研究：开源 VPN 协议可以被基于网络的对手大规模可靠地检测和阻止

研究发现，OpenVPN 是最广泛使用的用于安全和私密连接的开源 VPN 协议，“可以被基于网络的对手大规模可靠地检测和阻止”。这影响了十大 VPN 提供商中的八家。

如果政府或 ISP 想要阻止通过 OpenVPN 路由的流量，他们可以轻松做到 – 即使使用广泛应用的混淆技术。

来自密歇根大学和其他机构的研究人员演示了一个两阶段系统，该系统执行被动过滤，然后主动探测指纹 OpenVPN 流量。

“我们与一家中型 ISP 合作评估了我们方法的实用性，我们能够识别大多数普通和混淆的 OpenVPN 流，误报率可以忽略不计，这证明我们描述的技术即使对于对手来说也是实用的避免附带损害，”该文件写道。

世界各地的某些政府，包括中国和俄罗斯，正在寻求限制 VPN 访问，以维持控制并防止公民绕过监视和审查措施。

研究表明，使用 OpenVPN（商业 VPN 服务最流行的协议）可以准确地识别连接指纹。

研究人员表示：“我们根据字节模式、数据包大小和服务器响应等协议特征来识别三个指纹。”

在与拥有百万用户的区域 ISP 测试他们的方法时，他们能够识别超过 85% 的 OpenVPN 流量，误报率可以忽略不计。他们的框架还成功识别了 41 个“混淆”VPN 配置中的 34 个连接。

检测 VPN 的方案

研究人员使用深度数据包检测 (DPI) 技术来识别字节模式、数据包大小以及服务器对指纹 OpenVPN 流量的响应等特征。

作者警告敏感用户，例如记者或政治活动家，不要指望 VPN 的使用会被观察不到。研究人员还敦促 VPN 提供商采用更有原则、更稳健的混淆方法。

令人担忧的是，在 top10vpn.com 排名的“十大”VPN 提供商中，有八家提供某种类型的混淆服务，这表明无法检测是提供商对其客户的威胁模型之内的内容。然而，由于加密（操作码）不足或数据包长度（ACK）混淆不足，所有这些流都被标记为可疑流，”该论文写道。考虑到这些混淆的 VPN 服务通常声称“无法检测”或声称混淆“让您摆脱麻烦”，这一结果令人震惊，因为使用这些服务的用户可能会对隐私和“不可观察性”产生错误的感觉。

该论文还指出，排名前五的 VPN 提供商中有四家使用基于 XOR 的混淆技术，这种方法很容易被识别。

研究人员还提出了几种防止 VPN 流量受到 ISP 或政府限制或阻止的策略。短期内，他们建议将混淆服务器与网络地址空间中的 OpenVPN 实例分开，将混淆服务从静态填充切换为随机填充等。

“从长远来看，我们担心审查机构和翻墙工具（例如防火墙和 Tor）之间的猫捉老鼠游戏也会在 VPN 生态系统中发生，开发者和提供商将不得不调整其混淆策略以适应实际情况。不断演变的对手，”该论文写道。

“我们敦促商业 VPN 提供商采用更标准化的混淆解决方案，例如可插拔传输，并对其混淆服务所使用的技术更加透明。”