نشر مجموعة من الباحثين من جامعة ميشيغان نتائج دراسة حول إمكانية تحديد اتصالات (VPN Fingerprinting) للخوادم المعتمدة على OpenVPN عند مراقبة حركة المرور العابر. ونتيجة لذلك، تم تحديد ثلاث طرق لتحديد بروتوكول OpenVPN من بين حزم الشبكة الأخرى التي يمكن استخدامها في أنظمة فحص حركة المرور لحظر الشبكات الافتراضية المستندة إلى OpenVPN.
وأظهر اختبار الطرق المقترحة على شبكة مزود الإنترنت Merit، الذي يضم أكثر من مليون مستخدم، القدرة على تحديد 85% من جلسات OpenVPN ذات المستوى المنخفض من الإيجابيات الكاذبة. للاختبار، تم إعداد مجموعة أدوات تقوم أولاً باكتشاف حركة مرور OpenVPN بسرعة في الوضع السلبي، ثم التحقق من صحة النتيجة من خلال فحص الخادم النشط. تم عكس تدفق حركة المرور بكثافة تبلغ حوالي 20 جيجابت في الثانية على المحلل الذي أنشأه الباحثون.
أثناء التجربة، تمكن المحلل من التعرف بنجاح على 1718 من أصل 2000 اتصال OpenVPN اختباري أنشأها عميل مارق، والذي استخدم 40 تكوينًا نموذجيًا مختلفًا لـ OpenVPN (عملت الطريقة بنجاح مع 39 تكوينًا من أصل 40). بالإضافة إلى ذلك، على مدار ثمانية أيام من التجربة، تم تحديد 3638 جلسة OpenVPN في حركة المرور العابرة، تم تأكيد 3245 جلسة منها. تجدر الإشارة إلى أن الحد الأعلى للإيجابيات الكاذبة في الطريقة المقترحة أقل بثلاثة أوامر من حيث الحجم مقارنة بالطرق المقترحة سابقًا والتي تعتمد على استخدام التعلم الآلي.
تم تقييم أداء أساليب حماية مراقبة حركة مرور OpenVPN في الخدمات التجارية بشكل منفصل - من أصل 41 أسلوبًا تم اختبارها VPNمن بين الخدمات التي تستخدم أساليب إخفاء حركة مرور OpenVPN، تم تحديد حركة المرور في 34 حالة. أما الخدمات التي لم يتم اكتشافها، فقد استخدمت طبقات إضافية من إخفاء حركة المرور بالإضافة إلى OpenVPN (على سبيل المثال، توجيه حركة مرور OpenVPN عبر نفق مشفر إضافي). معظم الخدمات التي تم تحديدها بنجاح استخدمت تشويه حركة المرور باستخدام عملية XOR، أو طبقات إضافية من الإخفاء دون عشوائية مناسبة لحركة المرور، أو وجود خدمات OpenVPN غير مُخفاة على نفس الشبكة. الخادم.
تعتمد طرق التعريف المعنية على الارتباط بأنماط خاصة بـ OpenVPN في رؤوس الحزم غير المشفرة وأحجام حزم ACK واستجابات الخادم. في الحالة الأولى، يمكن استخدام الارتباط بحقل "شفرة التشغيل" في رأس الحزمة ككائن لتحديد الهوية في مرحلة التفاوض على الاتصال، والتي تأخذ نطاقًا ثابتًا من القيم وتتغير بطريقة معينة اعتمادًا على الاتصال مرحلة الإعداد. يتلخص تحديد الهوية في تحديد تسلسل معين من تغييرات كود التشغيل في حزم N الأولى من التدفق.
تعتمد الطريقة الثانية على حقيقة أن حزم ACK تُستخدم في OpenVPN فقط في مرحلة تفاوض الاتصال وفي نفس الوقت يكون لها حجم محدد. يعتمد التحديد على حقيقة أن حزم ACK ذات حجم معين تحدث فقط في أجزاء معينة من الجلسة (على سبيل المثال، عند استخدام OpenVPN، تكون حزمة ACK الأولى عادةً هي حزمة البيانات الثالثة المرسلة في الجلسة).
الطريقة الثالثة هي فحص نشط ويرجع ذلك إلى حقيقة أنه استجابة لطلب إعادة تعيين الاتصال، يرسل خادم OpenVPN حزمة RST محددة (لا يعمل الفحص عند استخدام وضع "tls-auth"، لأن خادم OpenVPN يتجاهل الطلبات المقدمة من العملاء الذين لم تتم مصادقتهم من خلال TLS).
المصدر: opennet.ru
