我們的VPN服務是如何失效的?
1 人贊了文章
環球時報英文版在近日發文稱,多家國外VPN服務商向用戶發出通知,由於IP地址屏蔽等原因,在中國將無法使用其提供的VPN服務。文中還稱,中國工信部此前曾有規定,在國內提供VPN服務的公司必須註冊登記,未登記的公司將不受國內法律保護。
作為一項互聯網基礎協議,VPN在公用網路中承擔著「虛擬專用線路」的作用,是世界上大多數跨地區的商業公司、學術機構、政府單位內部相互連接的不二之選。這項服務如果失效,造成的經濟、政治損失將無以估量。不過,由於協議開放性和互聯網基礎設施的不牢靠性,總有許多方法可以短暫或長期的阻礙它。比如最近那幾家發通知的服務商Astrill、Tech Runo等,不就是因為IP遭屏幕嘛。網上有不少相關分析,現將在這篇文章中匯總,告訴大家——一個VPN服務是如何失效的。
DNS污染
DNS污染是針對那些低水平或經過異化的VPN服務。通常來說,一個正常的VPN服務應該都會集成DNS服務的,這樣所有上網的請求都是在伺服器上進行。不過一些低質的VPN木有集成,那麼DNS解析就需要在本機上進行。這時,如果本機的運營商網路中,DNS服務被污染,你的VPN自然形同於無。
而在國內還有一種中轉形式的VPN服務非常常見,它們的上網流程是這樣「本機——國內伺服器——海外伺服器——網站」。這個過程中,第一步、第二步都很容易受DSN污染影響,原理和前邊的低質VPN一致。
流量特徵分析
可能大家經常會發現,使用VPN服務時,並不是那麼穩定,有時能連有時不能連;或者需要用非常奇怪的埠;或者還需要安裝客戶端等等。這可能是因為你的VPN服務被一種名為「流量特徵分析」的技術發現(專業的使法,叫做深度數據包檢測)。
在比特空間里,所有的流量都帶有特徵,比如用什麼協議傳輸、用什麼協議加密,都會加上一定的識別比特。VPN也不例外,無論是明文的PPTP還是密文的L2TP、SSL VPN,其識別特徵總是一定的。
很容易可以總結出一些規律,80埠是明文或證書的,433埠是SSL的,隨機埠可能是軟體,小流量是私人用,大流量就是公司或團隊服務。通過這些規律,可以很容易發現那些「不正規」的VPN服務,然後直接屏蔽IP和DNS解析,沒法用了。
內容分析
有時你可能還會發現,即使一個小流量、非標準埠的VPN服務也並不穩定。如果這個VPN是PPTP形式的,那麼很可能是在前邊的特徵分析後,對數據包進行了拆包,將裡邊傳輸的內容拎出來單獨分析。
SSL VPN也未必可靠,在NSA的稜鏡計劃就已經曝光,SSL加密被破解,相關傳輸內容也可單獨拎出來做分析。再往高了走,那些技術都不是用來大規模利用的,所以對於小型或個人VPN服務來說不太需要去在意。
推薦閱讀: