V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
kinboy
V2EX  ›  信息安全

在公司用 zerotier 被安全运维检测到了

  •  1
     
  •   kinboy · 2023-11-21 16:55:34 +08:00 · 9012 次点击
    这是一个创建于 404 天前的主题,其中的信息可能已经有所发展或是发生改变。
    应该是在网关上流量分析检测到的,本地没有安装监控软件,zerotier 用的默认的官方信令配置,想知道网关上一般是通过什么手段检测的
    如果是通过域名,是不是自己搭建 moon server+高位端口可以避开检测
    如果是通过协议分析,应该就无法避免了
    第 1 条附言  ·  2023-11-21 18:20:14 +08:00
    提问只是希望从技术上了解如何识别到 zerotier 的上网行为的,运维反馈的是我们办公室一台 OpenWrt 上出现 zt 攻击行为,而我并没有连过那台 openwrt 设备,我猜是 openwrt 上的 zt 插件被攻击了,运维反馈我我当即也卸载了本地安装的 zt 客户端
    44 条回复    2023-11-22 18:46:13 +08:00
    6a82aa9bfe
        1
    6a82aa9bfe  
       2023-11-21 17:13:05 +08:00 via Android   ❤️ 1
    被检测到说明你公司不允许用,你还想避免,被抓到怕不是要牢底坐穿
    ragnaroks
        2
    ragnaroks  
       2023-11-21 17:20:31 +08:00
    zerotier 的 UDP 包特征明显且固定
    somebody1
        3
    somebody1  
       2023-11-21 17:26:28 +08:00   ❤️ 3
    什么时候因为你的 zerotier 公司内网被突破了,你是不是还要再发个帖子问会不会蹲监狱啊?

    我告诉你,会的,有重大破坏,会被判刑的。

    公司明令禁止的东西为什么要违反,就跟那个改造电瓶车的一样,要么你跟公司去走申请,跟你申请下来,你写保证书。要么你就别用。
    a8Fy37XzWf70G0yW
        4
    a8Fy37XzWf70G0yW  
       2023-11-21 17:30:00 +08:00
    不是僅僅通過網域名稱這一點就能確定的。建議 PO 主瞭解一下企業上網行爲管理系統的功能有哪些。
    mskumiko
        5
    mskumiko  
       2023-11-21 17:36:00 +08:00
    @somebody1 你耽误我行使自由权益了!/DOGE
    janus77
        6
    janus77  
       2023-11-21 17:55:17 +08:00   ❤️ 3
    我就一句话
    如果大伙给你说了解决办法,然后导致你被抓了,你会来找我们麻烦吗?
    gps949
        7
    gps949  
       2023-11-21 18:01:05 +08:00
    你用 ZT 干啥了?如果 ZT 只为远程一两个机器可能还好,你要是把 ZT 作为通道走外面的节点作为代理节点,那不是流量都走向那一两个 IP 了?都用不到什么域名、协议分析啥的,单看流量都能揪出来了
    kinboy
        8
    kinboy  
    OP
       2023-11-21 18:17:37 +08:00
    @6a82aa9bfe #1
    @somebody1 #3
    @mskumiko #5
    @janus77 #6
    谢谢各位的友善提醒,让大家笑话了,我在这里提问只是一个情景假设,当然没有必要去冒这样的风险,之所以会在公司电脑上安装是为了连上家里的局域网,有时候假期在家需要远程公司电脑用,运维反馈后就立即卸载了,实际上运维反馈出现 zt 攻击的不是我本地电脑,是另一台 openwrt 软路由上的 zt 攻击,我也没有连过那台 openwrt 设备
    guanzhangzhang
        9
    guanzhangzhang  
       2023-11-21 18:45:55 +08:00
    udp 不是很正常的特征吗🤔,心跳包啥的 udp 更明显了
    Jat001
        10
    Jat001  
       2023-11-21 18:57:03 +08:00 via iPhone
    为了不被公司监控,我上班都是自带 5g 路由器的🤡
    Jat001
        11
    Jat001  
       2023-11-21 18:58:53 +08:00 via iPhone
    @Jat001 不对,这玩意叫 5g cpe
    8520ccc
        12
    8520ccc  
       2023-11-21 19:55:38 +08:00 via iPhone   ❤️ 2
    这题我会,ZT 其实是基于标准的 wireguard 协议,而 wireguard 协议每个 UDP 包的前缀是固定的!所以很容易被检测……至于如何突破,则需要修改协议了
    rekulas
        13
    rekulas  
       2023-11-21 20:32:03 +08:00
    要伪装流量当然用大家常用的机场协议比较好 最好 ws 类的 估计不容易引起怀疑
    mmtromsb456
        14
    mmtromsb456  
       2023-11-21 20:51:42 +08:00 via iPhone   ❤️ 4
    @8520ccc ZeroTier 不是 Wireguard 协议的,Tailscale 才是用标准 Wireguard 上构建了一层密钥分发和 NAT 发现的,ZeroTier 是自定义协议并构建出 L2 SDN 的
    julyclyde
        15
    julyclyde  
       2023-11-21 20:56:57 +08:00
    他们识别的那个“攻击”到底是不是“攻击这个意思”?
    建议先当面沟通一下,看他们到底懂不懂?

    到底是指:
    只要发现违规就认定为攻击
    还是
    发现了经由这个渠道的攻击痕迹
    yankebupt
        16
    yankebupt  
       2023-11-21 21:12:58 +08:00
    @kinboy 公司防火墙配置严密的话 进 出 的每一个包都会被分类并记录在案的,出现分类以外的包基本都是攻击,何况未经过混淆的 zt 特征那么明显,估计都单有一类……
    如果不止分类,有深度包检测的话不少利用已知协议封装好的反向连接 shell 都能检测出来……
    尽量不要自己搭 zt ,直接桥接到内网的话等于是一个后门。

    要连家里网拷点什么东西的话管运维要个跳板机或跳板代理临时用一下,防火墙搭的这么好的单位一般都有这东西……
    如果是非工作使用,自带设备或 5G CPE 吧,专网专用.
    Hylenbin
        17
    Hylenbin  
       2023-11-21 21:18:52 +08:00 via iPhone
    补充一条 ZeroTier 和 WeChat 类似,如果路由器开启了 UPnP 会自动在路由器上添加 UPnP 配置,虽然一般企业用路由器不会开启 UPnP 吧,但这个真是打开路由器一眼就看出来,根本不需要做什么流量分析。
    leconio
        18
    leconio  
       2023-11-21 21:48:55 +08:00
    可以用手机流量播 zt 呀,然后用电脑访问。。。
    有特殊需求不走公司网络的话,仅 tcp ,可以用自己安卓手机播 zt ,然后把自己不走公司网络的软件通过 socks5 代理到本地某个端口,然后再手机上启动一个 sshd ,然后把 sshd 端口通过 adb forward 映射到电脑上,通过 ssh -D [email protected] 创建 ssh tunnel ,通过 socks5 隧道转发 tcp 流量,由于是本地 lo 比较不容易被检测。缺点是不支持 udp

    or 用那种把手机模拟成一个计算机网卡的软件,然后用 route 命令转发到这个网卡上,支持 udp 。但凭空多一个网卡还是会被检测。
    wheat0r
        19
    wheat0r  
       2023-11-21 22:32:00 +08:00
    zerotier 并没有隐藏连接特征,上网行为审计设备很容易看出来
    est
        20
    est  
       2023-11-21 22:35:06 +08:00   ❤️ 1
    @kinboy

    > 有时候假期在家需要远程公司电脑用

    老人给你一个建议:要么让公司给出一个家里如何连公司的方案,要么就向上级汇报假期无法处理公司办公网事务

    用技术去改变制度是愚蠢的
    laminux29
        21
    laminux29  
       2023-11-21 23:39:13 +08:00
    1.zerotier 会尝试连接它的官方服务器。

    2.官方版本的 zerotier 不支持私有化部署,moon 只是作为备选中继节点,改变不了 zerotier 尝试连接官方服务器的行为。
    Markxu0
        22
    Markxu0  
       2023-11-22 00:37:31 +08:00 via Android
    cwcc
        23
    cwcc  
       2023-11-22 00:52:02 +08:00
    zt 行为很好识别,哪怕上网行为管理或路由器没有对 zt 协议进行识别,看一眼流量,请求了一堆 9993 端口,基本可以确定谁在用 zt 。但你说的攻击我觉得没搞清楚,一般不怎么敏感的工作网络对这个应该管得不严,除非是内网计算机(不能访问互联网的机器)被 zt 打通了,那大概率会出事。
    gitlight
        24
    gitlight  
       2023-11-22 09:09:09 +08:00
    p2p 打洞特征不要太明显
    IBN5100
        25
    IBN5100  
       2023-11-22 09:20:15 +08:00
    一直在用私有化部署 官方的好慢
    SenLief
        26
    SenLief  
       2023-11-22 09:47:30 +08:00 via iPhone
    好一点的网关都有防火墙,会对流量进行分析的,至少协议是知道的。

    不要在公司网络配置禁止的东西哦,公司可以送你进去的。
    cubecube
        27
    cubecube  
       2023-11-22 09:56:55 +08:00
    如果因为你,公司网络风险了,你要坐牢的。。
    layxy
        28
    layxy  
       2023-11-22 09:58:43 +08:00
    不要使用这种类似 vpn 的方式组网,在公司还是通过中间服务器和远程控制端部署 frp 保险,访问者不需要客户端
    xubingok
        29
    xubingok  
       2023-11-22 10:19:02 +08:00
    试试 websocket 转 ssh....需要一个中间服务器.

    当然这都是违规的...看你在方便和风险之间的权衡吧.
    sardina
        30
    sardina  
       2023-11-22 10:34:30 +08:00
    公司有人用 frp 被通报了 hhh
    kenvix
        31
    kenvix  
       2023-11-22 11:03:07 +08:00
    跟你领导说,如果要让员工假期远程办公,就必须采购 VPN 软件
    johnawesome172
        32
    johnawesome172  
       2023-11-22 11:08:12 +08:00
    @Jat001 可以推荐个路由器吗? GL.inet XE300 性能太差
    hdp5252
        33
    hdp5252  
       2023-11-22 11:32:32 +08:00 via Android
    @Jat001 什么型号
    Jat001
        34
    Jat001  
       2023-11-22 11:41:34 +08:00
    @johnawesome172 #32
    @hdp5252 #33
    我用的烽火的,室内信号一般,放窗户边上才能搜到 5g 信号。烽火就这一款 5g cpe ,直接搜名字就行
    shakukansp
        35
    shakukansp  
       2023-11-22 12:15:38 +08:00
    怎么感觉不久之前看过一个一模一样的帖子

    而且那个帖子 op 也是说攻击的是另一台机器
    gtese
        36
    gtese  
       2023-11-22 12:19:58 +08:00
    @johnawesome172 小米路由 r3p, 要样子有样子,要刷机有 op 。海鲜 100 元能收到成色好的。夫复何求?
    kinboy
        37
    kinboy  
    OP
       2023-11-22 15:31:26 +08:00
    @shakukansp #35 是不是有种前世记忆遗留的感觉
    kinboy
        38
    kinboy  
    OP
       2023-11-22 16:02:37 +08:00
    @est #20 鞭辟入里,非常到位
    kinboy
        39
    kinboy  
    OP
       2023-11-22 16:04:16 +08:00
    @Jat001 #11 看了下,有点意思,现在 5G CPE 一套下来成本不便宜啊,主要 5G 流量套餐都不太便宜
    kinboy
        40
    kinboy  
    OP
       2023-11-22 16:05:05 +08:00
    @julyclyde #15 我司的风格大概就是:说了不能用,就不要用了,问这么多干嘛
    kinboy
        41
    kinboy  
    OP
       2023-11-22 16:06:28 +08:00
    @yankebupt #16 其实也不是特别的刚需,就是一种心理上的需求,随时能连到家里的设备会感觉很舒服,大概这样子
    Jat001
        42
    Jat001  
       2023-11-22 16:08:22 +08:00
    @kinboy #39 我用的电信融合套餐,宽带+流量,流量每个月 100 多 G ,不下片够用了
    hdp5252
        43
    hdp5252  
       2023-11-22 17:06:11 +08:00
    @Jat001 联通有一款才 500 多,烽火的要 1000 多,有区别吗?去准备买个便宜的配合钉钉使用
    Jat001
        44
    Jat001  
       2023-11-22 18:46:13 +08:00
    @hdp5252 #43 区别真不知道,但华为的更贵,当时买的时候就选了个中间的
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2795 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 28ms · UTC 14:34 · PVG 22:34 · LAX 06:34 · JFK 09:34
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.