Автор |
Сообщение |
Maximus ®
Вольный стрелок Uploader 100+
Стаж: 17 лет 6 мес.
Сообщений: 5097
Ratio: 25.179
Поблагодарили: 13237
100%
|
Группа исследователей из Мичиганского университета опубликовала результаты исследования возможности идентификации (VPN Fingerprinting) соединений к серверам на базе OpenVPN при мониторинге транзитного трафика. В итоге было выявлено три способа идентификации протокола OpenVPN среди других сетевых пакетов, которые могут использоваться в системах инспектирования трафика для блокирования виртуальных сетей на базе OpenVPN.
Тестирование предложенных методов в сети интернет-провайдера Merit, насчитывающего более миллиона пользователей, показало возможность идентификации 85% OpenVPN-сеансов при незначительном уровне ложных срабатываний. Для проверки был подготовлен инструментарий, который вначале в пассивном режиме на лету определял трафик OpenVPN, а затем удостоверяется в корректности результата через активную проверку сервера. На созданный исследователями анализатор был отзеркалирован поток трафика, интенсивностью примерно 20 Gbps.
В ходе эксперимента анализатор смог успешно определить 1718 из 2000 тестовых OpenVPN-соединений, установленных подставным клиентом, на котором было использовано 40 различных типовых конфигураций OpenVPN (метод успешно сработал для 39 из 40 конфигураций). Кроме того, за восемь дней проведения эксперимента в транзитном трафике было выявлено 3638 сеансов OpenVPN, из которых было подтверждено 3245 сеанса. Отмечается, что верхняя граница ложных срабатываний в предложенном методе на три порядка ниже, чем в ранее предлагавшихся методах, основанных на применении машинного обучения.
Отдельно была оценена работа методов защиты от отслеживания трафика OpenVPN в коммерческих сервисах - из 41 протестированного VPN-сервиса, использующего методы скрытия трафика OpenVPN, трафик удалось идентифицировать в 34 случаях. Сервисы, которые не удалось обнаружить, помимо OpenVPN использовали дополнительные слои для скрытия трафика (например, пробрасывание OpenVPN-трафика через дополнительный шифрованный туннель). В большинстве успешно определённых сервисов использовалось искажение трафика при помощи операции XOR, дополнительные слои обфускации без должного случайного дополнения трафика или наличие необфусцированных OpenVPN-служб на том же сервере.
Задействованные способы идентификации основываются на привязке к специфичным для OpenVPN шаблонам в незашифрованных заголовках пакетов, размеру ACK-пакетов и ответам сервера. В первом случае, в качестве объекта для идентификации на стадии согласования соединения может использоваться привязка к полю "opcode" в заголовке пакетов, которое принимает фиксированный диапазон значений и определённым образом меняется в зависимости от стадии установки соединения. Идентификация сводится в выявлению определённой последовательности изменения opcode в первых N-пакетах потока.
Второй способ основывается на том, что ACK-пакеты применяются в OpenVPN только на стадии согласования соединения и при этом имеют специфичный размер. Идентификация основывается на том, что ACK-пакеты заданного размера встречаются только в определённых частях сеанса (например, при использовании OpenVPN первый ACK-пакет обычно является третьим пакетом с данными, переданным в сеансе).
Третий метод является активной проверкой и обусловлен тем, что в ответ на запрос сброса соединения сервер OpenVPN отправляет определённый RST-пакет (проверка не работает при использовании режима "tls-auth" так как OpenVPN-сервер при нём игнорирует запросы от клиентов, не аутентифицированных через TLS).
Opennet | Ycombinator |
_________________ «Если ты ненавидишь, значит тебя победили» – Конфуций
|
|
|
-Winsent-
Стаж: 14 лет 5 мес.
Сообщений: 107
Ratio: 96.292
Поблагодарили: 675
100%
|
Определение сеансов <<вставить_протокол_из_списка>> в транзитном трафике. |
|
|
|
dxfdsh
Стаж: 3 года 3 мес.
Сообщений: 355
Ratio: 5.883
0.86%
|
Разве этот протокол когда-то был неопределяемым? Какие вообще протоколы неопределяемы? Есть такие? |
|
|
|
Nickalay
Стаж: 3 года 10 мес.
Сообщений: 774
Ratio: 0.012
25%
|
VPN и его "рукопожатия" были документированы с его появлением. Вытащить эти данные из "мегатонн" трафика - ну просто оборудование быстрое нужно. dxfdsh писал(а): | Какие вообще протоколы неопределяемы? Есть такие? |
вероятно, что таких нет. Но, есть хорошо маскирующиеся, такие как TOR, а еще лучше WireGuard - выглядит как обычный https - а на деле это полноценный туннель не хуже чем VPN... |
_________________ То, что ты ищешь, тоже ищет тебя.
|
|
|
A_leks
Стаж: 15 лет 1 мес.
Сообщений: 523
Ratio: 16.112
Поблагодарили: 2
3.02%
Откуда: С леса
|
Nickalay писал(а): | VPN и его "рукопожатия" были документированы с его появлением. Вытащить эти данные из "мегатонн" трафика - ну просто оборудование быстрое нужно. dxfdsh писал(а): | Какие вообще протоколы неопределяемы? Есть такие? |
вероятно, что таких нет. Но, есть хорошо маскирующиеся, такие как TOR, а еще лучше WireGuard - выглядит как обычный https - а на деле это полноценный туннель не хуже чем VPN... |
Только почему то не работающий в РФ (МТС Краснодар). |
_________________ улыбайся , люди любят идиотов |
|
|
Ruroni-SPb
Стаж: 10 лет 10 мес.
Сообщений: 926
Ratio: 10.465
27.58%
Откуда: SPb
|
Цитата: | при незначительном уровне ложных срабатываний |
- то есть в случае блокирования трафика, при ложном срабатывании будет блокирован легитимный трафик и нарушится работа какого-то пользователя интернет, например коммерческий трафик? В общем, авторы хотят сказать, что наступает конец методам "свободного" доступа к блокированным ресурсам, конец "свободе слова", свободе получения информации... Обучение искусственного интеллекта для выявления новых методов сокрытия туннельных протоколов... И это в "стране свобод и демократии", насаждающей свободы и демократию в сопротивляющихся странах, создающей за государственный счет бесплатные сервисы обхода цензурирования в "недемократичных" странах? |
|
|
|
Nickalay
Стаж: 3 года 10 мес.
Сообщений: 774
Ratio: 0.012
25%
|
A_leks писал(а): | Только почему то не работающий в РФ (МТС Краснодар). |
Я на МТС, у меня сам сайт https://finevpn.orgнедавно заблокировали. Зашел на него через ТОР продлил прокси - сам WireGuard работает, они только сайт перекрыли. Может закрыли сайт и давно, но я раньше заходил при включенном тоннеле - он же сам себя блокировать не будет. А тут лоханулся : месяц прошел а я забыл продлить вовремя. попробуйте обмануть МТС: Оказывается заходит и через www.finevpn.org |
|
|
|
imanilov
Стаж: 15 лет 6 мес.
Сообщений: 26
Ratio: 3.071
0%
|
Очередные бездельники, ой, пардон, "британские ученые")) после долгих исследований выяснили что вода - мокрая |
|
|
|
Steel_Cat
Стаж: 16 лет 7 мес.
Сообщений: 1245
Ratio: 404.299
Поблагодарили: 24675
100%
Откуда: Питер
|
A_leks писал(а): | Только почему то не работающий в РФ (МТС Краснодар). |
Wireguard шикарно работает из Питера в Казахстан, Германию и Бельгию. Провайдер тоже МТС. Кому как повезет |
_________________ -= The Stainless Steel Cat =-
|
|
|
barmen
Стаж: 13 лет
Сообщений: 980
Ratio: 15.344
0%
|
Народ. Подскажите. Со вчерашнего вечера OpenVpn клиент не соединяется с заграницей вообще никак. У меня вопрос. Его здесь заблокировали или там?
Тоесть. Может это закон 1 марта или санкции заграницы. |
|
|
|
MURM000
Стаж: 9 лет 1 мес.
Сообщений: 16
Ratio: 1.536
0.59%
|
Не обфускация наше все, а стеганография |
|
|
|
barmen
Стаж: 13 лет
Сообщений: 980
Ratio: 15.344
0%
|
Народ подскажите. протон впн перестал работать 22 марта это довольно печальная дата в нашей истории. Мне теперь интересно его блокируют у нас или он нас блокирует? Через него можно было пользоваться сервисами которые блокируют нас.
Если арендовать свои серверы за границами, то они тоже блокируются как спамерские либо блокируются потому-что у них владелец российский или сотрудничает с российскими компаниями.
Протон был бесплатным и без навязывания привязки карт и прочей нечисти. У всех остальных условия не очень и не понятно будут ли они работать там где Россия блокируется. |
|
|
|
|
|