Назад | Перейти на главную страницу

Как Netflix отслеживает, что я использую VPN?

Отказ от ответственности:

Это не «Мне нужен VPN для серфинга в Netflix». Серфинг на этом сайте без VPN позволяет Netflix.

Вопрос в другом: «Есть компьютер, которому требуется выход в Интернет только через VPN, но Netflix обнаруживает, что он находится за VPN. Как?»

Первое, что нужно учесть:

  1. Netflix разрешает IP-адреса от этого провайдера VPN.
  2. Мы в Италии.
  3. Мы используем итальянские серверы этого платного провайдера VPN.
  4. Мы смотрим на Netflix Italia.

Если они подключаются к Netflix через машину C, они получают сообщение (в переводе с итальянского): «Что-то пошло не так. Ошибка потоковой передачи. Похоже, вы используете разблокировщик или прокси-сервер, отключите эти службы и повторите попытку. Код ошибки: M7111-5059. "

Обратите внимание, что это не связано с VPN-сервером. Если C подключается к тому же серверу VPN, который используется A, но локально через приложение VPN провайдера, Netflix не обнаружит его как «за разблокировщиком».

Я хотел бы знать, что Netflix обнаруживает в этой настройке, что, наоборот, не обнаруживается, если приложение VPN запускается прямо на машине C?

Может ли этот тип обнаружения быть использован кем-то (совершенно точно) со злыми намерениями? Что я на самом деле обнаруживаю в своих настройках, что остается незамеченным при запуске приложения VPN? Как это исправить?

Мой клиент не нарушает никаких условий обслуживания Netflix, ему просто нужно выходить в Интернет только через VPN, и они хотели бы использовать Netflix во время обеденного перерыва.

Меня не беспокоит их неспособность смотреть телешоу во время обеда: меня в основном беспокоит то, что в моей установке может быть дыра, и другие могут действительно отслеживать детали реальной сети, когда пользователи просматривают VPN через машину А.

Следуя предложениям в первом ответе от Евгений Стасов, Я провел тест WITCH VPN Detector, и он не выявил существенных различий между VPN машины A и машины C. Он показывает только на два прыжка меньше, 7 против 9. (возможно, действительно машины A и B !!).

Я также пробовал другие тесты, связанные с MTU, например, на letmecheck.it, и все они возвращают 1472 как самый большой нефрагментированный пакет для VPN машин A и C.

Подробности конфигурации следующие:

На этом сайте есть несколько компьютеров (например, машина C на схеме), которые подключаются только через VPN.

Машина A - это компьютер с Ubuntu 16.04, настроенный как шлюз с брандмауэром и VPN-клиентом.

Машина B - это брандмауэр IPFire, который не выполняет маскировку и имеет только правила исходящей фильтрации.

A - шлюз по умолчанию для B. B - шлюз по умолчанию для локальной сети с проблемным ПК (машина C).

VPN-клиент A - это openvpn, и он подключен к популярной платной службе VPN.

Хост: публичный / частный IP

Настройка машины А:

Конфигурация iproute2

root@scrrtr:~# cat /etc/iproute2/rt_tables
#
# reserved values
#
255     local
254     main
253     default
100     Tprovider
150     Tvpn
0       unspec

root@scrrtr:~# ip rule show
0:      from all lookup local
32757:  from 192.168.77.133 lookup Tvpn
32762:  from all to 1.0.0.1 lookup Tvpn
32763:  from all to 1.1.1.1 lookup Tvpn
32764:  from 10.8.1.16 lookup Tvpn
32765:  from 192.168.100.2 lookup Tprovider
32766:  from all lookup main
32767:  from all lookup default

root@scrrtr:~# ip route show
0.0.0.0/2 via 192.168.100.1 dev ens160
0.0.0.0/1 via 10.8.1.1 dev tun0
default via 192.168.100.1 dev ens160
10.8.1.0/24 dev tun0  proto kernel  scope link  src 10.8.1.16
64.0.0.0/2 via 192.168.1.1 dev ens160
128.0.0.0/2 via 192.168.1.1 dev ens160
128.0.0.0/1 via 10.8.1.1 dev tun0
192.0.0.0/2 via 192.168.1.1 dev ens160
192.168.100.0/24 dev ens160  proto kernel  scope link  src 192.168.100.2
192.168.77.0/24 via 192.168.66.1 dev ens192
192.168.66.0/30 dev ens192  proto kernel  scope link  src 192.168.66.2

Конфигурация iptables

root@scrrtr:~# cat /etc/firewall/iptables.rules
[...]
-A POSTROUTING -o ens160 -j MASQUERADE
-A POSTROUTING -o tun+ -j MASQUERADE
[...]
-A FORWARD -s 192.168.77.133/32 -i ens192 -o ens160 -j DROP
-A FORWARD -i ens192 -o ens160 -j ACCEPT
-A FORWARD -i ens160 -o ens192 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i ens192 -o tun+ -j ACCEPT
-A FORWARD -i tun+ -o ens192 -m state --state RELATED,ESTABLISHED -j ACCEPT
[...]

Я хотел бы знать, как устранить разницу между VPN машины A и машины C. Netflix - это просто повод найти уязвимости в этой сетевой настройке.

Netflix может проводить некоторый анализ трафика, может быть, что-то вроде «witch vpn Detector» (https://github.com/ValdikSS/p0f-mtu-script)

Netflix фильтрует блоки адресов, связанные с хостинг-провайдерами. Если вы можете получить резидентный IP-адрес и через него VPN, вы можете получить доступ к Netflix.