نوې مطالعه د OpenVPN د ګوتو چاپ وړتیا څرګندوي، د محرمیت اندیښنې راپورته کوي

د لینکونو جدول

لنډیز او 1 پیژندنه

2 شالید او اړوند کار

د ریښتیني نړۍ VPN کشف کې 3 ننګونې

4 د مخالف ماډل او ځای پرځای کول

5 اخلاق، محرمیت، او مسؤلیت افشا کول

6 د ګوتو د چاپ وړ ځانګړتیاو پیژندل او د 6.1 اپکوډ پر بنسټ د ګوتو چاپ کول

6.2 د ACK پر بنسټ د ګوتو چاپ کول

6.3 فعال سرور ګوتې چاپول

6.4 د فلټرونو او پروبرونو جوړول

7 د ځای په ځای کولو او د 7.1 ACK د ګوتو نښان تختو لپاره ښه تنظیم کول

7.2 د څارنې کړکۍ انتخاب N

7.3 د بسته بندۍ اغیزې

7.4 د غیر متناسب تحقیقاتو لپاره سرور چرن

7.5 د UDP پلټنه او پټ شوي OpenVPN سرورونه

8 د ریښتیني نړۍ ځای پرځای کول

9 ارزونه او موندنې او د VPN جریان کنټرول لپاره 9.1 پایلې

9.2 د ټولو جریانونو پایلې

10 بحث او تخفیف

11 پایله

12 اعتراف او حوالې

ضمیمه

خلاصون

د VPN منل په تیره لسیزه کې د محرمیت او څارنې ګواښونو په اړه د عامه پوهاوي د زیاتوالي له امله ثابت وده لیدلې. په ځواب کې، ځینې حکومتونه هڅه کوي چې د "دوه ګونې استعمال" DPI ټیکنالوژۍ په کارولو سره د اړیکو پیژندلو له لارې د VPN لاسرسی محدود کړي. د VPN بلاک کولو احتمالي پلټنو لپاره، موږ د OpenVPN په کارولو سره د دقیق ګوتو چاپ کولو اړیکو لپاره میکانیزمونه رامینځته کوو، د تجارتي VPN خدماتو لپاره خورا مشهور پروتوکول. موږ د پروتوکول ځانګړتیاو پراساس د ګوتو درې نښې پیژنو لکه د بایټ نمونه ، د پیکټ اندازه ، او د سرور ځواب. د برید کونکي رول لوبولو سره چې شبکه کنټرولوي، موږ یو دوه مرحلې چوکاټ ډیزاین کوو چې په ترتیب کې غیر فعال ګوتې چاپ او فعال تحقیقات ترسره کوي. موږ د یو ملیون کارونکي ISP سره په ملګرتیا کې زموږ چوکاټ ارزونه کوو او وموندله چې موږ د OpenVPN 85٪ څخه ډیر جریان یوازې د نه منلو وړ غلط مثبتونو سره پیژنو ، وړاندیز کوي چې د OpenVPN پراساس خدمات په مؤثره توګه د لږ تضمین زیان سره بلاک کیدی شي. که څه هم ځینې سوداګریز VPNs د کشف څخه مخنیوي لپاره ضد اقدامات پلي کوي ، زموږ چوکاټ په بریالیتوب سره د 41 "مبهم" VPN تشکیلاتو څخه 34 سره اړیکې پیژني. موږ د مختلف ګواښ ماډلونو لپاره د VPN ګوتو چاپ وړتیا اغیزې په اړه بحث کوو او لنډمهاله دفاع وړاندیز کوو. په اوږد مهال کې، موږ د سوداګریزو VPN چمتو کونکو څخه غوښتنه کوو چې د دوی د مغشوش چلندونو په اړه ډیر شفاف وي او د کشف ضد نور اصولي اقدامات غوره کړي ، لکه د سانسور مخنیوي څیړنې کې رامینځته شوي.

۱. پېژندنه

ISPs، اعلان کونکي، او ملي حکومتونه په زیاتیدونکي توګه د انټرنیټ ټرافیک ګډوډ، لاسوهنه او څارنه کوي [16، 22، 27، 47، 69]. د پایلې په توګه، د مجازی خصوصي شبکې (VPN) منل په چټکۍ سره وده کوي، نه یوازې د فعالینو او ژورنالیستانو په منځ کې چې د لوړ ګواښ ماډلونه لري، بلکې د اوسط کاروونکو په منځ کې هم، چې VPNs په غیر باوري شبکو کې د دوی د محرمیت ساتلو څخه د سانسور مخنیوي پورې د دلیلونو لپاره کار کوي. د وروستي مثال په توګه، د هانګ کانګ د نوي ملي امنیت قانون په تصویب سره، د VPN مشهور چمتو کونکو د څارنې او سانسور د زیاتوالي ویره له امله په ډاونلوډونو کې 120 ځله زیاتوالی لیدلی [62].

د VPNs مخ په زیاتیدونکي شهرت په ځواب کې ، ډیری ISPs او حکومتونه اوس د VPN ترافیک تعقیب یا بندولو په لټه کې دي ترڅو د دوی په واک کې د ترافیک لید لید او کنټرول وساتي. Binxing Fang، د چین د لوی فایروال ډیزاینر (GFW) وویل چې د فایر وال او VPNs ترمنځ "ابدي جګړه" شتون لري، او هیواد ISPs ته امر کړی چې د شخصي VPN کارول راپور او بند کړي [60,61]. په دې وروستیو کې، روسیې او هند په خپلو هیوادونو کې د VPN خدماتو بندولو وړاندیز کړی، دواړه VPNs د ملي سایبر امنیت ګواښ په نښه کوي [44, 59]. سوداګریز ISPs هم هڅول شوي ترڅو د VPN اړیکې تعقیب کړي. د مثال په توګه، د 2021 په لومړیو کې، په سویلي افریقا کې یو لوی ISP، باران، لمیټډ، د VPN اتصالاتو په سلو کې 90 د دوی د معلوماتو پالنونو کې د کیفیت د خدماتو محدودیتونو پلي کولو لپاره پیل کړ [64].

ISPs او سنسرونه د VPN ضد مختلف ساده تخنیکونو کارولو لپاره پیژندل شوي، لکه د IP شهرت پراساس د اړیکو تعقیب کول، د VPN چمتو کونکي (له دې ځای څخه چمتو کونکي) ویب پاڼې بندول، او د VPN کارولو منع کولو قوانین یا د خدماتو شرایط پلي کول [46,53, 60]. سره له دې، دا طریقې پیاوړې ندي؛ هڅول شوي کاروونکي د دوی سربیره د VPN خدماتو ته د لاسرسي لارې لټوي. په هرصورت، حتی لږ ځواکمن ISPs او سنسرونه اوس ټیکنالوژیو ته لاسرسی لري لکه د کیریر درجې ژور پاکټ تفتیش (DPI) چې ورسره دوی کولی شي د پروتوکول سیمانټیک پراساس د کشف ډیر پیچلي طریقې پلي کړي [43, 48].

پدې مقاله کې ، موږ د مخالف ISP له لید څخه د OpenVPN (د سوداګریز VPN خدماتو لپاره خورا مشهور پروتوکول [6]) د ګوتو چاپ کولو مطالعې له لارې د VPN کشف او بلاک کولو لپاره د DPI اغیزې وپلټئ. موږ د دوه څیړنو پوښتنو ته ځواب ویلو په لټه کې یو: (1) ایا ISPs او حکومتونه کولی شي د ترافیک جریان په ریښتیني وخت کې د OpenVPN اړیکو په توګه وپیژني؟ او (2) ایا دوی کولی شي دا په پیمانه ترسره کړي پرته له دې چې د غلط مثبتو څخه د پام وړ تضمین زیان ورسوي؟ د دې پوښتنو ځوابول یوازې د ګوتو د نښان زیانمننې پیژندلو څخه ډیر څه ته اړتیا لري. که څه هم ننګونې دي، موږ اړتیا لرو د محدودیتونو لاندې عملي کارونې وښیو چې څنګه ISPs او د ملت-دولت سانسور په ریښتینې نړۍ کې کار کوي.

موږ د کشف کولو چوکاټ رامینځته کوو چې د لوی فایروال [1,11,71] جوړښت څخه الهام اخیستل شوی ، چې د فلټر او پروبر برخو څخه جوړ دی. یو فلټر په ریښتیني وخت کې د شبکې ترافیک تیریدو په اړه غیر فعال فلټر کول ترسره کوي ، د پروتوکول نرخونو څخه ګټه پورته کوي چې موږ د OpenVPN د لاس اخیستنې مرحله کې پیژندلي. وروسته له دې چې جریان د فلټر لخوا بیرغ شوی وي ، د منزل پته تیریږي

یو پروبر ته چې د تایید په توګه فعال تحقیقات ترسره کوي. د پروتوکول ځانګړي چلندونو روښانه کولو لپاره په احتیاط سره ډیزاین شوي تحقیقاتو لیږلو سره ، پروبر د دې وړتیا لري چې د غاړې چینلونو په کارولو سره د OpenVPN سرور وپیژني حتی که سرور د فعال تحقیقاتو پروړاندې د OpenVPN اختیاري دفاع وړ کړي. زموږ دوه مرحلې چوکاټ د خورا ټیټ غلط مثبت نرخ سره د لاین سرعت سره د ISP پیمانه ترافیک پروسس کولو وړ دی.

د اصلي یا "ونیلا" OpenVPN سربیره، موږ پدې څیړنه کې سوداګریز "مبهم" VPN خدمات هم شاملوو. د ISPs او سانسورونو د مخ په زیاتیدونکي مداخلې په ځواب کې، د VPN مخ په زیاتیدونکي خدماتو د ترلاسه کولو لپاره پیل کړی، په ځانګړې توګه په هغو هیوادونو کې د کاروونکو څخه چې د VPNs د شخصي کارونې په وړاندې سخت سانسور یا قوانین لري. مغشوش شوي VPN خدمات ، چې چلونکي یې اکثرا دوی د "نه لیدو وړ" او "نه بلاک کیدونکي" [5, 49, 54] په توګه کاروي ، په عموم ډول OpenVPN د اضافي مغشوش پرت سره کاروي ترڅو د کشف مخه ونیسي [2, 66].

د میرټ سره ملګرتیا (د منځنۍ اندازې سیمه ایز ISP چې د 1 ملیون کاروونکو نفوس ته خدمت کوي)، موږ خپل چوکاټ په یوه څارونکي سرور کې ځای پر ځای کوو چې د 20 Gbps داخلیدل او د وتلو ټرافيک د لوی میرټ موقعیت څخه منعکس کیږي. (د اخلاقي ملحوظاتو لپاره § 5 ته مراجعه وکړئ.) موږ PF_RING [38] په صفر کاپي حالت کې د موازي فلټرونو لخوا د ګړندي پیکټ پروسس کولو لپاره کاروو. زموږ په ازموینو کې، موږ کولی شو د 2000 جریانونو څخه 1718 وپیژنو چې په شبکه کې میشته د کنټرول پیرودونکي ماشین څخه رامینځته کیږي ، د 40 ځانګړي "ونیلا" OpenVPN تشکیلاتو څخه 39 سره ورته دي.

ډیر په زړه پوری ، موږ هم په بریالیتوب سره د دوه پر دریمې برخې څخه ډیر مغشوش شوي OpenVPN جریانونه پیژنو. د غوره 10 وړاندیز کونکو څخه اته یې مبهم خدمات وړاندیز کوي ، مګر دا ټول زموږ د فلټر لخوا بیرغ شوي دي. سره له دې چې د چمتو کونکو د نه لیدو لوړ ادعاګانې (لکه "... حتی ستاسو د انټرنیټ چمتو کونکي نشي کولی ووایی چې تاسو VPN کاروئ" [49])، موږ ګورو چې د پټو خدماتو ډیری پلي کول د ساده XOR-Patch سره د OpenVPN ماسک سره ورته دي. [36]، کوم چې په اسانۍ سره د ګوتو د چاپ وړ دی. د ګډوډۍ پرت کې د تصادفي پیډینګ نشتوالی او د وینیلا OpenVPN سرورونو سره ګډ موقعیت هم د کشف شوي خدمات د کشف لپاره ډیر زیان منونکي کوي.

په یوه عادي ورځ کې، زموږ د واحد سرور ترتیب د 15 TB ترافیک او 2 ملیارد جریان تحلیلوي. د اتو ورځو ارزونې په جریان کې، زموږ چوکاټ د OpenVPN اتصال په توګه 3,638 فلګ شوی. د دې په منځ کې، موږ د دې توان لرو چې شواهد ومومئ چې د 3,245 جریانونو لپاره زموږ د کشف پایلو مالتړ کوي، د پورتنۍ تړلې غلط مثبت نرخ وړاندیز کوي چې د پخوانیو ML-based چلندونو په پرتله د شدت درې امرونه ټیټ دي [3, 14, 26].

موږ دې نتیجې ته ورسیدو چې د OpenVPN کارول تعقیب او بندول، حتی د ډیرو اوسنیو مغشوش میتودونو سره، مستقیم او د هر ISP یا شبکې آپریټر، او همدارنګه د ملت-دولت مخالفین ته رسیدلي دي. د مخنیوي وسیلو برخلاف لکه Tor یا Refraction Networking [8, 74]، کوم چې د کشف څخه مخنیوي لپاره پیچلي ستراتیژیانې کاروي، د قوي خنډ کولو تخنیکونه د OpenVPN او پراخه VPN اکوسیستم څخه په ښکاره توګه غیر حاضر دي. د اوسط کاروونکو لپاره، دا پدې مانا ده چې دوی ممکن د ISPs څخه د بندولو یا ډبولو سره مخ شي، مګر د لوړ پروفایل، حساس کاروونکو لپاره، دا د ګوتو نښه کول ممکن د تعقیب بریدونو المل شي چې هدف یې د OpenVPN تونلونو امنیت سره موافقت کول دي [40, 51]. موږ کاروونکو ته خبرداری ورکوو چې د لوړ ګواښ ماډلونو سره تمه نه کوي چې د دوی د VPN کارول به د لیدو وړ نه وي، حتی کله چې د پټو خدماتو سره وصل وي. پداسې حال کې چې موږ پدې مقاله کې بیان شوي د ګوتو د چاپ کولو کارونې لپاره ډیری لنډمهاله دفاع وړاندیز کوو ، موږ ویره لرو چې په اوږد مهال کې ، د لوی فایروال او تور تر مینځ ورته د پیشو او موږک لوبه د VPN ایکوسیستم کې نږدې ده. ښه موږ د VPN پراختیا کونکو او چمتو کونکو څخه غوښتنه کوو چې د قوي ، ښه تایید شوي مغشوش ستراتیژیو رامینځته کولو ، معیاري کولو او غوره کولو لپاره او د دوی سره موافقت وکړي ځکه چې د مخالفینو لخوا رامینځته شوي ګواښونه دوام لري.