mirror of https://github.com/bol-van/zapret/
bol-van
5 months ago
4 changed files with 9 additions and 388 deletions
@ -1,133 +0,0 @@ |
|||||
Index: WireGuard-0.0.20190123/src/cookie.c
|
|
||||
===================================================================
|
|
||||
--- WireGuard-0.0.20190123.orig/src/cookie.c
|
|
||||
+++ WireGuard-0.0.20190123/src/cookie.c
|
|
||||
@@ -193,6 +193,8 @@ void wg_cookie_message_create(struct mes
|
|
||||
xchacha20poly1305_encrypt(dst->encrypted_cookie, cookie, COOKIE_LEN, |
|
||||
macs->mac1, COOKIE_LEN, dst->nonce, |
|
||||
checker->cookie_encryption_key); |
|
||||
+ // MOD : randomize trash
|
|
||||
+ dst->header.trash = gen_trash();
|
|
||||
} |
|
||||
|
|
||||
void wg_cookie_message_consume(struct message_handshake_cookie *src, |
|
||||
Index: WireGuard-0.0.20190123/src/messages.h
|
|
||||
===================================================================
|
|
||||
--- WireGuard-0.0.20190123.orig/src/messages.h
|
|
||||
+++ WireGuard-0.0.20190123/src/messages.h
|
|
||||
@@ -53,23 +53,41 @@ enum limits {
|
|
||||
MAX_QUEUED_PACKETS = 1024 /* TODO: replace this with DQL */ |
|
||||
}; |
|
||||
|
|
||||
+/*
|
|
||||
enum message_type { |
|
||||
- MESSAGE_INVALID = 0,
|
|
||||
- MESSAGE_HANDSHAKE_INITIATION = 1,
|
|
||||
- MESSAGE_HANDSHAKE_RESPONSE = 2,
|
|
||||
- MESSAGE_HANDSHAKE_COOKIE = 3,
|
|
||||
- MESSAGE_DATA = 4
|
|
||||
+ MESSAGE_INVALID = 0,
|
|
||||
+ MESSAGE_HANDSHAKE_INITIATION = 1,
|
|
||||
+ MESSAGE_HANDSHAKE_RESPONSE = 2,
|
|
||||
+ MESSAGE_HANDSHAKE_COOKIE = 3,
|
|
||||
+ MESSAGE_DATA = 4
|
|
||||
}; |
|
||||
+*/
|
|
||||
+
|
|
||||
+// MOD : message type
|
|
||||
+enum message_type {
|
|
||||
+ MESSAGE_INVALID = 0xE319CCD0,
|
|
||||
+ MESSAGE_HANDSHAKE_INITIATION = 0x48ADE198,
|
|
||||
+ MESSAGE_HANDSHAKE_RESPONSE = 0xFCA6A8F3,
|
|
||||
+ MESSAGE_HANDSHAKE_COOKIE = 0x64A3BB18,
|
|
||||
+ MESSAGE_DATA = 0x391820AA
|
|
||||
+};
|
|
||||
+
|
|
||||
+// MOD : generate fast trash without true RNG
|
|
||||
+__le32 gen_trash(void);
|
|
||||
|
|
||||
struct message_header { |
|
||||
- /* The actual layout of this that we want is:
|
|
||||
- * u8 type
|
|
||||
- * u8 reserved_zero[3]
|
|
||||
- *
|
|
||||
- * But it turns out that by encoding this as little endian,
|
|
||||
- * we achieve the same thing, and it makes checking faster.
|
|
||||
- */
|
|
||||
- __le32 type;
|
|
||||
+ /* The actual layout of this that we want is:
|
|
||||
+ * u8 type
|
|
||||
+ * u8 reserved_zero[3]
|
|
||||
+ *
|
|
||||
+ * But it turns out that by encoding this as little endian,
|
|
||||
+ * we achieve the same thing, and it makes checking faster.
|
|
||||
+ */
|
|
||||
+
|
|
||||
+ // MOD : trash field to change message size and add 4 byte offset to all fields
|
|
||||
+ __le32 trash;
|
|
||||
+
|
|
||||
+ __le32 type;
|
|
||||
}; |
|
||||
|
|
||||
struct message_macs { |
|
||||
Index: WireGuard-0.0.20190123/src/noise.c
|
|
||||
===================================================================
|
|
||||
--- WireGuard-0.0.20190123.orig/src/noise.c
|
|
||||
+++ WireGuard-0.0.20190123/src/noise.c
|
|
||||
@@ -17,6 +17,24 @@
|
|
||||
#include <linux/highmem.h> |
|
||||
#include <crypto/algapi.h> |
|
||||
|
|
||||
+
|
|
||||
+// MOD : trash generator
|
|
||||
+__le32 gtrash = 0;
|
|
||||
+__le32 gen_trash(void)
|
|
||||
+{
|
|
||||
+ if (gtrash)
|
|
||||
+ gtrash = gtrash*1103515243 + 12345;
|
|
||||
+ else
|
|
||||
+ // first value is true random
|
|
||||
+ get_random_bytes_wait(>rash, sizeof(gtrash));
|
|
||||
+ return gtrash;
|
|
||||
+}
|
|
||||
+
|
|
||||
/* This implements Noise_IKpsk2: |
|
||||
* |
|
||||
* <- s |
|
||||
@@ -515,6 +533,10 @@ wg_noise_handshake_create_initiation(str
|
|
||||
&handshake->entry); |
|
||||
|
|
||||
handshake->state = HANDSHAKE_CREATED_INITIATION; |
|
||||
+
|
|
||||
+ // MOD : randomize trash
|
|
||||
+ dst->header.trash = gen_trash();
|
|
||||
+
|
|
||||
ret = true; |
|
||||
|
|
||||
out: |
|
||||
@@ -655,6 +677,10 @@ bool wg_noise_handshake_create_response(
|
|
||||
&handshake->entry); |
|
||||
|
|
||||
handshake->state = HANDSHAKE_CREATED_RESPONSE; |
|
||||
+
|
|
||||
+ // MOD : randomize trash
|
|
||||
+ dst->header.trash = gen_trash();
|
|
||||
+
|
|
||||
ret = true; |
|
||||
|
|
||||
out: |
|
||||
Index: WireGuard-0.0.20190123/src/send.c
|
|
||||
===================================================================
|
|
||||
--- WireGuard-0.0.20190123.orig/src/send.c
|
|
||||
+++ WireGuard-0.0.20190123/src/send.c
|
|
||||
@@ -200,6 +200,10 @@ static bool encrypt_packet(struct sk_buf
|
|
||||
header->header.type = cpu_to_le32(MESSAGE_DATA); |
|
||||
header->key_idx = keypair->remote_index; |
|
||||
header->counter = cpu_to_le64(PACKET_CB(skb)->nonce); |
|
||||
+
|
|
||||
+ // MOD : randomize trash
|
|
||||
+ header->header.trash = gen_trash();
|
|
||||
+
|
|
||||
pskb_put(skb, trailer, trailer_len); |
|
||||
|
|
||||
/* Now we can encrypt the scattergather segments */ |
|
||||
@ -1,250 +0,0 @@ |
|||||
!!! Эта инструкция написана еще до включения wireguard в ядро linux. |
|
||||
!!! Процесс сборки для in-tree модулей отличается. |
|
||||
!!! Цель данного чтива - дать идею для программистов как можно исправить исходники wireguard |
|
||||
!!! для преодоления DPI. Автор не преследует цели поддерживать готовые патчи для актуальных версий. |
|
||||
!!! Вместо патчинга гораздо проще использовать навесное решение ipobfs. |
|
||||
|
|
||||
Посвящено возможной блокировке в РФ VPN протоколов через DPI. |
|
||||
Предпосылками являются последние законодательные акты и во всю сочащиеся "секретные" записки. |
|
||||
В РФ разрабатываются и готовятся к применению более продвинутые решения по блокировке трафика. |
|
||||
Вполне вероятно будут резать стандартные VPN протоколы. Нам надо быть к этому готовыми. |
|
||||
|
|
||||
Один из возможных и перспективных путей решения данного вопроса - кустомная модификация |
|
||||
исходников VPN с целью незначительного изменения протокола, ломающего стандартные модули обнаружения в DPI. |
|
||||
Это относительно сложно, доступно только для гиков. |
|
||||
Никто не будет разрабатывать специальные модули обнаружения в DPI, если только кто-то не сделает простое и |
|
||||
удобное решение для всех, и его станут широко применять. Но это маловероятно, и даже если и так, |
|
||||
то всегда можно модифицировать протокол чуток по другому. Делать моды для DPI несравненно дольше |
|
||||
и дороже, чем клепать на коленке изменения протокола для wireguard. |
|
||||
|
|
||||
|
|
||||
ЗАМЕЧЕНИЕ : альтернативой модификации конечного софта для VPN является использование "навесных" |
|
||||
обфускаторов. см : https://github.com/bol-van/ipobfs |
|
||||
|
|
||||
|
|
||||
Рассмотрю что нам надо пропатчить в wireguard. Модифицированный wireguard проверен на виртуалках |
|
||||
с десктопным linux, он работает, сообщения в wireshark действительно не вписываются в стандартный |
|
||||
протокол и не опознаются. |
|
||||
|
|
||||
Wireguard протокол очень простой. Все сообщения описаны в messages.h |
|
||||
Поставим себе целью сделать 2 простые модификации : |
|
||||
1) Добавим в начало всех сообщений немного мусора, чтобы изменить размер сообщений и смещения полей |
|
||||
2) Изменим коды типов сообщений |
|
||||
Этого может быть вполне достаточно для обмана DPI |
|
||||
|
|
||||
--messages.h-------------------------- |
|
||||
/* |
|
||||
enum message_type { |
|
||||
MESSAGE_INVALID = 0, |
|
||||
MESSAGE_HANDSHAKE_INITIATION = 1, |
|
||||
MESSAGE_HANDSHAKE_RESPONSE = 2, |
|
||||
MESSAGE_HANDSHAKE_COOKIE = 3, |
|
||||
MESSAGE_DATA = 4 |
|
||||
}; |
|
||||
*/ |
|
||||
|
|
||||
// MOD : message type |
|
||||
enum message_type { |
|
||||
MESSAGE_INVALID = 0xE319CCD0, |
|
||||
MESSAGE_HANDSHAKE_INITIATION = 0x48ADE198, |
|
||||
MESSAGE_HANDSHAKE_RESPONSE = 0xFCA6A8F3, |
|
||||
MESSAGE_HANDSHAKE_COOKIE = 0x64A3BB18, |
|
||||
MESSAGE_DATA = 0x391820AA |
|
||||
}; |
|
||||
|
|
||||
// MOD : generate fast trash without true RNG |
|
||||
__le32 gen_trash(void); |
|
||||
|
|
||||
struct message_header { |
|
||||
/* The actual layout of this that we want is: |
|
||||
* u8 type |
|
||||
* u8 reserved_zero[3] |
|
||||
* |
|
||||
* But it turns out that by encoding this as little endian, |
|
||||
* we achieve the same thing, and it makes checking faster. |
|
||||
*/ |
|
||||
|
|
||||
// MOD : trash field to change message size and add 4 byte offset to all fields |
|
||||
__le32 trash; |
|
||||
|
|
||||
__le32 type; |
|
||||
}; |
|
||||
-------------------------------------- |
|
||||
|
|
||||
Напишем функцию для генерации trash. Функция должна быть быстрая, важно не замедлить скорость. |
|
||||
Мы не расчитываем, что нас будут специально ловить, иначе бы пришлось делать полноценный обфускатор. |
|
||||
Задача лишь сломать стандартный модуль обнаружения протокола wireguard. Потому истинная рандомность |
|
||||
trash не важна. |
|
||||
Но все же немного "трэша" не повредит. Гонки между тредами так же пофигистичны. Это же трэш. |
|
||||
|
|
||||
--noise.c----------------------------- |
|
||||
// MOD : trash generator |
|
||||
__le32 gtrash = 0; |
|
||||
__le32 gen_trash(void) |
|
||||
{ |
|
||||
if (gtrash) |
|
||||
gtrash = gtrash*1103515243 + 12345; |
|
||||
else |
|
||||
// first value is true random |
|
||||
get_random_bytes_wait(>rash, sizeof(gtrash)); |
|
||||
return gtrash; |
|
||||
} |
|
||||
-------------------------------------- |
|
||||
|
|
||||
Теперь осталось найти все места, где создаются сообщения и внести туда заполнение поля trash. |
|
||||
Сообщений всего 4. Их можно найти по присваиванию полю type одного из значений enum message_type. |
|
||||
|
|
||||
2 места в noise.c в функциях wg_noise_handshake_create_initiation и wg_noise_handshake_create_response, |
|
||||
1 место в cookie.c в функции wg_cookie_message_create |
|
||||
Дописываем в конец инициализации структуры сообщения : |
|
||||
|
|
||||
-------------------------------------- |
|
||||
// MOD : randomize trash |
|
||||
dst->header.trash = gen_trash(); |
|
||||
-------------------------------------- |
|
||||
|
|
||||
и 1 место в send.c в функции encrypt_packet |
|
||||
|
|
||||
-------------------------------------- |
|
||||
// MOD : randomize trash |
|
||||
header->header.trash = gen_trash(); |
|
||||
-------------------------------------- |
|
||||
|
|
||||
|
|
||||
Вот и весь патчинг. Полный patch (версия wireguard 0.0.20190123) лежит в 010-wg-mod.patch. |
|
||||
Патчинг кода - самое простое. Для десктопного linux дальше все просто. |
|
||||
Пересобираем через make, устанавливаем через make install, перегружаем |
|
||||
модуль wireguard, перезапускаем интерфейсы, и все готово. |
|
||||
|
|
||||
Настоящий геморой начнется когда вы это попытаетесь засунуть на роутер под openwrt. |
|
||||
Одна из больших проблем linux - отсутствие совместимости драйверов на уровне бинариков. |
|
||||
Поэтому собирать необходимо в точности под вашу версию ядра и в точности под его .config. |
|
||||
Вам придется либо полностью самостоятельно собирать всю прошивку, либо найти SDK в точности |
|
||||
от вашей версии прошивки для вашей архитектуры и собрать модуль с помощью этого SDK. |
|
||||
Последний вариант более легкий. |
|
||||
Для сборки вам понадобится система на linux x86_64. Ее можно установить в виртуалке. |
|
||||
Теоретически можно пользоваться WSL из win10, но на практике там очень медленное I/O, |
|
||||
по крайней мере на старых версиях win10. Безумно медленное. Будете собирать вечность. |
|
||||
Может в новых win10 что-то и улучшили, но я бы сразу расчитывал на полноценный linux. |
|
||||
|
|
||||
Находим здесь вашу версию : https://downloads.openwrt.org/ |
|
||||
Скачиваем файл openwrt-sdk-*.tar.xz или lede-sdk-*.tar.xz |
|
||||
Например : https://downloads.openwrt.org/releases/18.06.2/targets/ar71xx/generic/openwrt-sdk-18.06.2-ar71xx-generic_gcc-7.3.0_musl.Linux-x86_64.tar.xz |
|
||||
Если ваша версия непонятна или стара, то проще будет найти последнюю прошивку и перешить роутер. |
|
||||
Распаковываем SDK. Следующими командами можно собрать оригинальный вариант wireguard : |
|
||||
|
|
||||
# scripts/feeds update -a |
|
||||
# scripts/feeds install -a |
|
||||
# make defconfig |
|
||||
# make -j 4 package/wireguard/compile |
|
||||
|
|
||||
Сборка будет довольно долгой. Ведь придется подтащить ядро, собрать его, собрать зависимости. |
|
||||
"-j 4" означает использовать 4 потока. Впишите вместо 4 количество доступных cpu cores. |
|
||||
|
|
||||
Получим следующие файлы : |
|
||||
|
|
||||
openwrt-sdk-18.06.2-ar71xx-generic_gcc-7.3.0_musl.Linux-x86_64/bin/targets/ar71xx/generic/packages/kmod-wireguard_4.9.152+0.0.20190123-1_mips_24kc.ipk |
|
||||
openwrt-sdk-18.06.2-ar71xx-generic_gcc-7.3.0_musl.Linux-x86_64/bin/packages/mips_24kc/base/wireguard-tools_0.0.20190123-1_mips_24kc.ipk |
|
||||
|
|
||||
Но это будет оригинальный wireguard. Нам нужен патченый. |
|
||||
Установим quilt и mc для нормального редактора вместо vim : |
|
||||
|
|
||||
# sudo apt-get update |
|
||||
# sudo apt-get install quilt mc |
|
||||
|
|
||||
# make package/wireguard/clean |
|
||||
# make package/wireguard/prepare V=s QUILT=1 |
|
||||
|
|
||||
|
|
||||
Сорцы приготовлены для сборки в : |
|
||||
openwrt-sdk-18.06.2-ar71xx-generic_gcc-7.3.0_musl.Linux-x86_64/build_dir/target-mips_24kc_musl/linux-ar71xx_generic/WireGuard-0.0.20190123/src |
|
||||
|
|
||||
# cd build_dir/target-mips_24kc_musl/linux-ar71xx_generic/WireGuard-0.0.20190123/src |
|
||||
# quilt push -a |
|
||||
# quilt new 010-wg-mod.patch |
|
||||
# export EDITOR=mcedit |
|
||||
|
|
||||
Далее будет открываться редактор mcedit, в который нужно вносить изменения в каждый файл : |
|
||||
|
|
||||
# quilt edit messages.h |
|
||||
# quilt edit cookie.c |
|
||||
# quilt edit noise.c |
|
||||
# quilt edit send.c |
|
||||
# quilt diff |
|
||||
# quilt refresh |
|
||||
|
|
||||
Получили файл патча в : |
|
||||
openwrt-sdk-18.06.2-ar71xx-generic_gcc-7.3.0_musl.Linux-x86_64/build_dir/target-mips_24kc_musl/linux-ar71xx_generic/WireGuard-0.0.20190123/patches/010-wg-mod.patch |
|
||||
|
|
||||
Выходим в корень SDK. |
|
||||
|
|
||||
# make package/wireguard/compile V=99 |
|
||||
|
|
||||
Если не было ошибок, то получили измененные ipk. |
|
||||
Патч можно зафиксировать в описании пакета : |
|
||||
|
|
||||
# make package/wireguard/update |
|
||||
|
|
||||
Получим : |
|
||||
openwrt-sdk-18.06.2-ar71xx-generic_gcc-7.3.0_musl.Linux-x86_64/feeds/base/package/network/services/wireguard/patches/010-wg-mod.patch |
|
||||
При последующей очистке и пересборке он будет автоматом применяться. |
|
||||
|
|
||||
|
|
||||
АЛЬТЕРНАТИВА : можно не возиться с quilt. |
|
||||
сделайте |
|
||||
# make package/wireguard/clean |
|
||||
# make package/wireguard/prepare |
|
||||
и напрямую модифицируйте или копируйте файлы в |
|
||||
openwrt-sdk-18.06.2-ar71xx-generic_gcc-7.3.0_musl.Linux-x86_64/build_dir/target-mips_24kc_musl/linux-ar71xx_generic/WireGuard-0.0.20190123/src |
|
||||
затем |
|
||||
# make package/wireguard/compile |
|
||||
|
|
||||
Если нужно поменять версию wireguard, то идите в |
|
||||
openwrt-sdk-18.06.2-ar71xx-generic_gcc-7.3.0_musl.Linux-x86_64/feeds/base/package/network/services/wireguard/Makefile |
|
||||
поменяйте там версию в PKG_VERSION на последнюю из : https://git.zx2c4.com/WireGuard |
|
||||
скачайте tar.xz с этой версией , вычислите его sha256sum, впишите в PKG_HASH |
|
||||
|
|
||||
1 раз где-нибудь пропатчите файлы последней версии wireguard в текстовом редакторе, скопируйте в build_dir, |
|
||||
сделайте версию для openwrt. эти же файлы скопируйте на ваш сервер с десктопным linux, сделайте там make / make install |
|
||||
|
|
||||
Но имейте в виду, что build_dir - локация для временных файлов. |
|
||||
make clean оттуда все снесет, включая ваши модификации. Модифицированные файлы лучше сохранить отдельно, |
|
||||
чтобы потом было легко скопировать обратно. |
|
||||
|
|
||||
Полученные ipk копируем на роутер в /tmp, устанавливаем через |
|
||||
# cd /tmp |
|
||||
# rm -r /tmp/opkg-lists |
|
||||
# opkg install *.ipk |
|
||||
Если требует зависимостей, то |
|
||||
# opkg update |
|
||||
# opkg install .... <зависимости> |
|
||||
# rm -r /tmp/opkg-lists |
|
||||
# opkg install *.ipk |
|
||||
|
|
||||
В /tmp/opkg-lists opkg хранит кэш списка пакетов. Если попытаться установить файл ipk, и такой же пакет |
|
||||
найдется в репозитории, opkg будет устанавливать из репозитория. А нам это не надо. |
|
||||
|
|
||||
# rmmod wireguard |
|
||||
# kmodloader |
|
||||
# dmesg | tail |
|
||||
должны увидеть что-то вроде : |
|
||||
[8985.415490] wireguard: WireGuard 0.0.20190123 loaded. See www.wireguard.com for information. |
|
||||
[8985.424178] wireguard: Copyright (C) 2015-2019 Jason A. Donenfeld <[email protected]>. All Rights Reserved. |
|
||||
значит модуль загрузился |
|
||||
|
|
||||
Могут понадобиться ключи opkg --force-reinstall, --force-depends. |
|
||||
--force-depends поможет при несоответствии hash версии ядра. То есть версия x.x.x та же самая, но hash конфигурации разный. |
|
||||
При несоответствии x.x.x вы что-то делаете не так, работать это не будет. |
|
||||
Например : 4.14.56-1-b1186491495127cc6ff81d29c00a91fc, 4.14.56-1-3f8a21a63974cfb7ee67e41f2d4b805d |
|
||||
Это свидетельствует о несоответствии .config ядра при сборке прошивки и в SDK. |
|
||||
Если несоответствие легкое, то может все прокатить, но при более серьезной разнице в .config модуль может не загрузиться |
|
||||
или вызвать стабильные или хаотические падения ядра и перезагрузки (включая вариант беcконечной перезагрузки - bootloop). |
|
||||
Так что перед --force-depends убедитесь, что знаете как лечится такая ситуация, и не стоит это делать при отсутствии физического |
|
||||
доступа к девайсу. |
|
||||
|
|
||||
Когда поднимите линк, и вдруг ничего не будет работать, то посмотрите в wireshark udp пакеты |
|
||||
на порт endpoint. Они не должны начинаться с 0,1,2,3,4. В первых 4 байтах должен быть рандом, |
|
||||
в следующих 4 байтах - значения из измененного enum message_type. Если пакет все еще начинается с 0..4, |
|
||||
значит модуль wireguard оригинальный, что-то не собралось, не скопировалось, не перезапустилось. |
|
||||
В противном случае должен подняться линк, пинги ходить. Значит вы победили, поздравляю. |
|
||||
Регулятору будет намного сложнее поймать ваш VPN. |
|
||||
Loading…
Reference in new issue