Một nhóm các nhà nghiên cứu từ Đại học Michigan đã công bố kết quả một nghiên cứu về khả năng xác định (VPN Fingerprinting) các kết nối đến máy chủ dựa trên... OpenVPN trong khi giám sát lưu lượng giao thông quá cảnh. Kết quả là, ba phương pháp nhận dạng giao thức đã được xác định. OpenVPN trong số các gói mạng khác có thể được sử dụng trong hệ thống kiểm tra lưu lượng để chặn các mạng ảo dựa trên OpenVPN.
Việc thử nghiệm các phương pháp được đề xuất trên mạng lưới nhà cung cấp dịch vụ Internet Merit, với hơn một triệu người dùng, cho thấy khả năng xác định được 85%. OpenVPN- Các phiên có tỷ lệ dương tính giả thấp. Để thử nghiệm, một công cụ đã được phát triển, ban đầu tự động phát hiện lưu lượng truy cập tức thời. OpenVPNSau đó, hệ thống xác minh tính chính xác của kết quả thông qua việc xác thực máy chủ chủ động. Một luồng lưu lượng truy cập với cường độ khoảng 20 Gbps đã được sao chép vào bộ phân tích do các nhà nghiên cứu tạo ra.
Trong quá trình thí nghiệm, máy phân tích đã xác định thành công 1718 trong số 2000 mẫu thử. OpenVPN- Các kết nối được thiết lập bởi một máy khách giả mạo, trên đó đã sử dụng 40 cấu hình điển hình khác nhau. OpenVPN (Phương pháp này đã hoạt động thành công với 39 trên 40 cấu hình). Ngoài ra, 3638 phiên đã được phát hiện trong lưu lượng truy cập quá cảnh trong suốt tám ngày thử nghiệm. OpenVPNTrong đó, 3245 phiên đã được xác nhận. Cần lưu ý rằng giới hạn trên của các kết quả dương tính giả trong phương pháp đề xuất thấp hơn ba bậc độ lớn so với các phương pháp dựa trên học máy đã được đề xuất trước đây.
Hiệu quả của các phương pháp bảo vệ chống theo dõi lưu lượng truy cập được đánh giá riêng biệt. OpenVPN trong lĩnh vực dịch vụ thương mại - trong số 41 công ty được kiểm tra VPN- một dịch vụ sử dụng các phương pháp che giấu lưu lượng truy cập OpenVPNLưu lượng truy cập được xác định trong 34 trường hợp. Các dịch vụ không thể phát hiện được, ngoài ra còn có... OpenVPN đã sử dụng các lớp bổ sung để che giấu lưu lượng truy cập (ví dụ: chuyển tiếp). OpenVPN- lưu lượng truy cập thông qua một đường hầm mã hóa bổ sung). Hầu hết các dịch vụ được phát hiện thành công đều sử dụng thủ thuật làm biến dạng lưu lượng truy cập bằng phép toán XOR, các lớp mã hóa bổ sung mà không có phần đệm lưu lượng ngẫu nhiên thích hợp, hoặc sự hiện diện của các dữ liệu không được mã hóa. OpenVPN-các dịch vụ trên cùng một nền tảng người phục vụ.
Các phương pháp nhận dạng được sử dụng dựa trên việc liên kết với các yếu tố cụ thể. OpenVPN Các mẫu trong tiêu đề gói tin chưa mã hóa, kích thước của gói tin ACK và phản hồi của máy chủ. Trong trường hợp đầu tiên, trường "opcode" trong tiêu đề gói tin, nhận một phạm vi giá trị cố định và thay đổi theo một cách cụ thể tùy thuộc vào giai đoạn thiết lập kết nối, có thể được sử dụng làm đối tượng nhận dạng trong giai đoạn đàm phán kết nối. Nhận dạng tóm lại là việc xác định một chuỗi thay đổi opcode cụ thể trong N gói tin đầu tiên của một luồng dữ liệu.
Phương pháp thứ hai dựa trên thực tế là các gói ACK được sử dụng trong OpenVPN chỉ xuất hiện trong giai đoạn đàm phán kết nối và có kích thước cụ thể. Việc nhận dạng dựa trên thực tế là các gói ACK có kích thước nhất định chỉ xuất hiện ở một số phần nhất định của phiên (ví dụ: khi sử dụng) OpenVPN Gói ACK đầu tiên thường là gói dữ liệu thứ ba được truyền trong một phiên.
Phương pháp thứ ba là kiểm tra chủ động và xuất phát từ thực tế là khi nhận được yêu cầu thiết lập lại kết nối, máy chủ sẽ... OpenVPN gửi một gói RST cụ thể (việc kiểm tra không hoạt động khi sử dụng chế độ "tls-auth" vì OpenVPN- Máy chủ sẽ bỏ qua các yêu cầu từ các máy khách không được xác thực qua TLS.
Nguồn: opennet.ru
