在公司用 zerotier 被安全运维检测到了

被检测到说明你公司不允许用，你还想避免，被抓到怕不是要牢底坐穿

zerotier 的 UDP 包特征明显且固定

什么时候因为你的 zerotier 公司内网被突破了，你是不是还要再发个帖子问会不会蹲监狱啊？

我告诉你，会的，有重大破坏，会被判刑的。

公司明令禁止的东西为什么要违反，就跟那个改造电瓶车的一样，要么你跟公司去走申请，跟你申请下来，你写保证书。要么你就别用。

不是僅僅通過網域名稱這一點就能確定的。建議 PO 主瞭解一下企業上網行爲管理系統的功能有哪些。

@somebody1 你耽误我行使自由权益了！/DOGE

我就一句话
如果大伙给你说了解决办法，然后导致你被抓了，你会来找我们麻烦吗？

你用 ZT 干啥了？如果 ZT 只为远程一两个机器可能还好，你要是把 ZT 作为通道走外面的节点作为代理节点，那不是流量都走向那一两个 IP 了？都用不到什么域名、协议分析啥的，单看流量都能揪出来了

@6a82aa9bfe #1
@somebody1 #3
@mskumiko #5
@janus77 #6
谢谢各位的友善提醒，让大家笑话了，我在这里提问只是一个情景假设，当然没有必要去冒这样的风险，之所以会在公司电脑上安装是为了连上家里的局域网，有时候假期在家需要远程公司电脑用，运维反馈后就立即卸载了，实际上运维反馈出现 zt 攻击的不是我本地电脑，是另一台 openwrt 软路由上的 zt 攻击，我也没有连过那台 openwrt 设备

udp 不是很正常的特征吗🤔，心跳包啥的 udp 更明显了

为了不被公司监控，我上班都是自带 5g 路由器的🤡

@Jat001 不对，这玩意叫 5g cpe

这题我会，ZT 其实是基于标准的 wireguard 协议，而 wireguard 协议每个 UDP 包的前缀是固定的！所以很容易被检测……至于如何突破，则需要修改协议了

要伪装流量当然用大家常用的机场协议比较好 最好 ws 类的 估计不容易引起怀疑

@8520ccc ZeroTier 不是 Wireguard 协议的，Tailscale 才是用标准 Wireguard 上构建了一层密钥分发和 NAT 发现的，ZeroTier 是自定义协议并构建出 L2 SDN 的

他们识别的那个“攻击”到底是不是“攻击这个意思”？
建议先当面沟通一下，看他们到底懂不懂？

到底是指：
只要发现违规就认定为攻击
还是
发现了经由这个渠道的攻击痕迹

@kinboy 公司防火墙配置严密的话 进 出 的每一个包都会被分类并记录在案的，出现分类以外的包基本都是攻击，何况未经过混淆的 zt 特征那么明显，估计都单有一类……
如果不止分类，有深度包检测的话不少利用已知协议封装好的反向连接 shell 都能检测出来……
尽量不要自己搭 zt ，直接桥接到内网的话等于是一个后门。

要连家里网拷点什么东西的话管运维要个跳板机或跳板代理临时用一下，防火墙搭的这么好的单位一般都有这东西……
如果是非工作使用，自带设备或 5G CPE 吧，专网专用.

补充一条 ZeroTier 和 WeChat 类似，如果路由器开启了 UPnP 会自动在路由器上添加 UPnP 配置，虽然一般企业用路由器不会开启 UPnP 吧，但这个真是打开路由器一眼就看出来，根本不需要做什么流量分析。

可以用手机流量播 zt 呀，然后用电脑访问。。。
有特殊需求不走公司网络的话，仅 tcp ，可以用自己安卓手机播 zt ，然后把自己不走公司网络的软件通过 socks5 代理到本地某个端口，然后再手机上启动一个 sshd ，然后把 sshd 端口通过 adb forward 映射到电脑上，通过 ssh -D xxx@127.0.0.1 创建 ssh tunnel ，通过 socks5 隧道转发 tcp 流量，由于是本地 lo 比较不容易被检测。缺点是不支持 udp

or 用那种把手机模拟成一个计算机网卡的软件，然后用 route 命令转发到这个网卡上，支持 udp 。但凭空多一个网卡还是会被检测。

zerotier 并没有隐藏连接特征，上网行为审计设备很容易看出来

@kinboy

> 有时候假期在家需要远程公司电脑用

老人给你一个建议：要么让公司给出一个家里如何连公司的方案，要么就向上级汇报假期无法处理公司办公网事务

用技术去改变制度是愚蠢的