web-dev-qa-db-ja.com

VPNの背後にいるNetflixの追跡はどのように行われますか?

免責事項

これは「Netflixを閲覧するにはVPNが必要」ではありません。このサイトでVPNを使用せずにサーフィンすると、Netflixが許可されます。

問題はその逆です。「VPNを介してのみインターネットに接続する必要があるPCがありますが、NetflixはそれがVPNの背後にあることを検出します。どうやって?」

最初に考慮すべきこと:

  1. NetflixはこのVPNプロバイダーからのIPを許可します。
  2. 私たちはイタリアにいます。
  3. この有料VPNプロバイダーのイタリアのサーバーを使用しています。
  4. Netflix Italiaを利用しています。

VPN-only site diagram

マシンCを介してNetflixに接続すると、「イタリア語に翻訳された」というメッセージが表示されます。「エラーが発生しました。ストリーミングエラー。ブロック解除機能またはプロキシを使用しているようです。これらのサービスを無効にして、再試行してください。エラーコード:M7111-5059。 "

netflix error m7111-5059

これはVPNサーバーに関連するものではないことに注意してください。 CがAと同じVPNサーバーに接続しているが、プロバイダーのVPNアプリを介してローカルに接続している場合、Netflixはそれを「アンブロッカーの背後」として検出しません。

このセットアップでNetflixが何を検出するのか知りたいのですが、VPNアプリがマシンCで正しく実行されている場合は検出されません。

このタイプの検出は、悪意のある他の誰か(確かに)が使用できますか? VPNアプリの実行時に検出されないままになっている設定で実際に何を明らかにしているのですか?これをトラブルシューティングする方法は?

私の顧客はNetflixの利用規約に違反していません。VPN経由でのみWebを閲覧する必要があり、昼休みにNetflixを使用したいと考えています。

私は彼らが昼食時にテレビ番組を見ることができないことを心配していません:私は主に私のセットアップに穴があり、ユーザーがマシンAのVPNをサーフィンするときに実際のネットワークの詳細を追跡できることに主に心配しています。

Mr。Yevhen Stasiv からの最初の回答の提案に従って、WITCH VPN Detectorテストを実行しましたが、マシンAとマシンCのVPN間の関連する違いを示していません。 2ホップ少ない7対9しか表示されません(おそらく、マシンAとBは確かに!!)。

WITCH vpn through Machine A's VPN

WITCH vpn through Machine C's local VPN app

Letmecheck.itのテストなど、他のMTU関連のテストも試しましたが、それらはすべて、マシンAとCの両方のVPNで最大の断片化されていないパケットとして1472を返します。

letmecheck.it mtu test

構成の詳細は次のとおりです。

このサイトには、VPNのみを介して接続しているPC(図のマシンCなど)があります。

マシンAは、ファイアウォールとVPNクライアントを備えたゲートウェイとして設定されたUbuntu 16.04ボックスです。

マシンBはIPFireファイアウォールであり、マスカレードを行わず、アウトバウンドフィルタリングルールのみを備えています。

AはBのデフォルトゲートウェイです。Bは、問題のあるPC(マシンC)を備えたLANのデフォルトゲートウェイです。

AのVPNクライアントはopenvpnであり、人気のある有料VPNサービスに接続されています。

ホスト:public/private ip

  • プロバイダーのルーター:xxx/192.168.100.1

  • マシンA:192.168.100.2/192.168.66.2

  • マシンB:192.168.66.1/192.168.77.1

  • マシンC:192.168.77.133

マシンAのセットアップ:

Iproute2 config

root@scrrtr:~# cat /etc/iproute2/rt_tables
#
# reserved values
#
255     local
254     main
253     default
100     Tprovider
150     Tvpn
0       unspec

root@scrrtr:~# ip rule show
0:      from all lookup local
32757:  from 192.168.77.133 lookup Tvpn
32762:  from all to 1.0.0.1 lookup Tvpn
32763:  from all to 1.1.1.1 lookup Tvpn
32764:  from 10.8.1.16 lookup Tvpn
32765:  from 192.168.100.2 lookup Tprovider
32766:  from all lookup main
32767:  from all lookup default

root@scrrtr:~# ip route show
0.0.0.0/2 via 192.168.100.1 dev ens160
0.0.0.0/1 via 10.8.1.1 dev tun0
default via 192.168.100.1 dev ens160
10.8.1.0/24 dev tun0  proto kernel  scope link  src 10.8.1.16
64.0.0.0/2 via 192.168.1.1 dev ens160
128.0.0.0/2 via 192.168.1.1 dev ens160
128.0.0.0/1 via 10.8.1.1 dev tun0
192.0.0.0/2 via 192.168.1.1 dev ens160
192.168.100.0/24 dev ens160  proto kernel  scope link  src 192.168.100.2
192.168.77.0/24 via 192.168.66.1 dev ens192
192.168.66.0/30 dev ens192  proto kernel  scope link  src 192.168.66.2

Iptables config

root@scrrtr:~# cat /etc/firewall/iptables.rules
[...]
-A POSTROUTING -o ens160 -j MASQUERADE
-A POSTROUTING -o tun+ -j MASQUERADE
[...]
-A FORWARD -s 192.168.77.133/32 -i ens192 -o ens160 -j DROP
-A FORWARD -i ens192 -o ens160 -j ACCEPT
-A FORWARD -i ens160 -o ens192 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i ens192 -o tun+ -j ACCEPT
-A FORWARD -i tun+ -o ens192 -m state --state RELATED,ESTABLISHED -j ACCEPT
[...]

マシンAのVPNとマシンCのVPNの違いをトラブルシューティングする方法を教えてください。 Netflixは、このネットワーク設定の脆弱性を見つけるための言い訳にすぎません。

4
Marco

Netflixはトラフィック分析を行っている可能性があり、「魔女VPN検出器」( https://github.com/ValdikSS/p0f-mtu-script )のようなものかもしれません

Netflixは、ホスティングプロバイダーに関連付けられたアドレスブロックをフィルター処理します。住宅用IPを取得でき、それを介してVPNを利用できる場合は、Netflixにアクセスできます。

TCP/IP Stack variance

1
Yevhen Stasiv