Bbabo NET

Wissenschaft & Technologie Nachrichten

Forscher entdecken drei Möglichkeiten, OpenVPN-Sitzungen im Transitverkehr zu identifizieren

Eine Gruppe von Netzwerkspezialisten der University of Michigan stellte in zwei wissenschaftlichen Arbeiten (1 und 2) Methoden zur Identifizierung (VPN-Fingerprinting) von Netzwerkverbindungen zu OpenVPN-basierten Servern bei der Überwachung des Client-Transitverkehrs vor. Forscher haben drei Möglichkeiten entdeckt, das OpenVPN-Protokoll neben anderen Netzwerkpaketen zu identifizieren, die in Verkehrskontrollsystemen verwendet werden können, um OpenVPN-basierte virtuelle Netzwerke zu blockieren.

Nach Angaben von OpenNET haben Experten die vorgeschlagenen Methoden erfolgreich im Netzwerk des Internetanbieters Merit getestet, das mehr als eine Million Nutzer hat. Tests der Methoden zeigten, dass 85 % der OpenVPN-Sitzungen mit einem geringen Maß an Fehlalarmen identifiziert werden konnten.

Um die Verkehrsüberwachung zu testen, haben Experten ein Toolkit vorbereitet, das zunächst den OpenVPN-Verkehr im laufenden Betrieb im passiven Modus erkannte und dann die Richtigkeit des Ergebnisses durch eine aktive Serverprüfung überprüfte. Auf dem von den Forschern erstellten Analysegerät wurde ein Verkehrsfluss mit einer Intensität von etwa 20 Gbit/s gespiegelt.

Während des Experiments konnte der von den Ingenieuren entwickelte Netzwerkanalysator 1.718 von 2.000 Test-OpenVPN-Verbindungen erfolgreich identifizieren, die von einem gefälschten Client hergestellt wurden, der 40 verschiedene typische OpenVPN-Konfigurationen verwendete (die Methode funktionierte bei 39 von 40 Konfigurationen erfolgreich). Darüber hinaus wurden während der acht Tage des Experiments 3638 OpenVPN-Sitzungen im Transitverkehr identifiziert, von denen 3245 Sitzungen bestätigt wurden.

Die Untersuchung stellt fest, dass die Obergrenze falsch positiver Ergebnisse bei der vorgeschlagenen Methode drei Größenordnungen niedriger liegt als bei zuvor vorgeschlagenen Methoden, die auf dem Einsatz von maschinellem Lernen basieren.

Unabhängig davon bewerteten Experten die Leistung der OpenVPN-Methoden zum Schutz der Verkehrsverfolgung in kommerziellen Diensten. Von den 41 getesteten VPN-Diensten, die OpenVPN-Methoden zum Verstecken des Datenverkehrs verwenden, wurde in 34 Fällen Datenverkehr identifiziert. Dienste, die nicht erkannt werden konnten, verwendeten zusätzlich zu OpenVPN zusätzliche Schichten, um den Datenverkehr zu verbergen (z. B. die Weiterleitung des OpenVPN-Datenverkehrs über einen zusätzlichen verschlüsselten Tunnel). Die meisten der erfolgreich identifizierten Dienste nutzten XOR-Verkehrsverzerrung, zusätzliche Verschleierungsebenen ohne ordnungsgemäße zufällige Verkehrsauffüllung oder das Vorhandensein nicht verschleierter OpenVPN-Dienste auf demselben Server.

Die Methoden zur Identifizierung von Forschern basieren auf der Bindung an OpenVPN-spezifische Muster in unverschlüsselten Paketheadern, ACK-Paketgrößen und Serverantworten. Im ersten Fall kann eine Bindung an das Opcode-Feld im Paket-Header als Objekt zur Identifizierung in der Verbindungsaushandlungsphase verwendet werden, das einen festen Wertebereich annimmt und sich je nach Verbindung auf eine bestimmte Weise ändert Setup-Phase. Bei der Identifizierung geht es darum, eine bestimmte Folge von Opcode-Änderungen in den ersten N-Paketen des Flusses zu identifizieren.

Die zweite Methode basiert auf der Tatsache, dass ACK-Pakete in OpenVPN nur in der Phase der Verbindungsaushandlung verwendet werden und gleichzeitig eine bestimmte Größe haben. Die Identifizierung basiert auf der Tatsache, dass ACK-Pakete einer bestimmten Größe nur in bestimmten Teilen der Sitzung auftreten (z. B. ist bei der Verwendung von OpenVPN das erste ACK-Paket normalerweise das dritte in der Sitzung gesendete Datenpaket).

Die dritte Methode ist eine aktive Prüfung und beruht auf der Tatsache, dass der OpenVPN-Server als Reaktion auf eine Anfrage zum Zurücksetzen der Verbindung ein bestimmtes RST-Paket sendet (die Prüfung funktioniert nicht, wenn der TLS-Auth-Modus verwendet wird, da der OpenVPN-Server Anfragen von ignoriert Clients, die nicht über TLS authentifiziert sind).

Forscher entdecken drei Möglichkeiten, OpenVPN-Sitzungen im Transitverkehr zu identifizieren