Sekelompok peneliti dari Universitas Michigan menerbitkan hasil penelitian tentang kemungkinan mengidentifikasi koneksi (VPN Fingerprinting) ke server berbasis OpenVPN saat memantau lalu lintas transit. Hasilnya, tiga metode diidentifikasi untuk mengidentifikasi protokol OpenVPN di antara paket jaringan lain yang dapat digunakan dalam sistem pemeriksaan lalu lintas untuk memblokir jaringan virtual berbasis OpenVPN.
Pengujian metode yang diusulkan pada jaringan penyedia Internet Merit, yang memiliki lebih dari satu juta pengguna, menunjukkan kemampuan untuk mengidentifikasi 85% sesi OpenVPN dengan tingkat positif palsu yang rendah. Untuk pengujian, sebuah toolkit disiapkan yang pertama-tama mendeteksi lalu lintas OpenVPN dengan cepat dalam mode pasif, dan kemudian memverifikasi kebenaran hasilnya melalui pemeriksaan server aktif. Arus lalu lintas dengan intensitas sekitar 20 Gbps dicerminkan ke alat analisa yang dibuat oleh para peneliti.
Selama percobaan, penganalisis berhasil mengidentifikasi 1718 dari 2000 pengujian koneksi OpenVPN yang dibuat oleh klien jahat, yang menggunakan 40 konfigurasi OpenVPN tipikal yang berbeda (metode ini berhasil untuk 39 dari 40 konfigurasi). Selain itu, selama delapan hari percobaan, 3638 sesi OpenVPN diidentifikasi dalam lalu lintas transit, dan 3245 sesi di antaranya dikonfirmasi. Perlu dicatat bahwa batas atas kesalahan positif dalam metode yang diusulkan adalah tiga kali lipat lebih rendah dibandingkan metode yang diusulkan sebelumnya berdasarkan penggunaan pembelajaran mesin.
Secara terpisah, kinerja metode perlindungan pelacakan lalu lintas OpenVPN dalam layanan komersial dinilai - dari 41 layanan VPN yang diuji menggunakan metode penyembunyian lalu lintas OpenVPN, lalu lintas diidentifikasi dalam 34 kasus. Layanan yang tidak dapat dideteksi menggunakan lapisan tambahan selain OpenVPN untuk menyembunyikan lalu lintas (misalnya, meneruskan lalu lintas OpenVPN melalui terowongan terenkripsi tambahan). Sebagian besar layanan yang berhasil diidentifikasi menggunakan distorsi lalu lintas XOR, lapisan kebingungan tambahan tanpa bantalan lalu lintas acak yang tepat, atau adanya layanan OpenVPN yang tidak dikaburkan di server yang sama.
Metode identifikasi yang terlibat didasarkan pada pengikatan pola spesifik OpenVPN dalam header paket yang tidak terenkripsi, ukuran paket ACK, dan respons server. Dalam kasus pertama, pengikatan ke bidang "opcode" di header paket dapat digunakan sebagai objek identifikasi pada tahap negosiasi koneksi, yang mengambil rentang nilai tetap dan berubah dengan cara tertentu tergantung pada koneksi tahap pengaturan. Identifikasi direduksi menjadi mengidentifikasi urutan perubahan opcode tertentu dalam N-paket pertama aliran.
Metode kedua didasarkan pada fakta bahwa paket ACK digunakan di OpenVPN hanya pada tahap negosiasi koneksi dan pada saat yang sama memiliki ukuran tertentu. Identifikasi didasarkan pada fakta bahwa paket ACK dengan ukuran tertentu hanya muncul di bagian sesi tertentu (misalnya, saat menggunakan OpenVPN, paket ACK pertama biasanya merupakan paket data ketiga yang dikirim dalam sesi tersebut).
Metode ketiga adalah pemeriksaan aktif dan disebabkan oleh fakta bahwa sebagai respons terhadap permintaan pengaturan ulang koneksi, server OpenVPN mengirimkan paket RST tertentu (pemeriksaan tidak berfungsi saat menggunakan mode "tls-auth", karena server OpenVPN mengabaikan permintaan dari klien yang tidak diautentikasi melalui TLS).
Sumber: opennet.ru