Một nhóm các nhà nghiên cứu từ Đại học Michigan đã công bố kết quả nghiên cứu về khả năng xác định các kết nối (Vân tay VPN) đến các máy chủ dựa trên OpenVPN khi giám sát lưu lượng chuyển tuyến. Kết quả là, ba phương pháp đã được xác định để xác định giao thức OpenVPN trong số các gói mạng khác có thể được sử dụng trong hệ thống kiểm tra lưu lượng để chặn các mạng ảo dựa trên OpenVPN.
Việc thử nghiệm các phương pháp được đề xuất trên mạng của nhà cung cấp Internet Merit, nơi có hơn một triệu người dùng, cho thấy khả năng xác định 85% phiên OpenVPN có mức độ dương tính giả thấp. Để thử nghiệm, một bộ công cụ đã được chuẩn bị để phát hiện lưu lượng truy cập OpenVPN lần đầu tiên ở chế độ thụ động, sau đó xác minh tính chính xác của kết quả thông qua kiểm tra máy chủ đang hoạt động. Luồng lưu lượng truy cập có cường độ khoảng 20 Gbps được phản chiếu lên máy phân tích do các nhà nghiên cứu tạo ra.
Trong quá trình thử nghiệm, máy phân tích đã có thể xác định thành công 1718 trong số 2000 kết nối OpenVPN thử nghiệm được thiết lập bởi một máy khách giả mạo, sử dụng 40 cấu hình OpenVPN điển hình khác nhau (phương pháp này hoạt động thành công với 39 trên 40 cấu hình). Ngoài ra, trong 3638 ngày thử nghiệm, 3245 phiên OpenVPN đã được xác định trong lưu lượng chuyển tuyến, trong đó XNUMX phiên đã được xác nhận. Cần lưu ý rằng giới hạn trên của kết quả dương tính giả trong phương pháp được đề xuất thấp hơn ba bậc so với các phương pháp được đề xuất trước đây dựa trên việc sử dụng máy học.
Riêng biệt, hiệu suất của các phương pháp bảo vệ theo dõi lưu lượng truy cập OpenVPN trong các dịch vụ thương mại đã được đánh giá - trong số 41 dịch vụ VPN được thử nghiệm bằng phương pháp ẩn lưu lượng truy cập OpenVPN, lưu lượng truy cập đã được xác định trong 34 trường hợp. Các dịch vụ không thể bị phát hiện đã sử dụng các lớp bổ sung ngoài OpenVPN để ẩn lưu lượng truy cập (ví dụ: chuyển tiếp lưu lượng OpenVPN qua một đường hầm được mã hóa bổ sung). Hầu hết các dịch vụ được xác định thành công đều sử dụng biến dạng lưu lượng XOR, các lớp che giấu bổ sung mà không có phần đệm lưu lượng truy cập ngẫu nhiên thích hợp hoặc sự hiện diện của các dịch vụ OpenVPN không bị xáo trộn trên cùng một máy chủ.
Các phương pháp nhận dạng liên quan dựa trên việc liên kết với các mẫu dành riêng cho OpenVPN trong các tiêu đề gói không được mã hóa, kích thước gói ACK và phản hồi của máy chủ. Trong trường hợp đầu tiên, liên kết với trường “opcode” trong tiêu đề gói có thể được sử dụng làm đối tượng để nhận dạng ở giai đoạn đàm phán kết nối, giai đoạn này có một phạm vi giá trị cố định và thay đổi theo một cách nhất định tùy thuộc vào kết nối. giai đoạn thiết lập. Việc nhận dạng tập trung vào việc xác định một chuỗi thay đổi opcode nhất định trong gói N đầu tiên của luồng.
Phương pháp thứ hai dựa trên thực tế là các gói ACK chỉ được sử dụng trong OpenVPN ở giai đoạn đàm phán kết nối và đồng thời có kích thước cụ thể. Việc nhận dạng dựa trên thực tế là các gói ACK có kích thước nhất định chỉ xuất hiện trong một số phần nhất định của phiên (ví dụ: khi sử dụng OpenVPN, gói ACK đầu tiên thường là gói dữ liệu thứ ba được gửi trong phiên).
Phương pháp thứ ba là kiểm tra hoạt động và do thực tế là để đáp lại yêu cầu đặt lại kết nối, máy chủ OpenVPN sẽ gửi một gói RST cụ thể (kiểm tra không hoạt động khi sử dụng chế độ “tls-auth”, vì máy chủ OpenVPN bỏ qua các yêu cầu từ khách hàng không được xác thực thông qua TLS).
Nguồn: opennet.ru