Видит ли VPN-провайдер, какие программы для выхода в Интернет используют его пользователи?

Question

[vadim575]

Сразу оговорюсь, что вопрос - от чайника. Так что, если что, прошу заранее извинить.

Вопрос такой: видит ли VPN-провайдер, какие программы для выхода в Интернет используют его пользователи? Или он видит только IP-адреса, к которым обращается пользователь? Может ли он различить, какой браузер используется (может быть, он видит user agent)? Может ли он отличить браузер и не браузер? Может ли он различить программу, которая не является браузером, но активно ходит в Интернет? Сразу замечу, что меня интересует ситуация рядового пользователя. Я понимаю, что если VPN-провайдер ведёт логи и к нему обратятся (понятно, кто), то косвенные методы анализа трафика, выявление характерных его особенностей и т.п.
могут в любом случае многое сказать о сетевой активности пользователя. Это всё понятно, и вопрос не об этом. Меня, повторю, интересует ситуация рядового
законопослушного пользователя. Видит ли провайдер (что называется, в автоматическом режиме - без каких-либо дополнительных усилий), какими программами пользователь ходит в Интернет? Есть ли в этом плане различия между VPN-сервисами, имеющими собственный VPN-клиент, и VPN-сервисами, которые используют сторонние приложения (вроде Outline и т.п) и просто дают пользователям конфиг для подключения к своим серверам? И аналогичный вопрос - про обычного Интернет-провайдера: видит ли он, какие программы для выхода в Интернет используют его пользователи?

Answer 1

[galaxy]

Вопрос такой: видит ли VPN-провайдер, какие программы для выхода в Интернет используют его пользователи?

VPN-провайдер (равно как и обычный провайдер) видит трафик, через него проходящий. Так что если в трафике есть нечто, позволяющее идентифицировать программу, то можно сказать, что видит (по крайней мере, возможность такую имеет).

Может ли он различить, какой браузер используется (может быть, он видит user agent)?

Чтоб не усложнять: видите в адресе сайта https:// - никто ничего увидеть не может, т.к. трафик зашифрован. Видите http:// - может.

Может ли он отличить браузер и не браузер? Может ли он различить программу, которая не является браузером, но активно ходит в Интернет?

Давайте так: ходить в Интернет ≠ ходить на сайты по HTTP(s). Несмотря на то, что браузеры могут использовать и другие протоколы для определенных нужд, не HTTP(s) трафик - признак того, что трафик не от браузера.
С другой стороны, другие программы могут использовать протокол HTTP(s), и отличить браузер его использует или не браузер, вообще говоря, невозможно (user agent в этом смысле не слишком надежный помощник).

Еще раз просуммирую: провайдер видит не программы, а трафик. Он может, как правило, идентифицировать протокол (и таким образом отличить, смотрите вы ютуб, качаете торренты, или, скажем, подключаетесь к mysql серверу).
Если протокол не зашифрован, провайдер может в нем копаться и теоретически узнать много разного (допустим, user-agent и по нему сделать вывод о браузере). Сейчас по некоторым оценкам 85+% всего HTTP трафика - это https, т.е. зашифровано.
VPN, который использует рядовой пользователь, тоже будет зашифрован в 99% случаев. Это скрывает трафик от провайдера (обычного, которым вы к интернет подключены). Провайдер самого VPN видит весь проходящий через него трафик, т.е. см. выше.

Comments

[vadim575]

Спасибо за подробный ответ. В общем-то, Вы подтвердили мои предположения, но всегда полезно узнать мнение профессионала. Если позволите, одно уточнение. После недавнего замедления YT было обнаружено, что замена user agent в браузере (чтобы была какая-нибудь мобильная ОС в user agent) позволяет это замедление обойти. Получается, что Интернет-провайдер и ТСПУ видят user agent - при том, что трафик на YT, естественно, по https? Или у них это как-то иначе работает?

[galaxy]

vadim575, не интересовался подробно именно этим вопросом, но навскидку тут фишка в другом: гугл при смене UA на мобильный начинает раздавать контент через другие сервера, не заблокированные.

[Василий Банников]

Чтоб не усложнять: видите в адресе сайта https:// - никто ничего увидеть не может, т.к. трафик зашифрован. Видите http:// - может.

Но при этом есть tls fingerprint, по которому вполне можно отличить браузер от не-браузера, и примерно понять что за браузер и ОС используется.

[Василий Банников]

vadim575,

Интернет-провайдер и ТСПУ видят user agent - при том, что трафик на YT, естественно, по https? Или у них это как-то иначе работает?

ТСПУ - это черный ящик, но ua он точно не видит.
В теории изменение юзер агента вполне могло повлиять на паттерны, которые пытается найти ТСПУ в трафике

[vadim575]

Василий Банников, да, пожалуй, это ответ на мой вопрос. Сообщение Hello Client не зашифровано, а шаблоны, используемые в этом сообщении, позволяют идентифицировать не только браузер, но и другие программы. Спасибо. О TLS Fingerprint раньше не знал.

Answer 2

[Refguser]

Видит ли провайдер (что называется, в автоматическом режиме - без каких-либо дополнительных усилий), какими программами пользователь ходит в Интернет?

И да и нет.
Он может увидеть юзерагент. А какой юзерагент выдаст "программа" (и выдаст ли вообще) - это зависит от "программы".

Comments

[vadim575]

А как узнать, выдает ли конкретная программа user agent / есть ли он у неё? Где и как это можно посмотреть?

[Refguser]

vadim575, можно зайти программой например на https://yandex.ru/internet/ и там увидеть.

Answer 3

[ChipUHA]

VPN (Virtual Private Network )- Это просто туннель от точки А(вас) до точки В (VPN сервера )
Грубо говоря - это труба по которой бежит вода. Но здесь возникает нюанс. Сами данные в этом туннеле никак не защищены и использовать чисто туннелирование не безопасно. Если где-то по пути от точки А до В произойдет утечка данных , можно будет узнать чем вы пользуетесь. Для этого внутри VPN используется шифрования , тот же IPsec. В таком случае , при утечке данных , с них пользы не будет так как они зашифрованы.
Проблема в том , что само-по-себе , шифрование прожорливая штука и некоторые сервисы могут этим пренебрегать.

В целом - знают , что вы "гоняете" по сети только сервер VPN (они могут собирать о вас данные и продавать их 3-м лицам)

Answer 4

[CityCat4]

Длинный и совершенно бессмысленный вопрос. Потому что непонятно о чем он, собственно и какой ситуации ТС пытается избежать.

Интернет- провайдер видит весь трафик, проходящий от пользователя. И он естественно различает, какой программой был трафик сгенерен - на этом и основана блокировка VPN-протоколов и защита от блокировки собственно говоря тоже. Содержимое трафика он увидеть не может, но как правило это и не нужно - провайдеру достаточно статистики и того факта, что юзер постоянно ходит на непонятный IP 1.2.3.4 или даже на гугл.

Comments

[vadim575]

Достаточно краткий и достаточно бессодержательный ответ. Блокировка VPN-протоколов основана на протоколе, а не на том, какой программой сгенерирован трафик. Программ, использующих протокол, может быть тьма, а протокол один. Ещё, как вы сами верно заметили, на анализе статистики трафика, когда он весь или большая его часть идёт на один IP, - но это пока редкость. Программ - огромное количество. И, что, провайдер вот прям может точно различить две программы, которые обе используют http(s) и обе не являются браузерами?

[CityCat4]

vadim575,

Достаточно краткий и достаточно бессодержательный ответ.

Мое время стоит денег. Готовы мне оплатить консультацию, ну скажем в размере пары часов моего заработка (даже без коррекции на то, живете ли Вы в Нерезиновске или нет)? Если да - получите длинный и содержательный ответ. Если нет - тут отвечают добровольно и по желанию, а претензии к форме и содержанию моего ответа можете направить в /dev/null

Блокировка VPN-протоколов основана на протоколе

Ой, правда? Ну, видимо многие об этом просто не в курсе. Кстати, неожиданно продвинутое заявления для чайника (чайника ли?)

когда он весь или большая его часть идёт на один IP, - но это пока редкость

С чего редкость-то? Если я смотрю трубу через прокси - сколько у меня счетчик намотает на него? А VPN и того больше - там внакладе идет шифрование трафика, что увеличивает его обьем

провайдер вот прям может точно различить две программы, которые обе используют http(s) и обе не являются браузерами?

Провайдеру - и это все прекрасно знают - насрать на Вас и Ваш трафик. Провайдер онлайн слил его в СОРМ (Содействие Оперативно-Розыскным Мероприятиям) и ему ваще пофиг, кого Вы тами скрапите и какими ботами.

[BenowiBonro]

Мое время стоит денег. Готовы мне оплатить консультацию

Зачем тогда писать комментарий?
Вы добровольно написали комментарий.
А теперь предлагаете платить вам деньги за ответы?
Это как написать: "ты не прав", "пост бессмысленный", "но объяснять почему: я буду только за деньги".

Да и тем более: где гарантия ценности вашей "консультации", чтобы за неё платить?

И в чём тогда претензия к автору вопроса?
Может вам тоже тогда обратиться в /dev/null?

[CityCat4]

BenowiBonro,

Вы добровольно написали комментарий.
А теперь предлагаете платить вам деньги за ответы?

Я добровольно написал комментарий. Так как захотел и посчитал нужным, ибо если он не нарушает правила ресурса (а если нарушает - его быстро отстрелят несмотря на "стаж") - я могу выражать свое мнение о вопросе.
ТС написал что ему не нравится ни форма ни содержание. Я предложил ему оплатить мое время, чтобы получить уж точно качественный комментарий и по форме и по содержанию :)

где гарантия ценности вашей "консультации", чтобы за неё платить?

Гарантия? Ну, например 150+ публикаций в известном российском специализированном журнале :) (хотя давно уже не писал)

И в чём тогда претензия к автору вопроса?

Перечитай мой первый ответ :)

Может вам тоже тогда обратиться в /dev/null?

Мне не надо туда обращаться - я тролль, а у троллей как известно мозги - каменные! :D

[vadim575]

CityCat4, время каждого стоит денег. Я понимаю, что здесь отвечают добровольно и по желанию, но это не значит, что с места в карьер допустимы колкости по отношению к другим пользователям. И эти колкости начаты Вами, а не мной. Видимо, Ваше время стоит денег, а Ваши колкости бесплатны. И ваша профессиональная востребованность оставляет на них достаточно времени. Так что мои претензии /dev/sda.

Редкость не то, что большая часть трафика идёт на один IP, а то, что по этому признаку блокируют. Хотя говорят, что такое уже бывает - даже когда используется собственный VPS. Но всё же пока это редкость.

В СОРМ не столько "сливают онлайн", сколько хранят у себя.

И мой первоначальный вопрос был не столько об Интернет-провайдерах, сколько о VPN-провайдерах.

Впрочем, ответ на оба варианта вопроса здесь уже получен - благодаря профессионалам, которые говорят по сути и у которых действительно имеет смысл попросить консультацию.

[CityCat4]

vadim575,

И ваша профессиональная востребованность оставляет на них достаточно времени.

Уржаться, меня бездельником назвали! Спасибо, чувак, лет двадцать такого не было! Хорошо, что ты у нас не работаешь, а то мог бы нечаянно оказаться в незавидной истории типа одной нашей сотрудницы - она почему-то решила, что я к ней проявляю "неспортивный" интерес (несмотря на впечатляющую разницу в возрасте - примерно как на картине Пукирева "Неравный брак") - и забанила меня у себя в whatsapp. Потом ей как-то в отпуске понадобилось попасть в конторскую сеть, ну то есть VPN. А у меня времени не нашлось помочь ей настроить...
Мораль? Легко уразуметь - оценить мою профессиональную востребованность может только еще более востребованный человек, ты же, братан, ничего о моей работе не знаешь...

Но всё же пока это редкость.

Так прям тащмайор и побежал докладывать тебе о методологии своей работы :) Это очевидный признак и его надо учитывать :)

В СОРМ не столько "сливают онлайн", сколько хранят у себя.

У себя - у кого? у СОРМ? ну да, хранят. И аналитику, если надо проведут.

И мой первоначальный вопрос был не столько об Интернет-провайдерах, сколько о VPN-провайдерах.

Настоящую ситуацию у VPN-провайдера ты не знаешь и знать не можешь, а то, что он заявляет - это все лажа и фуфло. VPN-провайдер никогда не скажет "да, я вижу все, что ходит по VPN и пишу в лог все интересное и барыжу этим направо и налево, потому что pecunia non olet". Наоборот он будет задвигать за анонимность и шифрование :) Но единственный VPN-провайдер, который более-менее эхто гарантирует - это собственный. Да, при этом еще остается хостер, который запросто склонит твою машину и разберет ее по файлам, но это менее частый (хоть и возможный) случай.

благодаря профессионалам, которые говорят по сути и у которых действительно имеет смысл попросить консультацию

Я рад за тебя :D Тут дейсвительно есть профессионалы у которых и мне не стыдно попросить консультацию (что я и делаю время от времени)

Answer 5

[HarutAdyan]

Вчера мне прилетела DMCA жалоба из за торрента

Answer 6

[lantonov]

В большинстве случаев нет так как современные протоколы безопасности не позволяют это сделать если вы настроете dns over TLS /SSL и. Будет работать quic работает почти на всех сервера клоудфаер и гугл то тут ничего не видно так как там только хеши которые могут быть расшифрованы только сервером и клиентом