Jump to content
Как правильно добавить self-test и прочую отладку в тему
Где взять тестовые сборки
Официальное хранилище ПО в виде файлов
  • 0

Ошибочная классификация трафика NTCE

dimon27254

Asked by dimon27254,

 Share

Question

dimon27254 NetFriend

dimon27254

Posted
Posted (edited)

@Le ecureuil

Нахожусь в локальной сети своего NC-1812 (установлена NDMS 5.0.0), на котором включен NTCE.

На одном из устройств обращаюсь по домену CrazeDNS к веб-интерфейсу удаленного Кинетика. Как и ожидается, в Анализаторе трафика приложений вижу CrazeDNS.
Затем, не прерывая сессии управления через веб, подключаюсь к этому же удаленному Кинетику по чистому Wireguard (без единого намека на ASC, даже junk packets). Ожидаю увидеть в NTCE протокол Wireguard отдельной строкой, однако там меня встречает приложение CrazeDNS, у которого растет скорость пропорционально потреблению трафика через WG-туннель:

Спойлер

image.thumb.png.9032a88dfeacdad363b6cd46187ea8ce.png

Насколько такое поведение в работе NTCE корректно? 

Edited by dimon27254

6 answers to this question

Recommended Posts

  • 0
Le ecureuil NetFriend

Le ecureuil

Posted
Posted

Абсолютно.

Определяется именно по сочетанию DNS-запрос + адреса в пакетах трафика. Если в DNS пролетело что на этом адресе есть что-то от CrazeDNS, то будет определено именно так.

  • Thanks 1
  • Confused 1
  • 0
Leshiyart Honored Flooder

Leshiyart

Posted
Posted

то есть юзаем клиентом что то удаленное от кина и обходим любые блокировки фильтра? отлично

  • 0
Le ecureuil NetFriend

Le ecureuil

Posted
Posted
13 часов назад, Leshiyart сказал:

то есть юзаем клиентом что то удаленное от кина и обходим любые блокировки фильтра? отлично

Если удаленное от кина не забанено, то будет работать, почему нет?

Это один из самых базовых механизмов как работает распознавание - есть список доменов, ассоциированных с сервисом, ловятся запросы DNS в которых есть такие домены и ответы на них, списки адресов запоминаем. Затем если есть трафик на эти адреса, то это явно этот сервис - все, распознано.

Да, есть кучка сервисов которые имеют жесткие списки адресов типа amazon, но именно по DNS распознается ну очень многое.

  • Thanks 1
  • 0
dimon27254 NetFriend

dimon27254

Posted
  • Author
Posted (edited)
22 минуты назад, Le ecureuil сказал:

Это один из самых базовых механизмов как работает распознавание - есть список доменов, ассоциированных с сервисом, ловятся запросы DNS в которых есть такие домены и ответы на них, списки адресов запоминаем. Затем если есть трафик на эти адреса, то это явно этот сервис - все, распознано.

Да, есть кучка сервисов которые имеют жесткие списки адресов типа amazon, но именно по DNS распознается ну очень многое.

Я изначально предполагал, что NTCE распознает домены не по DNS-запросам, а из SNI в TLS Client Hello.

Edited by dimon27254
  • 0
Leshiyart Honored Flooder

Leshiyart

Posted
Posted
57 минут назад, Le ecureuil сказал:

Если удаленное от кина не забанено, то будет работать, почему нет?

ну вот выше пример, запретили мы допустим вг фильтром(еще какойто впн), клиент берет удаленный кин, тычется ему в морду и у него начинает работать вг.
это условный пример и можно пофантазировать как это еще может сработать неправильно

  • 0
Le ecureuil NetFriend

Le ecureuil

Posted
Posted
1 час назад, dimon27254 сказал:

Я изначально предполагал, что NTCE распознает домены не по DNS-запросам, а из SNI в TLS Client Hello.

И это тоже, но не всегда доступен TLS и не все протоколы его используют.

  • Thanks 1

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Answer this question...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to question listing

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...

Important Information

This site uses cookies. By clicking "I accept" or continuing to browse the site, you authorize their use in accordance with the Privacy Policy.

  I accept