应该是在网关上流量分析检测到的,本地没有安装监控软件,zerotier 用的默认的官方信令配置,想知道网关上一般是通过什么手段检测的如果是通过域名,是不是自己搭建 moon server+高位端口可以避开检测如果是通过协议分析,应该就无法避免了

提问只是希望从技术上了解如何识别到 zerotier 的上网行为的,运维反馈的是我们办公室一台 OpenWrt 上出现 zt 攻击行为,而我并没有连过那台 openwrt 设备,我猜是 openwrt 上的 zt 插件被攻击了,运维反馈我我当即也卸载了本地安装的 zt 客户端

被检测到说明你公司不允许用,你还想避免,被抓到怕不是要牢底坐穿

zerotier 的 UDP 包特征明显且固定

什么时候因为你的 zerotier 公司内网被突破了,你是不是还要再发个帖子问会不会蹲监狱啊?我告诉你,会的,有重大破坏,会被判刑的。公司明令禁止的东西为什么要违反,就跟那个改造电瓶车的一样,要么你跟公司去走申请,跟你申请下来,你写保证书。要么你就别用。

不是僅僅通過網域名稱這一點就能確定的。建議 PO 主瞭解一下企業上網行爲管理系統的功能有哪些。

你耽误我行使自由权益了!/DOGE

我就一句话如果大伙给你说了解决办法,然后导致你被抓了,你会来找我们麻烦吗?

你用 ZT 干啥了?如果 ZT 只为远程一两个机器可能还好,你要是把 ZT 作为通道走外面的节点作为代理节点,那不是流量都走向那一两个 IP 了?都用不到什么域名、协议分析啥的,单看流量都能揪出来了

#1 #3 #5 #6 谢谢各位的友善提醒,让大家笑话了,我在这里提问只是一个情景假设,当然没有必要去冒这样的风险,之所以会在公司电脑上安装是为了连上家里的局域网,有时候假期在家需要远程公司电脑用,运维反馈后就立即卸载了,实际上运维反馈出现 zt 攻击的不是我本地电脑,是另一台 openwrt 软路由上的 zt 攻击,我也没有连过那台 openwrt 设备

udp 不是很正常的特征吗🤔,心跳包啥的 udp 更明显了

为了不被公司监控,我上班都是自带 5g 路由器的🤡

不对,这玩意叫 5g cpe

这题我会,ZT 其实是基于标准的 wireguard 协议,而 wireguard 协议每个 UDP 包的前缀是固定的!所以很容易被检测……至于如何突破,则需要修改协议了

要伪装流量当然用大家常用的机场协议比较好 最好 ws 类的 估计不容易引起怀疑

ZeroTier 不是 Wireguard 协议的,Tailscale 才是用标准 Wireguard 上构建了一层密钥分发和 NAT 发现的,ZeroTier 是自定义协议并构建出 L2 SDN 的

他们识别的那个“攻击”到底是不是“攻击这个意思”?建议先当面沟通一下,看他们到底懂不懂?到底是指:只要发现违规就认定为攻击还是发现了经由这个渠道的攻击痕迹

公司防火墙配置严密的话 进 出 的每一个包都会被分类并记录在案的,出现分类以外的包基本都是攻击,何况未经过混淆的 zt 特征那么明显,估计都单有一类……如果不止分类,有深度包检测的话不少利用已知协议封装好的反向连接 shell 都能检测出来……尽量不要自己搭 zt ,直接桥接到内网的话等于是一个后门。要连家里网拷点什么东西的话管运维要个跳板机或跳板代理临时用一下,防火墙搭的这么好的单位一般都有这东西……如果是非工作使用,自带设备或 5G CPE 吧,专网专用.

补充一条 ZeroTier 和 WeChat 类似,如果路由器开启了 UPnP 会自动在路由器上添加 UPnP 配置,虽然一般企业用路由器不会开启 UPnP 吧,但这个真是打开路由器一眼就看出来,根本不需要做什么流量分析。

可以用手机流量播 zt 呀,然后用电脑访问。。。有特殊需求不走公司网络的话,仅 tcp ,可以用自己安卓手机播 zt ,然后把自己不走公司网络的软件通过 socks5 代理到本地某个端口,然后再手机上启动一个 sshd ,然后把 sshd 端口通过 adb forward 映射到电脑上,通过 ssh -D [email protected] 创建 ssh tunnel ,通过 socks5 隧道转发 tcp 流量,由于是本地 lo 比较不容易被检测。缺点是不支持 udpor 用那种把手机模拟成一个计算机网卡的软件,然后用 route 命令转发到这个网卡上,支持 udp 。但凭空多一个网卡还是会被检测。

zerotier 并没有隐藏连接特征,上网行为审计设备很容易看出来

有时候假期在家需要远程公司电脑用老人给你一个建议:要么让公司给出一个家里如何连公司的方案,要么就向上级汇报假期无法处理公司办公网事务用技术去改变制度是愚蠢的

1.zerotier 会尝试连接它的官方服务器。2.官方版本的 zerotier 不支持私有化部署,moon 只是作为备选中继节点,改变不了 zerotier 尝试连接官方服务器的行为。

私有化部署在这里 github.com/xubiaolin/docker-zerotier-planet

zt 行为很好识别,哪怕上网行为管理或路由器没有对 zt 协议进行识别,看一眼流量,请求了一堆 9993 端口,基本可以确定谁在用 zt 。但你说的攻击我觉得没搞清楚,一般不怎么敏感的工作网络对这个应该管得不严,除非是内网计算机(不能访问互联网的机器)被 zt 打通了,那大概率会出事。

p2p 打洞特征不要太明显

一直在用私有化部署 官方的好慢

好一点的网关都有防火墙,会对流量进行分析的,至少协议是知道的。不要在公司网络配置禁止的东西哦,公司可以送你进去的。

如果因为你,公司网络风险了,你要坐牢的。。

不要使用这种类似 vpn 的方式组网,在公司还是通过中间服务器和远程控制端部署 frp 保险,访问者不需要客户端

试试 websocket 转 ssh....需要一个中间服务器.当然这都是违规的...看你在方便和风险之间的权衡吧.

公司有人用 frp 被通报了 hhh

跟你领导说,如果要让员工假期远程办公,就必须采购 VPN 软件

可以推荐个路由器吗? GL.inet XE300 性能太差

什么型号

#32 #33我用的烽火的,室内信号一般,放窗户边上才能搜到 5g 信号。烽火就这一款 5g cpe ,直接搜名字就行

怎么感觉不久之前看过一个一模一样的帖子而且那个帖子 op 也是说攻击的是另一台机器

小米路由 r3p, 要样子有样子,要刷机有 op 。海鲜 100 元能收到成色好的。夫复何求?

#35 是不是有种前世记忆遗留的感觉

#20 鞭辟入里,非常到位

#11 看了下,有点意思,现在 5G CPE 一套下来成本不便宜啊,主要 5G 流量套餐都不太便宜

#15 我司的风格大概就是:说了不能用,就不要用了,问这么多干嘛

#16 其实也不是特别的刚需,就是一种心理上的需求,随时能连到家里的设备会感觉很舒服,大概这样子

#39 我用的电信融合套餐,宽带+流量,流量每个月 100 多 G ,不下片够用了

联通有一款才 500 多,烽火的要 1000 多,有区别吗?去准备买个便宜的配合钉钉使用

#43 区别真不知道,但华为的更贵,当时买的时候就选了个中间的