potty/plonk更加安全地使用SSH代理翻墙暨扒出新赛风3的SSH帐号如何使用
看过扒开psiphon3隐藏的SSH账号一文的网友大概都能找到赛风3内置ssh代理帐号了,在赛风3翻墙工具一文中我已经说过了新赛风3的SSH帐号获得的是如下形式(其中端口因地域不同会有差别):
-ssh -C -N -batch -P 995 -z -Z 0dec9363ff0b557aac1be75a041a8e3daddd39db0c843ca9323941854ce92d2b -l psiphon_ssh_9e284d37bd902bbe -pw 294ba6bcc0bfebe7089bf7cb201658bd769bb6c5d2a85aeaae7306239a2bda9e -D 1080 xxx.xxx.xxx.xxx
如果直接在putty/plink(MyEntunnel)中使用是无法使用的,因为其参数-z -Z是不被支持的,当然你依然可以使用ssh服务器22端口和看到ssh服务器地址、用户名和密码正常连接使用,今天要说的是使用potty/plonk代替putty/plink使用,因为其支持参数-z -Z,他们的主要区别也仅在于此。
从potty官网http://www.mrhinkydink.com/potty.htm中不难看出potty是在putty基础上修改的主要是实现了对Bruce Leidl’s obfuscated-openssh patch的支持,我们一般使用ssh默认的22端口时是很容易被发现和干扰的,而一般防止干扰的方法是使用443端口,不过这里有个明显的漏洞依然会被扑捉,也就是首次连接ssh服务器的host key的行为是很容易暴露的,这样你一样会被发现和干扰,于是2009年openssh出了个补丁支持混淆初次服务器握手以达到防止深度包检测和入侵检测的(IDS/IPS)目的,不过目前的putty客户端尚不支持此功能,于是Hinky Dink先生开发了potty以实现对此功能的支持。
前一段时间推特上就疯传ssh代理被干扰,当然赛风3的ssh也很难幸免,于是赛风3技术人员从安全角度出发在赛风3中使用plonk代替了plink以实现混淆初次服务器握手防止GFW的IDS/IPS入侵行为,也就是上面大家看到的-z -Z 及后面一串字符。当然也希望其他ssh代理服务提供商能从用户安全出发加入此功能的支持。
有了以上知识的就不难理解以下在Windows系统下使用potty/plonk(MyEntunnel)利用新赛风3的SSH帐号翻墙的方法了(Linux和Mac系统直接使用openssh相关命令即可)。
potty/plonk下载地址:http://www.mrhinkydink.com/potty.htm
potty使用:
先参考http://igfw.net/archives/1380一文中putty相关部分设置,然后再参考下图设置(勾选后填写-z -Z 后面一串字符)
(详情参考http://mrhinkydink.blogspot.com/p/about-potty.html)
plonk使用:
直接使用得到的命令行,使用.bat脚本即可,更高级的用法参考http://igfw.net/archives/2736 文中相关设置
MyEntunnel使用:
MyEntunnel就是一个调用plink的图形界面壳,在http://igfw.net/archives/2442一文中我曾说道过其高级用法,其中就有ExecArguments=扩展参数,此参数后加入任何命令都会触发plink执行,于是我们可以将plonk重命名为plink并替代原有plink文件使用,然后正常创建MyEntunnel配置并保存,用记事本打开配置文件并添加上一行 ExecArguments= -N -z -Z 及后面一串字符(字符串各不相同以你自己获得的为准),如下图
本文只是叙述方法并不是建议扒赛风3的SSH帐号,另外由于知识浅薄文中错误还望高人指出以便修改。
我自己买了一个SSH账号来用,服务商也表示他们的SSH已经可以实现抗干扰了,他们叫我用他们的官方客户端。但他们的客户端要安装的,我不想用,我想把我的MyEntunnel修改成支持新参数-z -Z以利用现有的MyEntunnel来实现抗干扰的新功能。
那么如果我不是用赛风的SSH,而是用自己的SSH账户,在“ExecArguments= -N -z -Z”后面的那一串字符应该填什么呢??
你问客服要,如果没有可能是不支持这种方法。
也许他们所述的抗干扰只是初级的修改ssh端口为443、2222之类的方法。
应该不是初级的修改SSH端口,我留意到他们这条公告,里面有提到obfucation key
https://www.usassh.com/announcements/125/ssh-443.html
那你可以问问他们客服。
刚下了官方最新版的pp3,现在界面有三个选项:ssh+,vpn,ssh。默认是ssh+,我这里一直连接不成功,一直next server,估计就是有z参数的ssh,因为第三个选项ssh连接成功后,用rocessExplorer查看,没有z参数。我现在发这个回帖就是用扒出来的帐号用Tunnelier连接上来的,嘻嘻。
新年快乐!呵呵~~博主终于找到plonk了
我这赛风3 邮件发了重新下载了 还找不到服务器 要是有份日本或加拿大的.REG 下载就好 这样导入!
那你先吧以前的赛风3注册表信息删除了,然后再运行新赛风3试试吧
kitty不支持参数-z -Z,potty又不支持密码保存,MyEntunnel修改后支持参数-z -Z,可赛风3现在又取消了参数-z -Z,还得改回来,呵呵,真是忙活了一阵。
赛风3现在是支持参数-z -Z呀,我刚测试