Sessões de definição OpenVPN no trânsito

Um grupo de pesquisadores da Universidade de Michigan publicou os resultados de um estudo sobre a possibilidade de identificar (impressão digital VPN) conexões a servidores com base em OpenVPN durante o monitoramento do tráfego de trânsito. Como resultado, três métodos de identificação de protocolo foram identificados. OpenVPN entre outros pacotes de rede que podem ser usados ​​em sistemas de inspeção de tráfego para bloquear redes virtuais com base em OpenVPN.

Os testes dos métodos propostos na rede do provedor de internet Merit, que possui mais de um milhão de usuários, demonstraram a capacidade de identificar 85% dos casos. OpenVPN-sessões com baixa taxa de falsos positivos. Para os testes, foi desenvolvida uma ferramenta que inicialmente detectava o tráfego passivamente em tempo real. OpenVPNEm seguida, verifica a precisão dos resultados por meio de verificação ativa do servidor. Um fluxo de tráfego com intensidade aproximada de 20 Gbps foi espelhado no analisador criado pelos pesquisadores.


Sessões de definição OpenVPN no trânsito

Durante o experimento, o analisador conseguiu identificar com sucesso 1718 dos 2000 testes. OpenVPN- conexões estabelecidas por um cliente falso, no qual foram utilizadas 40 configurações típicas diferentes. OpenVPN (O método funcionou com sucesso em 39 das 40 configurações). Além disso, 3638 sessões foram detectadas no tráfego de trânsito durante os oito dias do experimento. OpenVPN, das quais 3245 sessões foram confirmadas. Observa-se que o limite superior para falsos positivos no método proposto é três ordens de magnitude menor do que em métodos baseados em aprendizado de máquina propostos anteriormente.

O desempenho dos métodos de proteção contra o rastreamento de tráfego foi avaliado separadamente. OpenVPN em serviços comerciais - de 41 testados VPN-um serviço que utiliza métodos de ocultação de tráfego OpenVPNEm 34 casos, foi identificado tráfego. Além disso, não foi possível detectar serviços que não puderam ser identificados. OpenVPN usaram camadas adicionais para ocultar o tráfego (por exemplo, encaminhamento) OpenVPN-tráfego através de um túnel criptografado adicional). A maioria dos serviços detectados com sucesso utilizava distorção de tráfego por meio da operação XOR, camadas adicionais de ofuscação sem preenchimento aleatório de tráfego adequado ou a presença de tráfego não ofuscado. OpenVPN-serviços no mesmo servidor.

Os métodos de identificação utilizados baseiam-se na vinculação a dados específicos. OpenVPN Padrões em cabeçalhos de pacotes não criptografados, tamanho de pacotes ACK e respostas do servidor. No primeiro caso, o campo "opcode" no cabeçalho do pacote, que assume uma faixa fixa de valores e muda de maneira específica dependendo da etapa de estabelecimento da conexão, pode ser usado como um objeto de identificação durante a etapa de negociação da conexão. A identificação se resume a identificar uma sequência específica de mudanças de opcode nos primeiros N pacotes de um fluxo.

O segundo método baseia-se no fato de que os pacotes ACK são usados ​​em OpenVPN apenas na fase de negociação da conexão e possuem um tamanho específico. A identificação baseia-se no fato de que pacotes ACK de um determinado tamanho ocorrem apenas em certas partes da sessão (por exemplo, ao usar OpenVPN O primeiro pacote ACK geralmente é o terceiro pacote de dados transmitido em uma sessão.


Sessões de definição OpenVPN no trânsito

O terceiro método é uma verificação ativa e se deve ao fato de que, em resposta a uma solicitação de redefinição de conexão, o servidor OpenVPN envia um pacote RST específico (a verificação não funciona ao usar o modo "tls-auth" porque OpenVPN- o servidor ignora solicitações de clientes que não estão autenticados via TLS).


Sessões de definição OpenVPN no trânsito


Fonte: opennet.ru
Compre hospedagem confiável para sites com proteção DDoS, servidores VPS VDS 🔥 Compre hospedagem de sites confiável com proteção contra DDoS, servidores VPS/VDS | ProHoster