Un grup d'investigadors de la Universitat de Michigan va publicar els resultats d'un estudi sobre la possibilitat d'identificar connexions (VPN Fingerprinting) a servidors basant-se en OpenVPN mentre es monitoritza el trànsit de trànsit. Com a resultat, es van identificar tres mètodes d'identificació de protocols OpenVPN entre altres paquets de xarxa que es poden utilitzar en sistemes d'inspecció de trànsit per bloquejar xarxes virtuals basades en OpenVPN.
Les proves dels mètodes proposats a la xarxa del proveïdor d'Internet Merit, que té més d'un milió d'usuaris, van mostrar la capacitat d'identificar el 85% OpenVPN-sessions amb una baixa taxa de falsos positius. Per a les proves, es va desenvolupar una eina que inicialment detectava passivament el trànsit sobre la marxa. OpenVPNi, a continuació, verifica l'exactitud dels resultats mitjançant la verificació activa del servidor. Es va duplicar un flux de trànsit amb una intensitat d'aproximadament 20 Gbps a l'analitzador creat pels investigadors.
Durant l'experiment, l'analitzador va poder identificar amb èxit 1718 de 2000 proves. OpenVPN- connexions establertes per un client fals, en el qual es van utilitzar 40 configuracions típiques diferents OpenVPN (El mètode va funcionar correctament per a 39 de les 40 configuracions). A més, es van detectar 3638 sessions en trànsit durant els vuit dies de l'experiment. OpenVPN, dels quals es van confirmar 3245 sessions. Cal destacar que el límit superior de falsos positius en el mètode proposat és tres ordres de magnitud inferior al dels mètodes proposats anteriorment basats en l'aprenentatge automàtic.
El rendiment dels mètodes de protecció contra el seguiment del trànsit es va avaluar per separat. OpenVPN en serveis comercials - de 41 avaluats VPN-un servei que utilitza mètodes d'amagat de trànsit OpenVPN, es va identificar trànsit en 34 casos. Serveis que no es van poder detectar, a més de OpenVPN utilitzava capes addicionals per ocultar el trànsit (per exemple, el reenviament OpenVPN-trànsit a través d'un túnel xifrat addicional). La majoria dels serveis detectats correctament utilitzaven distorsió del trànsit mitjançant l'operació XOR, capes addicionals d'ofuscació sense un farciment de trànsit aleatori adequat o la presència de no ofuscats OpenVPN-serveis al mateix servidor.
Els mètodes d'identificació utilitzats es basen en la vinculació a elements específics OpenVPN Patrons en les capçaleres de paquets sense xifrar, la mida dels paquets ACK i les respostes del servidor. En el primer cas, el camp "opcode" a la capçalera del paquet, que pren un rang fix de valors i canvia de manera específica segons l'etapa d'establiment de la connexió, es pot utilitzar com a objecte d'identificació durant l'etapa de negociació de la connexió. La identificació es redueix a identificar una seqüència específica de canvis d'opcode en els primers N paquets d'un flux.
El segon mètode es basa en el fet que els paquets ACK s'utilitzen en OpenVPN només en l'etapa de negociació de la connexió i tenen una mida específica. La identificació es basa en el fet que els paquets ACK d'una mida determinada només es produeixen en determinades parts de la sessió (per exemple, quan s'utilitza OpenVPN El primer paquet ACK sol ser el tercer paquet de dades transmès en una sessió.
El tercer mètode és una comprovació activa i es deu al fet que, en resposta a una sol·licitud de restabliment de la connexió, el servidor OpenVPN envia un paquet RST específic (la comprovació no funciona quan s'utilitza el mode "tls-auth" perquè OpenVPN- el servidor ignora les sol·licituds dels clients que no estan autenticats mitjançant TLS).
Font: opennet.ru
