这是一个创建于 366 天前的主题,其中的信息可能已经有所发展或是发生改变。
应该是在网关上流量分析检测到的,本地没有安装监控软件,zerotier 用的默认的官方信令配置,想知道网关上一般是通过什么手段检测的
如果是通过域名,是不是自己搭建 moon server+高位端口可以避开检测
如果是通过协议分析,应该就无法避免了
如果是通过域名,是不是自己搭建 moon server+高位端口可以避开检测
如果是通过协议分析,应该就无法避免了
第 1 条附言 · 2023-11-21 18:20:14 +08:00
提问只是希望从技术上了解如何识别到 zerotier 的上网行为的,运维反馈的是我们办公室一台 OpenWrt 上出现 zt 攻击行为,而我并没有连过那台 openwrt 设备,我猜是 openwrt 上的 zt 插件被攻击了,运维反馈我我当即也卸载了本地安装的 zt 客户端
 |
1
6a82aa9bfe 2023-11-21 17:13:05 +08:00 via Android  1
被检测到说明你公司不允许用,你还想避免,被抓到怕不是要牢底坐穿
|
 |
2
ragnaroks 2023-11-21 17:20:31 +08:00
zerotier 的 UDP 包特征明显且固定
|
 |
3
somebody1 2023-11-21 17:26:28 +08:00 3
什么时候因为你的 zerotier 公司内网被突破了,你是不是还要再发个帖子问会不会蹲监狱啊?
我告诉你,会的,有重大破坏,会被判刑的。 公司明令禁止的东西为什么要违反,就跟那个改造电瓶车的一样,要么你跟公司去走申请,跟你申请下来,你写保证书。要么你就别用。 |
 |
4
a8Fy37XzWf70G0yW 2023-11-21 17:30:00 +08:00
不是僅僅通過網域名稱這一點就能確定的。建議 PO 主瞭解一下企業上網行爲管理系統的功能有哪些。
|
 |
6
janus77 2023-11-21 17:55:17 +08:00 3
我就一句话
如果大伙给你说了解决办法,然后导致你被抓了,你会来找我们麻烦吗? |
 |
7
gps949 2023-11-21 18:01:05 +08:00
你用 ZT 干啥了?如果 ZT 只为远程一两个机器可能还好,你要是把 ZT 作为通道走外面的节点作为代理节点,那不是流量都走向那一两个 IP 了?都用不到什么域名、协议分析啥的,单看流量都能揪出来了
|
 |
8
kinboy OP @6a82aa9bfe #1
@somebody1 #3 @mskumiko #5 @janus77 #6 谢谢各位的友善提醒,让大家笑话了,我在这里提问只是一个情景假设,当然没有必要去冒这样的风险,之所以会在公司电脑上安装是为了连上家里的局域网,有时候假期在家需要远程公司电脑用,运维反馈后就立即卸载了,实际上运维反馈出现 zt 攻击的不是我本地电脑,是另一台 openwrt 软路由上的 zt 攻击,我也没有连过那台 openwrt 设备 |
 |
9
guanzhangzhang 2023-11-21 18:45:55 +08:00
udp 不是很正常的特征吗🤔,心跳包啥的 udp 更明显了
|
 |
10
Jat001 2023-11-21 18:57:03 +08:00 via iPhone
为了不被公司监控,我上班都是自带 5g 路由器的🤡
|
 |
12
8520ccc 2023-11-21 19:55:38 +08:00 via iPhone 2
这题我会,ZT 其实是基于标准的 wireguard 协议,而 wireguard 协议每个 UDP 包的前缀是固定的!所以很容易被检测……至于如何突破,则需要修改协议了
|
 |
13
rekulas 2023-11-21 20:32:03 +08:00
要伪装流量当然用大家常用的机场协议比较好 最好 ws 类的 估计不容易引起怀疑
|
 |
14
mmtromsb456 2023-11-21 20:51:42 +08:00 via iPhone 4
@8520ccc ZeroTier 不是 Wireguard 协议的,Tailscale 才是用标准 Wireguard 上构建了一层密钥分发和 NAT 发现的,ZeroTier 是自定义协议并构建出 L2 SDN 的
|
 |
15
julyclyde 2023-11-21 20:56:57 +08:00
他们识别的那个“攻击”到底是不是“攻击这个意思”?
建议先当面沟通一下,看他们到底懂不懂? 到底是指: 只要发现违规就认定为攻击 还是 发现了经由这个渠道的攻击痕迹 |
 |
16
yankebupt 2023-11-21 21:12:58 +08:00
@kinboy 公司防火墙配置严密的话 进 出 的每一个包都会被分类并记录在案的,出现分类以外的包基本都是攻击,何况未经过混淆的 zt 特征那么明显,估计都单有一类……
如果不止分类,有深度包检测的话不少利用已知协议封装好的反向连接 shell 都能检测出来…… 尽量不要自己搭 zt ,直接桥接到内网的话等于是一个后门。 要连家里网拷点什么东西的话管运维要个跳板机或跳板代理临时用一下,防火墙搭的这么好的单位一般都有这东西…… 如果是非工作使用,自带设备或 5G CPE 吧,专网专用. |
 |
17
Hylenbin 2023-11-21 21:18:52 +08:00 via iPhone
补充一条 ZeroTier 和 WeChat 类似,如果路由器开启了 UPnP 会自动在路由器上添加 UPnP 配置,虽然一般企业用路由器不会开启 UPnP 吧,但这个真是打开路由器一眼就看出来,根本不需要做什么流量分析。
|
 |
18
leconio 2023-11-21 21:48:55 +08:00
可以用手机流量播 zt 呀,然后用电脑访问。。。
有特殊需求不走公司网络的话,仅 tcp ,可以用自己安卓手机播 zt ,然后把自己不走公司网络的软件通过 socks5 代理到本地某个端口,然后再手机上启动一个 sshd ,然后把 sshd 端口通过 adb forward 映射到电脑上,通过 ssh -D [email protected] 创建 ssh tunnel ,通过 socks5 隧道转发 tcp 流量,由于是本地 lo 比较不容易被检测。缺点是不支持 udp or 用那种把手机模拟成一个计算机网卡的软件,然后用 route 命令转发到这个网卡上,支持 udp 。但凭空多一个网卡还是会被检测。 |
 |
19
wheat0r 2023-11-21 22:32:00 +08:00
zerotier 并没有隐藏连接特征,上网行为审计设备很容易看出来
|
 |
20
est 2023-11-21 22:35:06 +08:00 1
|
 |
21
laminux29 2023-11-21 23:39:13 +08:00
1.zerotier 会尝试连接它的官方服务器。
2.官方版本的 zerotier 不支持私有化部署,moon 只是作为备选中继节点,改变不了 zerotier 尝试连接官方服务器的行为。 |
 |
22
Markxu0 2023-11-22 00:37:31 +08:00 via Android
|
 |
23
cwcc 2023-11-22 00:52:02 +08:00
zt 行为很好识别,哪怕上网行为管理或路由器没有对 zt 协议进行识别,看一眼流量,请求了一堆 9993 端口,基本可以确定谁在用 zt 。但你说的攻击我觉得没搞清楚,一般不怎么敏感的工作网络对这个应该管得不严,除非是内网计算机(不能访问互联网的机器)被 zt 打通了,那大概率会出事。
|
 |
24
gitlight 2023-11-22 09:09:09 +08:00
p2p 打洞特征不要太明显
|
 |
25
IBN5100 2023-11-22 09:20:15 +08:00
一直在用私有化部署 官方的好慢
|
 |
26
SenLief 2023-11-22 09:47:30 +08:00 via iPhone
好一点的网关都有防火墙,会对流量进行分析的,至少协议是知道的。
不要在公司网络配置禁止的东西哦,公司可以送你进去的。 |
 |
27
cubecube 2023-11-22 09:56:55 +08:00
如果因为你,公司网络风险了,你要坐牢的。。
|
 |
28
layxy 2023-11-22 09:58:43 +08:00
不要使用这种类似 vpn 的方式组网,在公司还是通过中间服务器和远程控制端部署 frp 保险,访问者不需要客户端
|
 |
29
xubingok 2023-11-22 10:19:02 +08:00
试试 websocket 转 ssh....需要一个中间服务器.
当然这都是违规的...看你在方便和风险之间的权衡吧. |
 |
30
sardina 2023-11-22 10:34:30 +08:00
公司有人用 frp 被通报了 hhh
|
 |
31
kenvix 2023-11-22 11:03:07 +08:00
跟你领导说,如果要让员工假期远程办公,就必须采购 VPN 软件
|
 |
32
johnawesome172 2023-11-22 11:08:12 +08:00
@Jat001 可以推荐个路由器吗? GL.inet XE300 性能太差
|
|
34
Jat001 2023-11-22 11:41:34 +08:00
|
 |
35
shakukansp 2023-11-22 12:15:38 +08:00
怎么感觉不久之前看过一个一模一样的帖子
而且那个帖子 op 也是说攻击的是另一台机器 |
 |
36
gtese 2023-11-22 12:19:58 +08:00
@johnawesome172 小米路由 r3p, 要样子有样子,要刷机有 op 。海鲜 100 元能收到成色好的。夫复何求?
|
|
37
kinboy OP @shakukansp #35 是不是有种前世记忆遗留的感觉
|
Select Language