Grupė mokslininkų iš Mičigano universiteto paskelbė tyrimo apie galimybę identifikuoti (VPN pirštų atspaudų) ryšius su OpenVPN pagrįstais serveriais stebint tranzito srautą rezultatus. Dėl to buvo nustatyti trys OpenVPN protokolo identifikavimo būdai tarp kitų tinklo paketų, kurie gali būti naudojami srauto tikrinimo sistemose, siekiant blokuoti OpenVPN pagrįstus virtualius tinklus.
Siūlomų metodų testavimas interneto tiekėjo Merit tinkle, turinčiame daugiau nei milijoną vartotojų, parodė, kad 85% OpenVPN sesijų galima nustatyti su mažu klaidingų teigiamų rezultatų lygiu. Testavimui buvo paruoštas įrankių rinkinys, kuris pirmiausia aptiko OpenVPN srautą skrydžio metu pasyviuoju režimu, o tada patikrino rezultato teisingumą per aktyvų serverio patikrinimą. Srauto srautas, kurio intensyvumas buvo maždaug 20 Gbps, buvo atspindėtas tyrėjų sukurtame analizatoriuje.
Eksperimento metu analizatorius sugebėjo sėkmingai identifikuoti 1718 2000 iš 40 39 bandomųjų OpenVPN jungčių, sukurtų nesąžiningo kliento, kuris naudojo 40 skirtingų tipinių OpenVPN konfigūracijų (metodas sėkmingai veikė 3638 iš 3245 konfigūracijų). Be to, per aštuonias eksperimento dienas tranzito sraute buvo nustatytos XNUMX OpenVPN seansai, iš kurių XNUMX seansai buvo patvirtinti. Pažymima, kad viršutinė klaidingų teigiamų rezultatų riba siūlomo metodo atveju yra trimis dydžiais mažesnė nei anksčiau pasiūlytų metodų, pagrįstų mašininio mokymosi naudojimu.
Atskirai buvo vertinamas OpenVPN srauto sekimo apsaugos metodų veikimas komercinėse paslaugose – iš 41 patikrintos VPN paslaugos naudojant OpenVPN srauto slėpimo metodus srautas nustatytas 34 atvejais. Paslaugos, kurių nepavyko aptikti, naudojo papildomus sluoksnius, be OpenVPN, kad paslėptų srautą (pavyzdžiui, persiųsdavo OpenVPN srautą per papildomą šifruotą tunelį). Dauguma sėkmingai nustatytų paslaugų naudojo XOR srauto iškraipymą, papildomus užtemdymo sluoksnius be tinkamo atsitiktinio srauto užpildymo arba neužtemdytų OpenVPN paslaugų buvimą tame pačiame serveryje.
Taikomi identifikavimo metodai yra pagrįsti prisijungimu prie specifinių OpenVPN modelių nešifruotų paketų antraštėse, ACK paketų dydžiais ir serverio atsakymais. Pirmuoju atveju paketo antraštės „opcode“ lauko susiejimas gali būti naudojamas kaip identifikavimo objektas derybų dėl ryšio etape, kuris įgauna fiksuotą verčių diapazoną ir tam tikru būdu keičiasi priklausomai nuo ryšio. sąrankos etapas. Identifikavimas apsiriboja tam tikros opkodo pakeitimų sekos identifikavimu pirmuosiuose N srauto paketuose.
Antrasis metodas pagrįstas tuo, kad ACK paketai yra naudojami OpenVPN tik derybų dėl prisijungimo etape ir tuo pat metu turi tam tikrą dydį. Identifikavimas pagrįstas tuo, kad tam tikro dydžio ACK paketai atsiranda tik tam tikrose seanso dalyse (pavyzdžiui, naudojant OpenVPN, pirmasis ACK paketas dažniausiai yra trečiasis sesijos metu išsiųstas duomenų paketas).
Trečiasis metodas yra aktyvus patikrinimas ir yra dėl to, kad atsakydamas į ryšio iš naujo užklausą, OpenVPN serveris siunčia konkretų RST paketą (patikrinimas neveikia naudojant „tls-auth“ režimą, nes OpenVPN serveris ignoruoja užklausos iš klientų, kurie nebuvo autentifikuoti per TLS).
Šaltinis: opennet.ru