search

Hameds / GoogleBackup

بکاپ از گوگل: چه اتفاقی افتاده و چه باید کرد؟
284 stars 25 forks source link

یه تست جدید #55

Closed behdad222 closed 3 years ago

behdad222 commented 3 years ago
من رو openwrt یه transparent proxy راه انداختم با کمک shadow socks و dnscrypt به خوبی کار میکنه و مثلا توییتر بدون مشکل باز میشه اما مشکل گوگل ۴۰۳ رو دارم نکته مهم و جذاب اینجاست که با همون سرور و کانفیگ شدوساکس با کمک switchyOmega وصل شم مشکل گوگل ۴۰۳ ندارم نمیدونم چرا و چطور ممکنه تنها دلیلی که به ذهنم میرسه dns هست سویچی امگا dns رو از خودش رد میکنه و dns برای ip پراکسی میشه تو openwrt ترافیک dns از dnscrypt رد میشه و ip متفاوت از ip پراکسیم داره
xhdix commented 3 years ago
میتونی متن ات را درون این کد قرار بدی؟ 
<div dir="rtl">
RTL text
</div>
اگه درست متوجه شده باشم و DNS Leak داشته باشی، میتونی با این درخواست ببنی که سرور مقصد چه IP ای را برای resolve کردن میتونه ببینه: 
dig whoami.akamai.net
هرچند این تست در این آدرس هم خیلی خوبه:

https://ipleak.com/full-report/

behdad222 commented 3 years ago 
dig whoami.akamai.net 

; <<>> DiG 9.16.8-Ubuntu <<>> whoami.akamai.net
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 10625
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 65494
;; QUESTION SECTION:
;whoami.akamai.net.     IN  A

;; ANSWER SECTION:
whoami.akamai.net.  50  IN  A   146.112.139.69

;; Query time: 339 msec
;; SERVER: 127.0.0.53#53(127.0.0.53)
;; WHEN: Wed May 05 01:32:54 +0430 2021
;; MSG SIZE  rcvd: 62

@xhdix

نه dns leak ندارم متن کامنت اول رو هم اصلاح کردم
xhdix commented 3 years ago
حدسی که باقی می مونه این هست که ممکنه با سرور های گوگل ارتباط QUIC برقرار کنین که از پراکسی در حالت عادی رد نمیشه. شاید capture ترافیک چیزی نشون بده. چیزی به ذهن من نمیرسه فعلا.
behdad222 commented 3 years ago
داشتم بررسی میکردم چرا گاهی fod تو اندروید استادیو جواب نمیده و ۴۰۳ برمیگرده اول یه http پراکسی بدون وایت لیست داخل سرور ایران بالا اوردم و متوجه شدم دامین https://developer.android.com/ باز میشه ولی دامین https://play.google.com/apps/publish/ باز نمیشه با سویچی اومگا در کروم تست کردم برام عجیب بود و براش جواب نداشتم تو همون سرور ایران یه پراکسی socks5 بالا اوردم و بدون مشکل همه چی کار کرد یعنی یه چیزی از http پراکسی رد نمیشه و به 403 میخوریم
xhdix commented 3 years ago
اگه pcap ازش دارین شاید بشه بررسی ای کرد.
Hameds commented 3 years ago

داشتم بررسی میکردم چرا گاهی fod تو اندروید استادیو جواب نمیده و ۴۰۳ برمیگرده اول یه http پراکسی بدون وایت لیست داخل سرور ایران بالا اوردم و متوجه شدم دامین https://developer.android.com/ باز میشه ولی دامین https://play.google.com/apps/publish/ باز نمیشه با سویچی اومگا در کروم تست کردم برام عجیب بود و براش جواب نداشتم تو همون سرور ایران یه پراکسی socks5 بالا اوردم و بدون مشکل همه چی کار کرد

یعنی یه چیزی از http پراکسی رد نمیشه و به 403 میخوریم

روی این به نتیجه‌ای رسیدی بهداد جان؟ با توجه به اینکه ظاهراً دسترسی از طریق fod دوباره برقرار شد مشکل از کجا بود؟
behdad222 commented 3 years ago
یه هفته‌ای خونه نبودم امروز که اومدم pcap بگیرم متوجه شدم سرور جدیدم رو گوگل بن کرده. زمانی که طول کشید گوگل سرور جدیدم رو شناسایی کنه کمتر از ۲ هفته مشکل fod فقط یک روز باقی بود و ربطی هم به گوگل نداشت. گوگل سرور fod رو شناسایی نکرده
behdad222 commented 3 years ago

@xhdix wireshark.tar.gz

xhdix commented 3 years ago
اگه درک من از مسئله درست باشه با switchyOmega تمام ترافیک از 194.41.0.0 رد میشه

image

بعضی packet ها هم از مسیری مجزا رد میشن که مقدار TTL دریافتی هم 63 هست و این یعنی یک hop فاصله تا NAT یا پراکسی ایجاد شده.


در فایل دیگه، کلا اثری از 194.41.0.0 نیست و تمام packet ها با توجه به TTL شون از پراکسی رد میشن اما بجز QUIC:

image

البته این ممکنه به شیوه ی بازنویسی دستگاه یا نرم افزار هم مربوط باشه و اگه اینطور باشه میتونه فرضیه ی رد نشدن ترافیک QUIC از پراکسی را نقض می کنه.
behdad222 commented 3 years ago
از توضیحاتی که دادی من به همون quic شک میکنم با توجه به این که در حال حاضر یه سری از ترافیک‌ها از ترانسپرنت پراکسی رد نمیشند مثل webrtc یا icmp
0xRustlang commented 3 years ago

موردی که وجود داره اگر دس ان اس برای ایران نباشه من فکرنمیکنم مشکلی وجود داشته باشه چون خیلیا الان از دی ان اسای متفرقه استفاده میکنن تو جهان

همین الانش فایرفاکس به طور پیش‌فرض DoH رو برای کاربرای آمریکایی فعال کرده که به کلودفلیر وصل میشن

(دی ان اس کلودفلیر سرورای مختلفی توی جهان داره و اکثر دی ان اسای عمومی اینطور هستن)

بنابراین من شک دارم از دی ان اس باشه اگر لیک دی ان اس آی پی ایران نداشته باشی

میتونه از تایم زون‌مرورگرت باشه چون احتمال زیاد ایرانه

میتونه استفاده بیشتر گوگل از داده های مکانی اسم ها و ssid های وای فای ها باشه که تا الان میدونه کدوما برای ایرانن چون ازش برای سرعت دادن به شناسایی جی پی اس استفاده میکنه (پیام وای فای خود را روشن کنید وقتی میخوای از مپ استفاده کنی)

و میتونه از شماره موبایل ایرانی وصل شده به حساب برای تایید حساب یا ورود دومرحله ای که به موبایلت لینک شده باشه که ممکنه از طریق گوگل پلی سرویس یا کلی اپ دیگه که داره به گوگل استفاده از وی پی انت رو اطلاع بده

و البته میتونه از اکانت وصل شده به مروگرت باشه اگر از کروم استفاده میکنی یا با اکانت گوگل لاگین شده سرچ میکنی یا سایتای تحریمی رو باز میکنی

در کل گوگل لعنتی خیلی دیتا داره برای شناسایی

اگر از همش بخواد استفاده کنی راهی برای دور زدن نمیذاره

واقعا نمیشه فهمید الان از کدومشون داره استفاده میکنه و میخواد چیکار کنه