Маршрутизатор подслушивает по туннелю SSH?

Question

Поэтому я нахожусь в общественной сети Wi-Fi, которая блокирует такие сайты, как YouTube, чтобы сохранить пропускную способность. Я предполагаю, что маршрутизатор отслеживает весь трафик и отклоняет все запросы, отправленные на сайты из своего черного списка. Чтобы обойти это, я попытался использовать туннель SSH, чтобы у меня было зашифрованное соединение с моим удаленным сервером, и веб-запросы были сделаны с удаленного сервера. Поэтому маршрутизатор, к которому я подключен, не должен знать, какие пакеты я отправляю.

Я пробовал этот метод раньше в других сетях, которые фильтровали трафик на сайты, такие как YouTube, и он работал отлично. каким-то образом этот маршрутизатор все еще может блокировать сайты. Я проверил, чтобы убедиться, что мой трафик действительно проходит через удаленный сервер, проверив IP-адрес, поэтому я знаю, что не просто испортил настройки или забыл указать браузеру правильный порт. Я попытался направить трафик через два отдельных сервера, один из которых использует аутентификацию по паролю, а другой - только ключи, и трафик фильтруется в обоих случаях.

Если пакеты, которые я отправляю на удаленный сервер и с него, зашифрованы, как маршрутизатор может узнать, что я пытаюсь получить доступ к YouTube? Маршрутизатор атакует меня посредником? Я проверил отпечаток пальца сервера, и он был таким же, как обычно, но, возможно, маршрутизатор может подделать отпечаток пальца?

Я просто хочу понять, как маршрутизатор делает это.

Answer 1

Точно так же, как @ user2675345 говорит, вы, вероятно, должны проверить настройки прокси-сервера DNS, если у вашего браузера есть.

Выполните следующие действия, чтобы включить поиск DNS через прокси в Firefox:

1. введите about:config в адресной строке
2. поиск proxy
3. установите для network.proxy.socks_remote_dns значение true

Раньше я сам был пользователем Chrome, но переключился на Firefox, когда заметил, что при поиске DNS не используются настройки прокси. Это было некоторое время назад и должно быть исправлено в соответствии с этим сообщением об ошибке.

Answer 2

tl; dr: это была утечка DNS. Спасибо @ user2675345 за подсказку!

Вот страница, которую я получил, когда зашел на заблокированный сайт:

Сначала я попытался пропинговать несколько веб-сайтов и увидел, что их IP-адреса совпадают. Как видно на этом изображении:

и youtube.com, и metacafe.com, которые оба заблокированы, имеют 176.12.107.179 качестве своего IP. Неудивительно, что при переходе по этому IP-адресу в браузере открывается страница "Запрошенный сайт заблокирована", показанная выше. С другой стороны, пинг www.google.com приводит к тому, что действительный IP-адрес указывает на Google.

Таким образом, URL были привязаны к неправильному IP. Я использовал dig, чтобы проверить записи DNS и подтвердить это.

Действительно, запись DNS для youtube.com имеет 176.12.107.179 как IP.

Затем я использовал Wireshark для проверки DNS-запросов и увидел, что запросы поступают не с IP-адреса сервера, на котором я работал по SSH, а с моего локального IP-адреса.

Несмотря на то, что я использовал туннель SSH, мои DNS-запросы не проходили через туннель. Кроме того, они, казалось, шли к IP-адресу в той же сети. Таким образом, похоже, что маршрутизатор на шине выполнял роль DNS-сервера и выдавал неверные ответы DNS для сайтов, занесенных в черный список.

Это очень серьезная уязвимость. Мало того, что перехватчик мог видеть все веб-сайты, на которые я ходил, но человек, управляющий маршрутизатором /DNS-сервером, мог легко направить меня на вредоносную версию YouTube, а не на страницу "Запрошенный сайт заблокирован". И пока я думаю, что весь мой трафик проходит через SSH-туннель, и я полностью защищен.