Grûpek lêkolîneran ji Zanîngeha Michigan encamên lêkolînekê li ser îhtîmala destnîşankirina girêdanên (VPN Fingerprinting) bi serveran re li gorî... weşandin. OpenVPN dema ku trafîka transît dişopandin. Di encamê de, sê rêbazên naskirina protokolê hatin destnîşankirin. OpenVPN di nav pakêtên torê yên din de ku dikarin di pergalên vekolîna trafîkê de werin bikar anîn da ku torên virtual asteng bikin li ser bingeha OpenVPN.
Ceribandina rêbazên pêşniyarkirî li ser tora dabînkerê înternetê ya Merit, ku zêdetirî milyonek bikarhêner hene, şiyana tespîtkirina 85% nîşan da. OpenVPN-danişînên bi rêjeyek erênî ya derewîn a kêm. Ji bo ceribandinê, amûrek hate pêşxistin ku di destpêkê de trafîkê bi awayekî pasîf û di cih de nas dikir. OpenVPN, û dû re rastbûna encaman bi rêya verastkirina servera çalak piştrast dike. Herikînek trafîkê bi şîddeta nêzîkî 20 Gbps li ser analîzkerê ku ji hêla lêkolîneran ve hatî afirandin hate neynik kirin.
Di dema ceribandinê de, analîzker karibû bi serkeftî 1718 ji 2000 testan nas bike. OpenVPN- girêdanên ku ji hêla xerîdarek sexte ve hatine danîn, ku li ser wan 40 mîhengên tîpîk ên cûda hatine bikar anîn OpenVPN (Rêbaz ji bo 39 ji 40 mîhengan bi serkeftî xebitî.) Wekî din, di heşt rojên ceribandinê de 3638 danişîn di trafîka transît de hatin tespîtkirin. OpenVPN, ku ji wan 3245 rûniştin hatin piştrast kirin. Tê destnîşankirin ku sînorê jorîn ji bo pozîtîfên derewîn di rêbaza pêşniyarkirî de sê rêz mezinahî ji rêbazên ku berê li ser bingeha fêrbûna makîneyê hatine pêşniyar kirin kêmtir e.
Performansa rêbazên parastina li dijî şopandina trafîkê bi awayekî cuda hate nirxandin. OpenVPN di xizmetên bazirganî de - ji 41 kesên ku hatine ceribandin VPN-karûbarek ku rêbazên veşartina trafîkê bikar tîne OpenVPN, trafîk di 34 rewşan de hate tespîtkirin. Xizmetên ku nehatin tespîtkirin, ji bilî OpenVPN ji bo veşartina trafîkê tebeqeyên zêde bikar anîn (mînakî, şandin OpenVPN-trafîk bi rêya tunelek şîfrekirî ya zêde). Piraniya karûbarên ku bi serkeftî hatine tespîtkirin, bi karanîna operasyona XOR, qatên zêde yên astengkirinê bêyî dagirtina trafîka rasthatî ya guncaw, an hebûna ne-astengkirî, xirabûna trafîkê bikar anîn. OpenVPN-xizmetên di heman astê de server.
Rêbazên nasnameyê yên ku têne bikar anîn li ser bingeha girêdana bi taybetî ve ne OpenVPN Şablonên di sernivîsên pakêtên neşîfrekirî de, mezinahiya pakêtên ACK, û bersivên serverê. Di rewşa yekem de, zeviya "opcode" di sernivîsa pakêtê de, ku rêzek nirxên sabît digire û bi awayekî taybetî li gorî qonaxa avakirina girêdanê diguhere, dikare wekî objeyek nasnameyê di qonaxa danûstandina girêdanê de were bikar anîn. Nasname vedigere ser destnîşankirina rêzek taybetî ya guhertinên opcode di N pakêtên pêşîn ên herikekê de.
Rêbaza duyem li ser vê rastiyê ye ku pakêtên ACK têne bikar anîn di OpenVPN tenê di qonaxa danûstandina girêdanê de û xwedî mezinahiyek taybetî ne. Nasname li ser vê rastiyê ye ku pakêtên ACK-ê yên bi mezinahiyek diyarkirî tenê di hin beşên danişînê de çêdibin (mînakî, dema ku tê bikar anîn OpenVPN Pakêta ACK ya yekem bi gelemperî pakêta daneya sêyemîn e ku di danişînekê de tê şandin).
Rêbaza sêyemîn kontrolkirina çalak e û ji ber vê rastiyê ye ku di bersiva daxwazek ji nû ve sazkirina pêwendiyê de, server OpenVPN pakêtek RST ya taybetî dişîne (kontrol dema ku moda "tls-auth" tê bikar anîn naxebite ji ber ku OpenVPN- server daxwazên ji xerîdarên ku bi rêya TLS nehatine pejirandin paşguh dike).
Source: opennet.ru
