CreateYourVPN Academy
Kurssi: miten se toimii

Naamiointisivuston löytäminen: aliverkkoskanneri

Miten CreateYourVPN:n aliverkkoskanneri löytää oikeita naapurisivustoja, joiksi voit naamioitua (Reality SNI/DEST), miksi lähellä oleva sivusto on paras suoja ja miten skannaus käynnistetään, luetaan ja pysäytetään.

Inbound-oppitunnilla valitsimme verkkosivuston naamiointia varten — suositun HTTPS-sivuston, joksi VPN-liikenteesi teeskentelee. Tämä valinta merkitsee enemmän kuin miltä näyttää, ja paneelissa on työkalu, joka tekee sen puolestasi: aliverkkoskanneri. Tämä oppitunti selittää, mikä on hyvä naamiointisivusto, miksi oman palvelimesi naapuri on yleensä paras ja miten skanneri löytää nämä naapurit automaattisesti.

Miksi naamiointisivustolla on väliä

Jokainen inbound toimii VLESS + Reality -protokollan päällä. Reality saa liikenteesi näyttämään tavalliselta HTTPS-vierailulta jollain oikealla, suositulla verkkosivustolla — ja tekee sen todella suorittamalla loppuun oikean TLS-kättelyn ensimmäisen osan kyseisen sivuston kanssa. Paneelissa tämä sivusto näkyy kenttänä "Verkkosivusto naamiointia varten"; edistyneessä tilassa se jakautuu teknisiin parametreihin DEST (oikea isäntä, jolta kättely lainataan) ja SERVER_NAMES (nimi, jonka käyttäjiesi sovellukset ilmoittavat, eli SNI).

Jotta valeasu pitää, sivuston on täytettävä useita ehtoja yhtä aikaa:

  • Se puhuu nykyaikaista TLS 1.3- ja HTTP/2 -protokollaa (vanhemmat sivustot paljastavat kättelyn).
  • Se on suuri ja huomaamaton — liikenne siihen ei erotu joukosta.
  • Sitä ei ole estetty palvelimesi maassa (estetty "suoja" tekee koko idean tyhjäksi).
  • Se on nopeasti tavoitettavissa palvelimelta (kättely on oikeaa verkkoliikennettä).

Miksi naapuri on paras suoja

Viimeinen kohta on kiinnostavin. Palvelimesi sijaitsee konesalissa, ympäröitynä muilla saman aliverkon koneilla — usein saman hosting-tarjoajan muut asiakkaat, jotka pyörittävät täysin tavallisia verkkosivustoja. Naamioituminen yhdeksi näistä naapureista tuo kaksi etua:

  • Viive on lähes nolla. DEST-kättely ei koskaan poistu konesalista, joten yhteydet muodostuvat nopeammin.
  • Se sulautuu joukkoon. Liikenne palvelimeltasi yhden telineen päässä olevaan koneeseen on juuri sitä, mitä konesali näkee kaiket päivät.

Mutta: et tunne naapureitasi ulkoa. Juuri sitä varten skanneri on olemassa.

Mitä aliverkkoskanneri tekee

Skanneri pyytää palvelintasi luotaamaan hiljaa omaa naapurustoaan ja raportoimaan takaisin, mitkä naapurit sopisivat hyviksi Reality-suojiksi.

Palvelin luotaa verkkonaapurinsa — koneet, joilla on lähellä olevat IP-osoitteet: ensin oman aliverkkonsa, sitten laajemman lohkon ympärillään (oletuksena /20).

Jokaisen vastaavan naapurin kohdalla se tarkistaa kättelyn: tarjoaako se TLS 1.3 -yhteyden ja ilmoittaako se HTTP/2? Vain nämä kelpaavat Reality-dest-kohteiksi.

Vahvistetut sivustot kerätään, kaksoiskappaleet poistetaan ja ne tallennetaan palvelimellesi. Paneeli näyttää ne käyttövalmiina ehdotuksina.

Skannaus käynnistyy automaattisesti, kun palvelin määritetään ensimmäisen kerran, joten kun avaat inbound-lomakkeen, ehdotukset ovat yleensä jo paikallaan. Voit myös suorittaa sen käsin milloin tahansa.

Skanneri vain lukee — se avaa tavallisen yhteyden jokaiseen naapuriin ja katsoo TLS-kättelyä, aivan kuten mikä tahansa selain tekisi. Se ei muuta mitään niillä koneilla eikä tallenna mitään muuta kuin vahvistamansa verkkotunnukset.

Mistä sen löytää

Sama skannaustulos jaetaan kaikkialla, missä naamiointisivusto valitaan, joten ehdotukset ja reaaliaikainen eteneminen pysyvät synkronissa:

  • Inbound-lomakkeessa, "Verkkosivusto naamiointia varten" -kentän alla — "Etsi sivustoja aliverkosta" -painike ja, kun skannaus on suoritettu, pikanapit löydetyillä verkkotunnuksilla. Napsauta nappia täyttääksesi kentän.
  • Palvelimen ikkunassa (avaa palvelin klusteristasi), osiossa "Naamiointisivustot (SNI)" — sama skannaus yhteenvedolla siitä, kuinka monta sivustoa löytyi.
  • Etusivun "käynnissä"-kortilla — kun juuri lisättyä palvelinta vielä määritetään, skannauksen eteneminen näkyy suoraan siellä.

Tulosten lukeminen

Pikanapit näyttävät aliverkostasi löydetyt sivustot miinus ne, joita inboundisi jo käyttävät. Kun siis käytät ehdokkaita inboundeihin, ne putoavat listalta, ja vapauttamasi sivusto palaa takaisin. Jos jokainen löydetty sivusto on jo käytössä, paneeli kertoo siitä ja pyytää sinua syöttämään verkkotunnuksen käsin tai skannaamaan uudelleen.

Naapuri on hyvä suoja, ei taikaa. Suosi silti ehdokasta, jota ei ole estetty palvelimesi maassa — suurta, tylsää sivustoa. Jos mikään lähellä oleva ei sovi, tunnetun maailmanlaajuisen sivuston syöttäminen käsin (Google, Microsoft, Apple, Cloudflare) on aina pätevä varavaihtoehto.

Käynnistys, pysäytys ja uudelleenskannaus

  • Käynnistä — paina "Etsi sivustoja aliverkosta" (tai "Skannaa uudelleen" edellisen ajon jälkeen). Laaja skannaus kestää noin minuutin; tulokset ilmestyvät vähitellen sitä mukaa kuin kukin /24 tarkistetaan, joten sinun ei tarvitse odottaa koko skannausta valitaksesi sivuston.
  • Pysäytä — löytyikö tarpeeksi? Paina "Pysäytä". Painike vaihtuu tekstiksi "Pysäytetään…" sillä aikaa kun palvelin saattaa loppuun käsittelemänsä osan; kaikki tähän mennessä löydetty säilytetään. Kun tilanne rauhoittuu, skannaus merkitään valmiiksi ja "Skannaa uudelleen" ilmestyy.
  • Skannaa uudelleen — suorittaa uuden skannauksen ja päivittää ehdokaslistan. Käytä sitä, jos siirsit palvelinta tai naapurusto on saattanut muuttua.

Voit pysäyttää skannauksen yhdellä napsautuksella — se näyttää hetken "Pysäytetään…" ja lopettaa sitten itsestään. Ei ole tarpeen painaa Pysäytä kahdesti tai odottaa ennen uuden skannauksen aloittamista.

Tärkeimmät opit

  • Naamiointisivuston (Reality DEST/SNI) on oltava suuri, estämätön TLS 1.3 + HTTP/2 -sivusto — ja palvelimesi naapuri on yleensä paras: nopea ja huomaamaton.
  • Aliverkkoskanneri löytää nämä naapurit puolestasi: se luotaa palvelimen /24/20-verkot, säilyttää kelvolliset sivustot ja tarjoaa ne yhden napsautuksen ehdotuksina.
  • Se käynnistyy automaattisesti asennuksen yhteydessä ja voidaan ajaa uudelleen milloin tahansa inbound-lomakkeesta, palvelimen ikkunasta tai käynnissä-kortilta.
  • Pikanapit = löydetyt sivustot miinus jo käytössä olevat; vapauta yksi, niin se palaa.
  • Käynnistä, pysäytä (yksi napsautus → "Pysäytetään…") ja skannaa uudelleen tarpeen mukaan — kaikki löydetty säilytetään aina.

Seuraavaksi

Inbound voi olla enemmän kuin yksittäinen ovi — se voi olla palvelinketju, jossa liikenne saapuu yhdessä maassa ja poistuu toisessa. Jokainen hyppy valitsee oman naamiointisivustonsa, joten skanneri on hyödyksi sielläkin.

On this page