نشر مجموعة من الباحثين من جامعة ميشيغان نتائج دراسة حول إمكانية تحديد اتصالات (VPN Fingerprinting) للخوادم المعتمدة على OpenVPN عند مراقبة حركة المرور العابر. ونتيجة لذلك، تم تحديد ثلاث طرق لتحديد بروتوكول OpenVPN من بين حزم الشبكة الأخرى التي يمكن استخدامها في أنظمة فحص حركة المرور لحظر الشبكات الافتراضية المستندة إلى OpenVPN.
وأظهر اختبار الطرق المقترحة على شبكة مزود الإنترنت Merit، الذي يضم أكثر من مليون مستخدم، القدرة على تحديد 85% من جلسات OpenVPN ذات المستوى المنخفض من الإيجابيات الكاذبة. للاختبار، تم إعداد مجموعة أدوات تقوم أولاً باكتشاف حركة مرور OpenVPN بسرعة في الوضع السلبي، ثم التحقق من صحة النتيجة من خلال فحص الخادم النشط. تم عكس تدفق حركة المرور بكثافة تبلغ حوالي 20 جيجابت في الثانية على المحلل الذي أنشأه الباحثون.
أثناء التجربة، تمكن المحلل من التعرف بنجاح على 1718 من أصل 2000 اتصال OpenVPN اختباري أنشأها عميل مارق، والذي استخدم 40 تكوينًا نموذجيًا مختلفًا لـ OpenVPN (عملت الطريقة بنجاح مع 39 تكوينًا من أصل 40). بالإضافة إلى ذلك، على مدار ثمانية أيام من التجربة، تم تحديد 3638 جلسة OpenVPN في حركة المرور العابرة، تم تأكيد 3245 جلسة منها. تجدر الإشارة إلى أن الحد الأعلى للإيجابيات الكاذبة في الطريقة المقترحة أقل بثلاثة أوامر من حيث الحجم مقارنة بالطرق المقترحة سابقًا والتي تعتمد على استخدام التعلم الآلي.
بشكل منفصل، تم تقييم أداء أساليب حماية تتبع حركة مرور OpenVPN في الخدمات التجارية - من بين 41 خدمة VPN تم اختبارها باستخدام أساليب إخفاء حركة مرور OpenVPN، تم تحديد حركة المرور في 34 حالة. تستخدم الخدمات التي لا يمكن اكتشافها طبقات إضافية بالإضافة إلى OpenVPN لإخفاء حركة المرور (على سبيل المثال، إعادة توجيه حركة مرور OpenVPN عبر نفق مشفر إضافي). استخدمت معظم الخدمات التي تم تحديدها بنجاح تشويه حركة مرور XOR، أو طبقات إضافية من التشويش دون حشوة حركة مرور عشوائية مناسبة، أو وجود خدمات OpenVPN غير مشوشة على نفس الخادم.
تعتمد طرق التعريف المعنية على الارتباط بأنماط خاصة بـ OpenVPN في رؤوس الحزم غير المشفرة وأحجام حزم ACK واستجابات الخادم. في الحالة الأولى، يمكن استخدام الارتباط بحقل "شفرة التشغيل" في رأس الحزمة ككائن لتحديد الهوية في مرحلة التفاوض على الاتصال، والتي تأخذ نطاقًا ثابتًا من القيم وتتغير بطريقة معينة اعتمادًا على الاتصال مرحلة الإعداد. يتلخص تحديد الهوية في تحديد تسلسل معين من تغييرات كود التشغيل في حزم N الأولى من التدفق.
تعتمد الطريقة الثانية على حقيقة أن حزم ACK تُستخدم في OpenVPN فقط في مرحلة تفاوض الاتصال وفي نفس الوقت يكون لها حجم محدد. يعتمد التحديد على حقيقة أن حزم ACK ذات حجم معين تحدث فقط في أجزاء معينة من الجلسة (على سبيل المثال، عند استخدام OpenVPN، تكون حزمة ACK الأولى عادةً هي حزمة البيانات الثالثة المرسلة في الجلسة).
الطريقة الثالثة هي فحص نشط ويرجع ذلك إلى حقيقة أنه استجابة لطلب إعادة تعيين الاتصال، يرسل خادم OpenVPN حزمة RST محددة (لا يعمل الفحص عند استخدام وضع "tls-auth"، لأن خادم OpenVPN يتجاهل الطلبات المقدمة من العملاء الذين لم تتم مصادقتهم من خلال TLS).
المصدر: opennet.ru