Klompok peneliti saka Universitas Michigan nerbitake asil panaliten babagan kemungkinan ngenali sambungan (VPN Fingerprinting) menyang server basis OpenVPN nalika ngawasi lalu lintas transit. Akibaté, telung cara diidentifikasi kanggo ngenali protokol OpenVPN ing antarane paket jaringan liyane sing bisa digunakake ing sistem inspeksi lalu lintas kanggo mblokir jaringan virtual berbasis OpenVPN.
Pengujian metode sing diusulake ing jaringan panyedhiya Internet Merit, sing duwe luwih saka yuta pangguna, nuduhake kemampuan kanggo ngenali 85% sesi OpenVPN kanthi tingkat positif palsu sing kurang. Kanggo testing, toolkit disiapake sing pisanan ndeteksi lalu lintas OpenVPN ing fly ing mode pasif, lan banjur verifikasi bener asil liwat mriksa server aktif. Aliran lalu lintas kanthi intensitas kira-kira 20 Gbps dicerminake menyang analisa sing digawe dening peneliti.
Sajrone eksperimen, analisa bisa sukses ngenali 1718 saka 2000 tes sambungan OpenVPN sing diadegake dening klien nakal, sing nggunakake 40 konfigurasi OpenVPN khas sing beda (cara kasebut sukses kanggo 39 saka 40 konfigurasi). Kajaba iku, sajrone wolung dina eksperimen, 3638 sesi OpenVPN diidentifikasi ing lalu lintas transit, sing 3245 sesi dikonfirmasi. Wigati dicathet menawa watesan ndhuwur positif palsu ing metode sing diusulake yaiku telung urutan gedhene luwih murah tinimbang cara sing diusulake sadurunge adhedhasar panggunaan pembelajaran mesin.
Kinerja metode perlindungan pemantauan lalu lintas OpenVPN ing layanan komersial ditaksir kanthi kapisah - saka 41 sing diuji VPNSaka layanan sing nggunakake metode obfuskasi lalu lintas OpenVPN, lalu lintas diidentifikasi ing 34 kasus. Layanan sing ora dideteksi nggunakake lapisan obfuskasi lalu lintas tambahan saliyane OpenVPN (contone, ngarahake lalu lintas OpenVPN liwat trowongan terenkripsi tambahan). Umume layanan sing kasil diidentifikasi nggunakake distorsi lalu lintas nggunakake operasi XOR, lapisan obfuskasi tambahan tanpa pengacakan lalu lintas sing tepat, utawa anané layanan OpenVPN sing ora diobfuskasi ing sing padha. server.
Cara identifikasi adhedhasar ikatan karo pola khusus OpenVPN ing header paket sing ora dienkripsi, ukuran paket ACK, lan respon server. Ing kasus sing sepisanan, ikatan menyang kolom "opcode" ing header paket bisa digunakake minangka obyek kanggo identifikasi ing tahap negosiasi sambungan, sing njupuk sawetara nilai lan owah-owahan kanthi cara tartamtu gumantung saka sambungan. tataran setup. Identifikasi boils mudhun kanggo ngenali urutan tartamtu saka owah-owahan opcode ing pisanan N-paket aliran.
Cara liya adhedhasar kasunyatan manawa paket ACK digunakake ing OpenVPN mung ing tahap negosiasi sambungan lan ing wektu sing padha duwe ukuran tartamtu. Identifikasi adhedhasar kasunyatan manawa paket ACK saka ukuran tartamtu mung dumadi ing bagean tartamtu saka sesi kasebut (contone, nalika nggunakake OpenVPN, paket ACK pisanan biasane minangka paket data katelu sing dikirim ing sesi kasebut).
Cara katelu yaiku mriksa aktif lan amarga kasunyatan manawa kanggo nanggepi panjalukan reset sambungan, server OpenVPN ngirim paket RST tartamtu (priksa ora bisa digunakake nalika nggunakake mode "tls-auth", amarga server OpenVPN nglirwakake panyuwunan saka klien sing ora diotentikasi liwat TLS).
Source: opennet.ru
