Но постоянный поток данных на один адрес без вариаций тоже вызывает вопросы. Идеальной маскировки не существует. Я тестировал несколько протоколов обфускации в разных сетях. В домашней сети всё работало стабильно. В публичном WiFi некоторые протоколы блокировались сразу. В мобильной сети третьего оператора соединение устанавливалось но скорость падала в десять раз. Результаты зависят от конкретного провайдера и текущей конфигурации фильтрации. Тест на обфускацию. Подключите VPN. Откройте speedtest.net. Запомните скорость. Отключите VPN. Замерьте снова. Разница меньше двадцати процентов — обфускация работает хорошо. Разница больше пятидесяти — вас детектируют и режут скорость. Или сервер далеко. Проверьте оба варианта.
Ограничения технологии ECH
ECH шифрует поле SNI, устраняя один из каналов утечки. Однако поддержка этого расширения требует совместимости на всех участках соединения. В некоторых случаях инфраструктура блокирует соединения с ECH. Попытка использовать расширение может привести к невозможности установить соединение с определёнными ресурсами. Это создаёт компромисс между приватностью и доступностью. Проверка работы ECH требует времени. Нужно протестировать целевые сайты, посмотреть какие работают стабильно, какие сбрасывают соединение.
Для массового пользователя это слишком сложно. Технология останется инструментом для подготовленных пользователей ещё минимум несколько лет. Я не рекомендую полагаться на один инструмент. Модель угроз определяет набор мер. Если цель — усложнить массовый сбор, достаточно минимальных настроек. Если требуется защита от целенаправленного анализа, нужны более сложные решения и понимание их ограничений. В конечном счёте приватность в сети представляет постоянный процесс оценки рисков и выбора инструментов. Каждый инструмент имеет свои ограничения.
#информационнаябезопасность #кибербезопасность #инфобез #защитаданных #интернетбезопасность #технологии #IT