Tá teicníc ionsaí Port Shadow forbartha ag grúpa taighdeoirí ó ollscoileanna Cheanada agus Mheiriceá a cheadaíonn, trí ionramháil táblaí aistrithe seoltaí ar thaobh an fhreastalaí VPN, freagra ar iarratas a sheoladh chuig úsáideoir eile atá ceangailte leis an bhfreastalaí VPN céanna. Is féidir an modh a úsáid chun trácht criptithe a thascradh nó a atreorú, scanadh calafoirt a dhéanamh, agus úsáideoirí VPN a dhí-ainm. Mar shampla, taispeántar conas is féidir an modh a úsáid chun iarratais DNS ó úsáideoir atá ag obair trí fhreastalaí VPN a atreorú chuig an óstach ionsaí, ar féidir leis an ionsaitheoir ceangal leis mar chliant.
Chun ionsaí a dhéanamh, ní mór d’ionsaitheoir a bheith in ann ceangal le duine amháin VPN- freastalaí an íospartaigh, rud is féidir, mar shampla, agus oibreoirí VPN caighdeánacha agus seirbhísí VPN poiblí á n-úsáid a sholáthraíonn rochtain do chách. Bíonn tionchar ag an leochaileacht ar fhreastalaithe VPN a úsáideann aistriúchán seoladh líonra (NAT) chun rochtain cliant ar acmhainní seachtracha a eagrú, agus éilíonn sé trácht a fháil ó chliaint agus iarratais a sheoladh chuig suíomhanna seachtracha freastalaí ní mór an seoladh IP céanna a úsáid.
Tá an t-ionsaí bunaithe ar an bhfíric gur féidir le hionsaitheoir atá nasctha leis an bhfreastalaí VPN céanna agus NAT coiteann a úsáid ábhar táblaí aistriúcháin seoltaí a shaobhadh trí iarratais atá saindeartha a sheoladh, rud a fhágann go seolfar paicéid atá dírithe chuig úsáideoir amháin chuig úsáideoir eile. . I dtáblaí aistrithe seoltaí, socraítear faisnéis maidir leis an seoladh IP inmheánach a bhfuil baint ag iarratas seolta leis bunaithe ar uimhir an phoirt líonra foinse a úsáideadh agus an t-iarratas á sheoladh. Is féidir le hionsaitheoir, trí phaicéid áirithe SYN agus ACK a sheoladh agus ionramhálacha comhuaineacha ar thaobh nasc an chliaint leis an bhfreastalaí VPN agus ar an gcuid den fhreastalaí seachtrach arna rialú ag an ionsaitheoir, a chur faoi deara go dtarlóidh imbhualadh sa tábla NAT agus cuir an iontráil leis an uimhir phoirt foinse chéanna, ach a bhaineann lena seoladh áitiúil, rud a fhágann go gcuirfear freagraí ar iarratas duine éigin eile ar ais chuig seoladh an ionsaitheora.
Rinne an staidéar tástáil ar chórais aistriúcháin seoltaí Linux agus FreeBSD i gcomhar le VPN OpenVPN, OpenConnect agus WireGuard. Ní raibh an t-ardán FreeBSD so-ghabhálach i leith ionsaithe atreoraithe a rinne úsáideoirí eile a raibh baint acu leis an VPN céanna a iarraidh. Níorbh fhéidir ionadaíocht a dhéanamh i dtáblaí NAT ach amháin le linn ionsaí ATIP (In aice le Conair), inar féidir le hionsaitheoir trácht a dingeadh idir úsáideoir agus freastalaí VPN (mar shampla, nuair a nascann úsáideoir le líonra Wi-Fi rialaithe ag an ionsaitheoir) nó idir freastalaí VPN agus spriocláithreán. Ag an am céanna, bhí tionchar ag NAT FreeBSD freisin ar ionsaí a ligeann do dhuine a chinneadh an bhfuil úsáideoir ceangailte le suíomh ar leith (Connection Inference).
Ar Linux, tá an fochóras Netfilter so-ghabhálach chun aghaidh a thabhairt ar ionsaithe ionadaíochta táblaí aistriúcháin a cheadaíonn paicéid isteach a atreorú chuig úsáideoir eile, paicéid a sheoltar lasmuigh den chainéal VPN criptithe (Decapsulation), nó chun calafoirt líonra oscailte a bhrath ar thaobh an chliaint.
Mar bhearta chun an t-ionsaí a bhlocáil, moltar do sholáthraithe VPN modhanna leordhóthanacha a úsáid chun uimhreacha poirt foinse randamach a úsáid i NAT, teorainn a chur le líon na nasc comhuaineach ceadaithe don fhreastalaí VPN ó úsáideoir amháin, agus bac a chur ar chumas an chliaint an líonra a roghnú freisin. port a fhaigheann iarratais ar thaobh an fhreastalaí VPN.
De réir ionadaí de chuid Proton AG, ní dhéanann an t-ionsaí difear do sheirbhísí VPN a úsáideann IPanna ar leithligh le haghaidh iarratais isteach agus amach. Ina theannta sin, tá amhras ann faoin bhféidearthacht an t-ionsaí a chur i bhfeidhm ar sheirbhísí VPN fíor, ós rud é go bhfuil ionsaí rathúil léirithe go dtí seo ach amháin i dtástálacha saotharlainne agus éilíonn a chur i bhfeidhm coinníollacha áirithe a chomhlíonadh ar thaobh an fhreastalaí VPN agus an ionsaí. cliant. Ina theannta sin, d'fhéadfadh an t-ionsaí a bheith úsáideach ach amháin chun iarratais neamhchriptithe a ionramháil mar cheisteanna DNS, agus ag baint úsáide as TLS agus HTTPS ag an gciseal feidhmchlár ní féidir atreorú tráchta a úsáid.
Baineann ionsaithe a ionramhálann táblaí aistriúcháin seoltaí ní hamháin le VPNanna, ach freisin le líonraí gan sreang a úsáideann NAT ag an bpointe rochtana chun úsáideoirí a nascadh le hacmhainní seachtracha. An mhí seo caite, foilsíodh torthaí staidéir ar an bhféidearthacht ionsaí den chineál céanna a dhéanamh chun naisc TCP úsáideoirí líonra gan sreang eile a thascradh. Bhí an modh ionsaithe infheidhme maidir le 24 de na 33 phointe rochtana gan sreang a tástáladh.
Bhí an t-ionsaí atá molta do Wi-Fi i bhfad níos simplí ná an modh thuas do VPN, ós rud é mar gheall ar leas iomlán a bhaint as leas iomlán a bhaint as, ní seiceann go leor pointí rochtana cruinneas na n-uimhreacha seicheamh i bpacáistí TCP. Mar thoradh air sin, níor ghá leis an ionsaí ach paicéad bréagach RST a sheoladh chun iontráil tábla aistrithe seoltaí a ghlanadh, agus ansin ba chúis le freagra a sheoladh chuig óstach an ionsaitheora chun an seicheamh (SEQ) agus na huimhreacha admhála (ACK) a theastaíonn chun na huimhreacha a idircheapadh a chinneadh. Nasc TCP.
Foinse: oscailtenet.ru
