Vondrona mpikaroka avy amin'ny anjerimanontolo kanadiana sy amerikana dia namolavola teknika fanafihana Port Shadow izay mamela, amin'ny alàlan'ny fanodinkodinana ny latabatra fandikana adiresy eo amin'ny lafiny mpizara VPN, handefa valiny amin'ny fangatahana ho an'ny mpampiasa iray hafa mifandray amin'ny mpizara VPN mitovy. Ny fomba dia azo ampiasaina hanakanana na hamerenana ny fifamoivoizana miafina, hanaovana scan ny seranan-tsambo, ary tsy hitonona anarana ireo mpampiasa VPN. Ohatra, aseho amin'ny fomba azo ampiasaina ny fomba hamerenana ny fangatahan'ny DNS mpampiasa iray miasa amin'ny mpizara VPN mankany amin'ny mpampiantrano mpanafika, izay ahafahan'ny mpanafika mifandray amin'ny maha-mpanjifa azy.
Mba hanatanterahana fanafihana dia tsy maintsy afaka mifandray amin'ny iray ny mpanafika VPN- ny mpizara an'ilay niharam-boina, izay mety hitranga, ohatra, rehefa mampiasa mpandraharaha VPN mahazatra sy serivisy VPN ho an'ny daholobe izay manome fidirana ho an'ny rehetra. Ny fahalemena dia misy fiantraikany amin'ny mpizara VPN izay mampiasa fandikana adiresy tambajotra (NAT) mba handaminana ny fidirana amin'ny loharanon-karena ivelany, raha toa kosa ka mitaky ny fandraisana fifamoivoizana avy amin'ny mpanjifa sy ny fandefasana fangatahana any amin'ny tranonkala ivelany. mpizara tsy maintsy ampiasaina io adiresy IP io ihany.
Ny fanafihana dia mifototra amin'ny hoe amin'ny alàlan'ny fandefasana fangatahana natao manokana, ny mpanafika iray mifandray amin'ny mpizara VPN iray ihany ary mampiasa NAT mahazatra dia afaka manodina ny votoatin'ny latabatra fandikan-teny adiresy, izay hitarika amin'ny fonosana alefa amin'ny mpampiasa iray alefa amin'ny mpampiasa iray hafa. . Ao amin'ny tabilao fandikana adiresy, ny fampahalalana momba ny adiresy IP anatiny mifandray amin'ny fangatahana nalefa dia voafaritra araka ny laharan'ny seranan-tserasera loharano ampiasaina amin'ny fandefasana ny fangatahana. Ny mpanafika, amin'ny fandefasana fonosana SYN sy ACK sasany ary fanodikodinana miaraka amin'ny ampahany amin'ny fifandraisan'ny mpanjifa amin'ny mpizara VPN sy amin'ny mpizara ivelany fehezin'ny mpanafika, dia mety hiteraka fifandonana eo amin'ny latabatra NAT ary manampy a fidirana miaraka amin'ny laharan-tseranana loharano mitovy, fa mifandray amin'ny adiresiny eo an-toerana, izay hitarika ho amin'ny valin'ny fangatahan'olon-kafa averina any amin'ny adiresin'ny mpanafika.
Notsapain'ny fanadihadiana ireo rafitra fandikana adiresy Linux ary FreeBSD miaraka amin'ny VPN OpenVPN, OpenConnect ary WireGuardTsy tratran'ny fanafihana famindrana toerana nataon'ireo mpampiasa hafa mifandray amin'ny VPN mitovy ny sehatra FreeBSD. Ny tabilao NAT dia nampidirina tamim-pahombiazana tamin'ny alàlan'ny fanafihana ATIP (Adjacent-to-In-Path), izay ahafahan'ny mpanafika mampiditra fifamoivoizana eo amin'ny mpampiasa sy ny mpizara VPN (ohatra, rehefa mifandray amin'ny tambajotra Wi-Fi fehezin'ny mpanafika ny mpampiasa) na eo amin'ny mpizara VPN sy ny tranonkala kendrena. Ny NAT an'ny FreeBSD koa dia voakasiky ny fanafihana izay ahafahan'ny olona iray mamaritra raha mifandray amin'ny tranonkala manokana ny mpampiasa iray (Connection Inference).
Momba ny Linux, ny rafitra Netfilter dia mora voan'ny fanafihana izay nanolo ireo fidirana tao amin'ny latabatra fandikana adiresy, izay nahafahan'ny fonosana miditra nafindra tany amin'ny mpampiasa hafa, fonosana nalefa tany ivelan'ny fantsona VPN voaaro (Decapsulation), na seranan-tserasera misokatra izay voafaritra amin'ny lafiny mpanjifa.
Ho fepetra hanakanana ny fanafihana, ny mpanome VPN dia asaina mampiasa fomba sahaza amin'ny fametahana laharan-tseranana loharano ao amin'ny NAT, mametra ny isan'ny fifandraisana miaraka amin'ny mpizara VPN amin'ny mpampiasa iray, ary manakana ny fahafahan'ny mpanjifa misafidy ny tambajotra. seranan-tsambo izay mandray fangatahana amin'ny lafiny mpizara VPN.
Araka ny filazan'ny solontenan'ny Proton AG, ny fanafihana dia tsy misy fiantraikany amin'ny serivisy VPN izay mampiasa IP misaraka amin'ny fangatahana miditra sy mivoaka. Ankoatr'izay, misy ny fisalasalana momba ny mety hampiharana ny fanafihana amin'ny serivisy VPN tena izy, satria ny fanafihana mahomby dia tsy hita afa-tsy amin'ny fitsapana laboratoara ary ny fampiharana azy dia mitaky ny fanatanterahana ny fepetra sasany amin'ny sisin'ny mpizara VPN sy ny voatafika. mpanjifa. Fanampin'izany, ny fanafihana dia mety ho ilaina amin'ny fanodikodinana fangatahana tsy misy miafina toy ny fangatahana DNS, raha ny fampiasana TLS sy HTTPS amin'ny sarin'ny fampiharana dia mahatonga ny fampidinana fifamoivoizana ho tsy misy ilàna azy.
Ny fanafihana manodinkodina ny latabatra fandikan-teny adiresy dia mihatra tsy amin'ny VPN ihany, fa amin'ny tambajotra tsy misy tariby izay mampiasa NAT amin'ny teboka fidirana hampifandray ny mpampiasa amin'ny loharano ivelany. Tamin'ny volana lasa teo, navoaka ny valin'ny fanadihadiana momba ny mety hisian'ny fanafihana mitovy amin'izany hanakanana ny fifandraisan'ny TCP amin'ireo mpampiasa tambajotra tsy misy tariby hafa. Ny fomba fanafihana dia azo ampiharina amin'ny 24 amin'ireo teboka fidirana tsy misy tariby 33 nosedraina.
Ny fanafihana natolotra ho an'ny Wi-Fi dia nivadika ho tsotra kokoa noho ny fomba voalaza etsy ambony ho an'ny VPN, satria noho ny fampiasana optimizations dia maro ireo teboka fidirana no tsy manamarina ny fahamarinan'ny laharana filaharana amin'ny fonosana TCP. Vokatr'izany, ny fanafihana dia nitaky ny fandefasana fonosana RST sandoka fotsiny mba hanesorana ny fidirana amin'ny latabatra fandikana adiresy, ary avy eo dia nahatonga valiny halefa any amin'ny mpampiantrano ilay mpanafika mba hamaritana ny laharana (SEQ) sy ny fanekena (ACK) ilaina hanakanana ny fifandraisana TCP.
Source: opennet.ru
