Sekumpulan penyelidik dari Universiti Michigan telah menerbitkan hasil kajian tentang kemungkinan mengenal pasti sambungan (VPN Fingerprinting) ke pelayan berdasarkan OpenVPN semasa memantau trafik transit. Hasilnya, tiga kaedah pengenalpastian protokol telah dikenal pasti OpenVPN antara pakej rangkaian lain yang boleh digunakan dalam sistem pemeriksaan trafik untuk menyekat rangkaian maya berdasarkan OpenVPN.
Pengujian kaedah yang dicadangkan pada rangkaian penyedia Internet Merit, yang mempunyai lebih sejuta pengguna, menunjukkan keupayaan untuk mengenal pasti 85% OpenVPN-sesi dengan kadar positif palsu yang rendah. Untuk ujian, alat telah dibangunkan yang pada mulanya mengenal pasti trafik secara pasif dan serta-merta. OpenVPN, dan kemudian mengesahkan ketepatan keputusan melalui pengesahan pelayan aktif. Aliran trafik dengan keamatan kira-kira 20 Gbps telah dicerminkan pada penganalisis yang dicipta oleh penyelidik.
Semasa eksperimen, penganalisis berjaya mengenal pasti 1718 daripada 2000 ujian OpenVPN- sambungan yang diwujudkan oleh klien palsu, yang mana 40 konfigurasi tipikal yang berbeza telah digunakan OpenVPN (Kaedah ini berjaya digunakan untuk 39 daripada 40 konfigurasi). Di samping itu, 3638 sesi telah dikesan dalam trafik transit sepanjang lapan hari eksperimen. OpenVPN, yang mana 3245 sesi telah disahkan. Telah diperhatikan bahawa had atas untuk positif palsu dalam kaedah yang dicadangkan adalah tiga peringkat magnitud lebih rendah daripada kaedah yang dicadangkan sebelum ini berdasarkan pembelajaran mesin.
Prestasi kaedah untuk melindungi daripada penjejakan trafik dinilai secara berasingan. OpenVPN dalam perkhidmatan komersial - daripada 41 yang diuji VPN-perkhidmatan yang menggunakan kaedah penyembunyian trafik OpenVPN, trafik telah dikenal pasti dalam 34 kes. Perkhidmatan yang tidak dapat dikesan, sebagai tambahan kepada OpenVPN menggunakan lapisan tambahan untuk menyembunyikan trafik (contohnya, penghantaran OpenVPN(-trafik melalui terowong tersulit tambahan). Kebanyakan perkhidmatan yang berjaya dikesan menggunakan herotan trafik menggunakan operasi XOR, lapisan tambahan obfuscation tanpa padding trafik rawak yang betul atau kehadiran unobfuscated OpenVPN-perkhidmatan pada perkara yang sama pelayan.
Kaedah pengenalpastian yang digunakan adalah berdasarkan pautan kepada OpenVPN Corak dalam pengepala paket yang tidak disulitkan, saiz paket ACK dan respons pelayan. Dalam kes pertama, medan "opcode" dalam pengepala paket, yang mengambil julat nilai tetap dan perubahan dengan cara tertentu bergantung pada peringkat penubuhan sambungan, boleh digunakan sebagai objek pengenalpastian semasa peringkat rundingan sambungan. Pengenalpastian bermuara kepada mengenal pasti urutan perubahan opcode tertentu dalam N paket pertama strim.
Kaedah kedua adalah berdasarkan fakta bahawa paket ACK digunakan dalam OpenVPN hanya pada peringkat rundingan sambungan dan mempunyai saiz tertentu. Pengenalpastian adalah berdasarkan fakta bahawa paket ACK dengan saiz tertentu hanya berlaku di bahagian tertentu sesi (contohnya, apabila menggunakan OpenVPN Paket ACK pertama biasanya merupakan paket data ketiga yang dihantar dalam satu sesi).
Kaedah ketiga ialah semakan aktif dan disebabkan oleh fakta bahawa sebagai tindak balas kepada permintaan tetapan semula sambungan, pelayan OpenVPN menghantar paket RST tertentu (pemeriksaan tidak berfungsi apabila menggunakan mod "tls-auth" kerana OpenVPN- pelayan mengabaikan permintaan daripada klien yang tidak disahkan melalui TLS).
Sumber: opennet.ru
