原文地址:http://insight-labs.org/?p=990
警惕IPSec/L2TP ***被GFW干擾後變明文
昨天拿服務器搭了個ipsec/l2tp的***給朋友***,朋友說連上之後只要一上國外網站,facebook,youtube之類的就會斷線,我覺得很不可思議,明明都是加密了的,這不科學。
後來把debug打開,tail -f /var/log/secure,tail -f /var/log/message,一般情況下,連ipsec l2tp ***,secure log會顯出現IKEv2握手的日誌,最後會出現transport xxx established,說明ipsec通道建立完成,然後message log纔開始出現ppp登錄記錄,但是每次我朋友撥***的時候,根本看不到secure log裏有任何動靜,上來就是ppp登錄。
後來用nc發udp包做測試,正常情況下,用nc發送任意內容的udp包到udp 500端口,可以看到secure日誌裏提示數據包畸形(malformed xxxx),但是朋友用nc測試,也沒有任何提示,說明udp包在500端口被drop了。
最詭異的一點是windows這時候居然還能建立成功***,即使打開了 需要加密(如果服務器拒絕將斷開連接) 這個選項,還是可以建立成功***通道,只不過這個時候是明文的,而且gfw可以重建通道內的數據包進行審查。
如果打開強制使用最大程度加密的選項,***則會建立失敗。但是在沒有被封鎖的地區是可以連上的。
GFW以前是不管ipsec ***的……
鑑於***對大家有着比***更重要的用途,使用l2tp ***的時候記得打開強制使用最大程度加密的選項,否則很容易在被gfw干擾的情況下變成明文***。