多家國(guó)外VPN服務(wù)商向用戶發(fā)出通知,由于IP地址屏蔽等原因,在中國(guó)將無法使用其提供的VPN服務(wù)。文中還稱,中國(guó)工信部此前曾有規(guī)定,在國(guó)內(nèi)提供VPN服務(wù)的公司必須注冊(cè)登記,未登記的公司將不受國(guó)內(nèi)法律保護(hù)。
作為一項(xiàng)互聯(lián)網(wǎng)基礎(chǔ)協(xié)議,VPN在公用網(wǎng)絡(luò)中承擔(dān)著“虛擬專用線路”的作用,是世界上大多數(shù)跨地區(qū)的商業(yè)公司、學(xué)術(shù)機(jī)構(gòu)、政府單位內(nèi)部相互連接的不二之選。這項(xiàng)服務(wù)如果失效,造成的經(jīng)濟(jì)、政治損失將無以估量。
不過,由于協(xié)議開放性和互聯(lián)網(wǎng)基礎(chǔ)設(shè)施的不牢靠性,總有許多方法可以短暫或長(zhǎng)期的阻礙它。比如最近那幾家發(fā)通知的服務(wù)商Astrill、Tech Runo等,不就是因?yàn)镮P遭屏幕嘛。網(wǎng)上有不少相關(guān)分析,雷鋒網(wǎng)將在這篇文章中匯總,告訴大家——一個(gè)VPN服務(wù)是如何失效的。
DNS污染
DNS污染是針對(duì)那些低水平或經(jīng)過異化的VPN服務(wù)。通常來說,一個(gè)正常的VPN服務(wù)應(yīng)該都會(huì)集成DNS服務(wù)的,這樣所有上網(wǎng)的請(qǐng)求都是在服務(wù)器上進(jìn)行。不過一些低質(zhì)的VPN木有集成,那么DNS解析就需要在本機(jī)上進(jìn)行。這時(shí),如果本機(jī)的運(yùn)營(yíng)商網(wǎng)絡(luò)中,DNS服務(wù)被污染,你的VPN自然形同于無。
而在國(guó)內(nèi)還有一種中轉(zhuǎn)形式的VPN服務(wù)非常常見,它們的上網(wǎng)流程是這樣“本機(jī)——國(guó)內(nèi)服務(wù)器——海外服務(wù)器——網(wǎng)站”。這個(gè)過程中,第一步、第二步都很容易受DSN污染影響,原理和前邊的低質(zhì)VPN一致。
流量特征分析
可能大家經(jīng)常會(huì)發(fā)現(xiàn),使用VPN服務(wù)時(shí),并不是那么穩(wěn)定,有時(shí)能連有時(shí)不能連;或者需要用非常奇怪的端口;或者還需要安裝客戶端等等。這可能是因?yàn)槟愕腣PN服務(wù)被一種名為“流量特征分析”的技術(shù)發(fā)現(xiàn)(專業(yè)的使法,叫做深度數(shù)據(jù)包檢測(cè))。
在比特空間里,所有的流量都帶有特征,比如用什么協(xié)議傳輸、用什么協(xié)議加密,都會(huì)加上一定的識(shí)別比特。VPN也不例外,無論是明文的PPTP還是密文的L2TP、SSL VPN,其識(shí)別特征總是一定的。
很容易可以總結(jié)出一些規(guī)律,80端口是明文或證書的,433端口是SSL的,隨機(jī)端口可能是軟件,小流量是私人用,大流量就是公司或團(tuán)隊(duì)服務(wù)。通過這些規(guī)律,可以很容易發(fā)現(xiàn)那些“不正規(guī)”的VPN服務(wù),然后直接屏蔽IP和DNS解析,沒法用了。
內(nèi)容分析
有時(shí)你可能還會(huì)發(fā)現(xiàn),即使一個(gè)小流量、非標(biāo)準(zhǔn)端口的VPN服務(wù)也并不穩(wěn)定。如果這個(gè)VPN是PPTP形式的,那么很可能是在前邊的特征分析后,對(duì)數(shù)據(jù)包進(jìn)行了拆包,將里邊傳輸?shù)膬?nèi)容拎出來單獨(dú)分析。
SSL VPN也未必可靠,在NSA的棱鏡計(jì)劃就已經(jīng)曝光,SSL加密被破解,相關(guān)傳輸內(nèi)容也可單獨(dú)拎出來做分析。
再往高了走,那些技術(shù)都不是用來大規(guī)模利用的,所以對(duì)于小型或個(gè)人VPN服務(wù)來說不太需要去在意。
這篇介紹并不全面,因?yàn)楹芏喽际遣惶脤懙摹.?dāng)然,大家有興趣,可以在評(píng)論中交流。
京公網(wǎng)安備 11010502049343號(hào)