Обзор методов обнаружения VPN и DNS-анализ для классификации на примере Hotspot Shield Free Текст научной статьи по специальности «Компьютерные и информационные науки»

Обзор методов обнаружения VPN и DNS-анализ для классификации на примере Hotspot Shield Free

Канатьев Константин Николаевич

старший преподаватель, кафедра «Управление в спорте», Нижегородский государственный университет им. Н. И. Лобачевского, basket-player@yandex.ru

Шишкин Сергей Русланович

магистрант, кафедра «Интеллектуальные системы управления и автоматизации», Московский технический университет связи и информатики, sergeyshishkin62@gmail.com

Басыров Ильдар Ильшатович

магистрант, кафедра «Сети связи и системы коммутации», Московский технический университет связи и информатики, basyrov.ildar@mail.ru

Гореликов Владислав Павлович

студент, кафедра «Корпоративные информационные системы», Московский технический университет связи и информатики, gorelickov.vladislav@yandex.ru

Саакян Эмиль Арменович

студент, кафедра «Системы и сети радиосвязи и телерадиовещания», Московский технический университет связи и информатики, saakyanemil2002@yandex.ru

В современном мире цифровой технологии и постоянного онлайн-вза-имодействия, VPN-сервисы стали ключевым элементом в обеспечении конфиденциальности пользовательских данных. С их помощью многие стремятся обойти гео-блокировки, защитить свою анонимность и обеспечить безопасность передачи данных. Однако это привело к появлению множества ненадежных и потенциально вредоносных VPN-провайдеров, которые могут представлять угрозу для конечных пользователей.

В данной статье основное внимание уделяется разработке и анализу методологий, способных выявлять и классифицировать такие потенциально опасные VPN-соединения. Приведенный анализ DNS и методики пяти кортежей открывает новые горизонты в понимании сетевого трафика, а также позволяет глубже проникнуть в механизмы работы различных VPN-приложений. Через призму детального разбора клиента VPN-сервиса Hotspot Shield Free рассматриваются возможные угрозы и методы их обнаружения, что делает исследование не только теоретически значимым, но и крайне актуальным с практической точки зрения.

Ключевые слова: VPN, безопасность, DNS-анализ, методика пяти кортежей, Hotspot Shield Free, обнаружение вредоносного трафика, анализ трафика.

Введение

Современный стек модели передачи данных, основанный на технологии TCP/IP, был разработан без первоначального учета проблем безопасности передаваемой информации. Этот недостаток привел к многочисленным вызовам в области безопасности информационных систем. Для обеспечения безопасности аутентификации и шифрования в рамках TCP/IP стека часто применяется протокол SSL. [1-3]

С учетом растущих потребностей в обеспечении конфиденциальности данных интенсивность использования зашифрованного трафика в сети значительно увеличилась за последние десятилетия. Шифрование обеспечивает многочисленные преимущества для пользователей, включая усиленную защиту конфиденциальности и целостности данных. В контексте обеспечения безопасности корпоративных сетей возникла актуальная потребность в анализе и контроле исходящего и входящего трафика. Одним из основных аспектов является верификация участников коммуникационного процесса для обеспечения их подлинности. [4,5]

Большинство базовых брандмауэров не обладают функционалом обработки или дешифрования SSL, что предоставляет возможность передачи шифрованных данных без надлежащего контроля. Это дает возможность вредоносным данным проникать в сетевые системы по незамеченным каналам, которые не подлежат анализу со стороны брандмауэра. Происходит возрастание потребности в детектировании как легитимного, так и недобросовестного трафика с минимизацией нагрузки на сетевые ресурсы и экономических затрат. Это дает организациям различных масштабов возможность эффективнее осуществлять контроль над своими сетевыми политиками. [6,7]

Службы виртуальных частных сетей (VPN) могут служить инструментом для маскировки активности в сети, которая иначе была бы объектом ограничений или контроля. Пользователь, обращаясь к VPN-службе, устанавливает связь с VPN-сервером через стандартное TLS-соединение вне контролируемой сети. После установления соединения пользователь инициирует запрос к целевому веб-серверу или другому ресурсу. VPN-сервер, действуя от лица пользователя, направляет запрос на целевой ресурс. Полученный зашифрованный ответ направляется пользователю по ранее установленной линии связи, обеспечивая обход любых сетевых фильтров брандмауэра. [8-10]

Пользователи могут применять различные методы для маскировки или дезинформации корпоративных систем относительно своей интернет-активности. В представленной статье описывается инновационный метод идентификации VPN-трафика в корпоративных сетях. Данный метод позволяет анализировать и классифицировать сетевой трафик с целью определения его легитимности. В процессе анализа из сетевого трафика извлекаются ключевые характеристики, которые последующим образом сравниваются с ранее определенными характеристиками нелегитимного или VPN-трафика.

Система также обладает функцией классификации трафика, не соответствующего установленным шаблонам типичной активности, и маркирует данный поток данных как потенциально нежелательный. В ходе экспериментов система была

X X

о го А с.

X

го m

о

м о м

CJ

fO CS

о

CS

о ш m

X

3

<

m О X X

протестирована на пяти публичных VPN-провайдерах, и результаты показали ее способность корректно определять VPN-трафик. Для расширения спектра идентификации различных приложений предлагается внедрение дополнительных параметров для анализа сетевого трафика.

Обзор существующих методов и их анализ

Многие VPN-платформы, включая TOR, Hotspot Shield и прочие, обладают специфическими цифровыми характеристиками, делающими их идентификацию основанной на едином критерии сложной. В исследовании Ямады и его коллег представлен метод, базирующийся на статистическом анализе зашифрованного трафика. В частности, данный подход опирается на размер сетевых пакетов и проводит временной анализ переданных данных с целью выявления вредоносного трафика внутри шифрованного соединения. Данный метод становится особенно актуальным для провайдеров интернет-услуг, стремящихся мониторить входящий трафик и выявлять потенциальные угрозы.

Отдельные исследования, например, тех, что касаются Android-приложений, использующих VPN, указывают на то, что такие сервисы могут применять внешние трекеры для мониторинга действий пользователей. К тому же, некоторые из них могут служить для обхода защитных механизмов Android, таких как песочница. В случае проникновения вируса или вредоносное ПО на устройство внутри корпоративной сети, целостность всей сетевой структуры может быть под угрозой.

В сетевой структуре VpN-клиенты функционируют в роли прокси-серверов, обеспечивая связь с целевыми VPN-серве-рами. После установления такого соединения, провайдер VPN-сервиса имеет возможность модифицировать или анализировать передаваемую информацию и сетевой трафик в соответствии с потребностями. Такое вмешательство привлекает внимание различных сторонних рекламных и аналитических агентств. При этом вредоносные сущности способны читать, архивировать или корректировать передаваемые запросы и соответствующую им информацию.

VPN-службы, контролируя трафик между сетью и устройством, вправе вносить изменения в передаваемые данные. Кроме того, они могут реализовывать перехват защищенного TLS-трафика, применяя свои приватные сертификаты, которые признаются системой для обеспечения стабильной работы VPN. Такой подход может создать угрозы, особенно если устройство обрабатывает конфиденциальные данные. Для решения этой задачи предлагается использование метода закрепления сертификата. Отслеживание и исключение действий таких VPN-сервисов в корпоративной сети может существенно уменьшить риски информационных утечек.

Го и его коллеги представили метод «человек посередине» для детекции VPN-трафика в сетевых структурах. Предложенный метод основывается на принципе разделения секретов с существенными накладными расходами по управлению ключами на основе технологии инфраструктуры открытых ключей (PKI). Подразумевается, что анализируемый трафик не является зашифрованным, предоставляя данные в открытом виде для детекции VPN-активности. Такое выполнение реализуется через прокси-сервер прикладного уровня, который формирует дубликаты незашифрованного трафика для каждого соединения. Эти копии направляются для последующего анализа. Однако такой подход существенно увеличивает сетевую активность и нагрузку на вычислительные ресурсы, потребности в памяти также растут из-за процессов дешифрования и повторного шифрования.

Другой вариант, опирающийся на технику глубокого анализа пакетов (DPI), предполагает распределение датчиков по

сети с целью перехвата незашифрованного трафика с конечных узлов. Этот трафик затем отправляется идентификаторам на основе snort для выявления аномалий в поведении сети. Эффект от этого - рост общего сетевого трафика, так как требуется установка датчика на каждый сетевой устройство для мониторинга подозрительной активности. Еще одно решение ориентировано на дублирование весь трафик сессии и применение разделенного секрета для диагностики вредоносной активности.

В области идентификации приложений в рамках сетевого окружения применяется методология сетевого анализа. В исследовании, проведенном Хе и коллегами, применяется один из основных и наиболее результативных подходов к анализу сетевого трафика с целью его классификации. Этот метод, основываясь на классификации по пяти кортежам, рассматривает такие параметры соединения, как размер пакетов, интервалы между их поступлениями, а также последовательность и направленность пакетов для определения сетевой сигнатуры приложений Android. Представленный подход дает начальное представление о классификации трафика. Тем не менее, трафик, создаваемый VPN-службами, вероятно, не будет иметь выраженных отличительных особенностей по сравнению со стандартным соединением через протокол передачи гипертекста с поддержкой безопасности.

Применение открытого трафика с целью мониторинга, интерпретации и категоризации зашифрованного трафика является интригующим подходом, изучаемым Ниу и коллективом исследователей. Подходы включают в себя метки данных, основанные на системе доменных имен (DNS), для распознавания вредоносного командно-управляемого трафика и его последующей категоризации как подозрительного или нормативного. Этот методологический подход предоставляет возможность изучения сетевого трафика, которая выходит за рамки классической модели анализа на основе пяти кортежей или активных сессий, рассмотренных в предыдущем исследовании. В Таблице 1 приведены ключевые характеристики упомянутых ранее методик. Рассматриваемые подходы служат отправной точкой для предложенного метода анализа.

Таблица 1

Методы исследования Сильные стороны Ограничения

Методика, основанная на NIDS Полная архитектура для обработки обнаружения вторжений на основе зашифрованного трафика Несколько устройств, которые будут добавлены в сеть

Защита от удаленного доступа и методов уклонения Увеличенная пропускная способность внутри сети из-за дублирования трафика

Методика, основанная на DNS Вводит концепцию оценки и анализа DNS. Полезно для обнаружения вредоносных программ на основе DNS Все программы могут не использовать только реализацию на основе DNS

Методика, основанная на соединении Управление соединениями на основе 5 кортежей. Полезно для определения различных протоколов и поведения приложений Трафик, генерируемый VPN на основе HTTPS, обычно будет выглядеть как стандартные потоки HTTPS

Для решения задачи выявления потенциально вредоносных или неправомерных наименований VPN-серверов предлагается система, базирующаяся на анализе записей DNS. Элементы соединения определяются через методологию, основанную на пяти кортежах. В рамках этой методологии каждое новое соединение классифицируется согласно следующим атрибутам:

1. Исходный IP-адрес;

2. Целевой IP-адрес;

3. Применяемый протокол (TCP или UDP);

4. Исходный порт;

5. Целевой порт.

Процесс анализа, основанный на DNS, и методы управления соединениями осуществляются с применением методики пяти кортежей. Далее, предлагаемая система интегрирует процедуру анализа HTTPS-рукопожатия с целью верификации имени сервера, ассоциированного с DNS-активно-стью, генерируемой пользователем. Применяя данный инновационный подход к управлению соединением на основе предыдущих действий, достигается возможность обнаружения и классификации VPN-трафика внутри сетевой инфраструктуры.

Компьютерная экспертиза клиентов VPN-сервисов на примере Hotspot Shield Free

Для выявления сетевой активности, связанной с VPN-сер-висами, был проведен глубокий анализ этих сервисов. В данном случае был выбран Hotspot Shield Free.

Сетевой трафик для Hotspot Shield Free был проанализирован на основе данных, сгенерированных их клиентскими приложениями, установленными на конечных устройствах. Первичная диагностика выполнена с применением инструментов Wireshark и NetworkMiner.

Hotspot Shield

Hotspot Shield, созданный компанией AnchorFree, занимает позиции одного из лидеров среди бесплатных VPN-сервисов. В рамках экспертизы были рассмотрены 2 его модификации:

1. Клиентское приложение для ОС Windows;

2. Расширение для браузера Firefox.

Клиентское приложение для операционной системы Windows

При анализе клиентского приложения указанного VPN-сер-виса было выявлено использование стандартного порта 443 для HTTPS-соединений после активации сервиса. Однако примечательно, что соединение устанавливается исключительно с одним сервером, при этом весь многодоменный трафик проходит через это единое активное соединение. Детали соединения в контексте активности пользователя с Hotspot Shield представлены на рисунке 1.

Hotspot Shield применяет альтернативное универсальное имя сервера в SSL-сертификате. Это позволяет обеспечивать обход трафика через сетевые фильтры, настроенные по именам серверов, как демонстрируется на рисунке 2.

Заметно, что в качестве имени сервера применяется twitter.com, при этом не создается соответствующая запись DNS для данного сервера. Инструмент NetworkMiner отражает детали соединения на рисунке 3.

Из анализа выявлено восемь уникальных соединений, что, как правило, свидетельствует о доступе к восьми различным веб-страницам. Все запросы этих страниц обрабатывались сервером с IP-адресом 136.0.99.219. Сертификат, связанный с этим IP-адресом, также был выявлен. В результате данной активности было отправлено 20 708 пакетов, при получении -116,84 пакета.

Рисунок 4 отображает отсутствие активности DNS во время передачи данных для соответствующего имени хоста. Доступны все записи DNS, созданные пользователем в процессе использования клиентского приложения Hotspot Shield.

WWHBW

Krypted Handshake Message

Рисунок 1. Wireshark: клиент Hotspot Shield

4 Folio* TCP Strewn (ttp. strum «q 10)

Рисунок 2. Wireshark: TCP-поток Hotspot Shield

IP. 136.099219 I If MAC (»102030405 f NC Vendor 3COM f MAC Age 08 Sec CO Нояглгге twtler con OS Unknown TTL 53 (distance 11) E Open TCP Ports 443 {SsQ

|> Sen 20708 packets (30 654 964 Bytes) 0 00 It deartexl (0Ы0 Bytes) <» Receved 11684packets(694 893Bytes) 0DO\deartext(OdOBytes) E 12 IncOTng jessKns 8

В Server 136 0 99 219(twttetcom)TCP«3

Setver 136 099 219 Hter com) TCP 443 (3238006 data bytes semlOrt 1921681 13(Vft«ta») TCP 3115(14967 data pytessen).! Setver: 136.0 99.219 Mter.com] TCP 443 (3298554 data bytes sent). CHert: 192 168.1 13 (Wndows) TCP 3119 (23545 data pytes set),! Setver 136.0 99.219 Niter com) TCP 443 (3298806 data bytes sent), CHert: 192168.1 13 (Wndows) TCP 3114 (7803 data pytes sent). St Server: 136.0.99.219 flutterccm] TCP 443 (3594467 data bytes sent). Oiert 192.168.1.13 (Windows) TCP 3117 (24965 data pytes serf),! Seryerl36.099.219 Etwitter com) TCP 443 (6680693 data bytes sent). Oiert 192 168.1 13 (Wndows) TCP 3113 (5723 data pytes sent), St Server 136.099.219 Nter com] TCP 443 (5171497 data bytes sent). Chert: 192.168.1 13(Wndows) TCP 3120 (18677 data pytes sett), < Setver 136.099.219 ftwiter com] TCP 443 (2311550 data bytes sent). Oiert: 192.168.1.13(Wndows) TCP 3116 (6873 data pytes sent). Si Seiver 136.099 219|lwlter.coii] TCP 443 (2228523 data bytes sent), Oiert: 192.168.1.13(Wndows) TCP 3118 (9056 data bytes sent). St Outgoing sessions: 0 B - 3 Host Details

Х50Э Certificate Subject Alternative Name 1: DNS NamertwMercom X.509 Certificate Subject Alternative Name 2: DNS Name=vrwwlwaer.com X.509 CertifKate Subject CN1: twitter com

Рисунок 3. NetworkMiner: Сведения о подключении к Hotspot Shield

fameiv. Tnwtsro Ом OenFfct Serve ServerFW

3 20133323 Ш4281ЛС 132... 43283 132 53

3 2013032310:14:28 lilt 132 43233 133 33

32324 201303-2610:15:31 U1C 132 51671 132 53

32524 2013332310:15:31 U1C 132 51671 132 53

32524 2013032610:15:31 U1C 132 51671 132 53

32524 201303261315:311ЯС 132 51671 132 53

Til DNSTTlliw) TrareactwiiD Type

DNS Query DNSfemer

mm bD25A OaXtKICNAME) gentdrpcrdieUcm uthdwttMd^

mm QtD25A hOWl (Ной АМгея) f 'mrfti en 74115.033

COOIM M337 IrKt'l <{Л*Л ti+i30=311 QsnSdoudfiortnet 143204203133

mm M337 3(0001 (HMtMfcei) fthStkSllbnSdoudfrcdnel 14 3 204 2083

ООЗШ 0r0337 OrOWllHoaUdress] $i30:3ll0»BdarfrMtnel 14 3 204 208 1 22

00 31 M ШШ7 OrOODt{HoetMdresi] 4h30:311toi3doudfrtrtnet 14 3 204 308158

Рисунок 4. NetworkMiner: информация о DNS для 136.0.99.219 не найдена

Дополнение для браузера Firefox

Дополнение Hotspot Shield применяет стандартный порт HTTPS и выполняет типичные DNS-запросы. Чтобы выявить действие Hotspot Shield внутри сетевой структуры, следует определить доменные имена, которые ассоциируются с данным сервисом. Рисунок 5 отображает сетевой трафик, порождаемый дополнением Hotspot Shield, зафиксированный с использованием Wireshark.

X X

о

го А с.

X

го m

о

м о м

CJ

fO CS

о

CS

о ш m

X

3

<

m О X X

101 28 104 2 8

1.99.219 192.168.1.15

68.1.13 136.0.99.219

68.1.13 136.0.99.219

68.1.13 136.0.99.219

683422 192.168.1.13 136.0.99.219

928565 192.168.1.13 136.0.99.219

54 3120-443 [ACK] Sep-150 Ack-2011 wln-65700 LeiW) 180client Key Exchange, change cipher spec, Encrypted Ha 105 Change Cipher Spec, Encrypted Handshake Message 872 Application Data 949 Application Data 54 3120-443 [ACK] seq-1094 ACk-2957 nii»64752 len-O 1514 [TCP segnent of a reassembled pool 1514 [TCP segment of ,

68: 203 bytes on wire (1624 bits), 203 bytes captured (1624 bits) wt II, Src: 06ll_cc:la:ba (98:90:96:cc:la:ba), Ost: 3с<ж_03:04:05 (00:01:02:03:04:05) let Protocol version 4, src: 192.168.1.13 (192.168.1.13), Ost: 136.0.99.219 (136.0.99.21! Control protocol, src Port: 3120 (3120), Dst Port: 443 (443), Sei): 1, Ack: 1, ler

Рисунок 5: Wireshark: дополнение Hotspot Shield

Рисунок 6 демонстрирует, что доменное имя, к которому осуществляется соединение, определяется как ext-mi-ex-nl-ams-pr-p-1.northghost.com.

Д Follow TCP Stream (tcp.st

Stream Content

•.)..&ext-mi-ex-nl-ams-pr-p-l.northghost.com..........

xq...ud...wl>."!Oi...G..

.o?.p.3..

...c.... в.a____vn. v.. e[.....

{.d.O../____#..............http/1.1...............O.. .0.......

... О.. 1.0___U.... GBl. 0... и.... Greater Manchester!.. О... и____salfordl.О___и.

comodo CA Limitedl604..и...-comodo rsa Domain validation secure server CAO.. 180820000000Z.

200915235959z0]l!0...и____ Domain Control validatedl.0...U____PositiveSSL

wildcardl.0...и____*.northghost.comO.."0

.V..l.y'E.S..

D. *YO..;. .t:.l......o.dF.Kke... $...............*./i.f..mg.....v6./

n.g.v____d........................_0.. [0.. .u.#. .0.....i:.z.....vs.c.:

(. .0.. .u......7B~.k

(.3..<.0. ..U...........0. ..U.......0.0. ..U.X. .0...+.........

.00. .U. . HOFO:..+.....1____0+0)..+.........https://secure.comodo.com/

CPSO...g.....ОТ..и...MOKOI.G.E.chttp://er1.comodoca.com/

COMOOORSADomainvalidationsecureserverCA. crlO____+........yOwOO.. +.....0..chttp://

crt.comodoca.com/coMODORSADomainvalidationsecureserverCA.crtOI.. +.....0...http://

----rnmndnra. ггапО». . II. . . to".. *. nnrthnhn'it. rom. . nnrrhnhosr. romO.___

Entire

□

Rrint О ASCII

© Hex Dump © С Arrays

L_ twp

Filter Out This Stream

IP: 216.162.47.67

серверу с IP-адресом 216.162.47.67. В общем было установлено 35 соединений, в процессе которых было отправлено 207 08 пакетов и получено 11 684 пакета.

Рисунок 8 иллюстрирует типовую DNS-активность, генерируемую данным дополнением. Отмечено, что изменение геолокации VPN через настройки дополнения не влияет на целевой сервер, так как идентификатор сервера при данном действии остается стабильным.

326 UTC 326 UTC 326 UTC 326 UTC

201905-1307: 201905-1307: 201905-1307: 201905-13 07:

14297 201905-13 07: 14297 201905-1307: 14927 201905-13 07:' 14927 201905-13 07:13:44 UTC 192... 51326

0004:17 Ь35 0(0005 (CNAME) forts gstabc com gstaticadsdl google com

00:04:17 Ik35... 0(0001 (Host Address) gstabcsdssil google com 172217.19.3

0249:29 ОсЗА 0(0006 (CNAME) wwwgoogle-analyticscom www-googleealyticsJ goosfc ca

00:04:39 tti3A. . 0(0001 (Hoat Address) »ww-aoogle-arwMicsl.google.com 172.217.19.14_

53 64 0024:24 Oc25. 0(0005 CNAME) edge-chatfacebookcom 53 64 0000:07 0(25 0(0001 (Host Address) stärcUHäcebookccm 53 64 00:00:47 Ш . 0(0001 (Host Address) starmni.c1(Wacebook con

stare HHacebook com 15724024 20 15724024.35 star-mri с 1Ofaabook com

Рисунок 6: Wireshark: дополнительный TCP-поток Hotspot Shield

Было выявлено, что доменное имя Hotspot Shield делится на два ключевых элемента:

1. Идентификатор сервера;

2. Собственно доменное имя.

Эти компоненты также заметны в сертификате, детализированном на рисунке 7, с использованием инструмента NetworkMiner.

В Л 216.162.47.67 Iext-mi-ex-nl-ams-pr-p-1 .northghost.com] (Linux)

Ш У MAC: 001B2FFECB76 \ У NIC Vendor NETGEAR | У MAC Age: 21-Jan-07

Hostname: ext-mi-ex-nl-ams-pr-p-1 .northghost.com Ш ^ OS: Linux

I..... ' TTL: 50 (distance: 14)

ф- Open TCP Ports: 443 (Ssl)

I.....f> Sent: 6969 packets (9.585.259 Bytes). 0.00 X deartext (0 of 0 Bytes)

I.....О Received: 3524 packets (275.973 Bytes). 0.00 '/. deartext (0 of 0 Bytes)

ED-1? Incoming sessions: 35

Ш ■ Server: 216.162.47.67 [ext-mi-ex-nl-ams-pr-p-1 .northghost.com] (Linux) TCP 443 Outgoing sessions: 0 ¿I Host Details

Domain Name 1 : northghost.com

X.509 Certificate Subject Alternative Name 1 : DNS Name-'.northghost .com X.509 Certificate Subject Alternative Name 2 : DNS Name=northghost.com X.509 Certificate Subject CN 1 : '.northghost.com

Рисунок 7. NetworkMiner: дополнительные сведения о подключении к Hotspot Shield

В нем четко указано, что основное доменное имя определено как *.northghost.com, в то время как другая составляющая представляет собой идентификатор сервера, который, как предполагается, может быть модифицирован при переустановке соединения. В результате анализа стало ясно, что соединения с Hotspot Shield инициировались исключительно к

0004:26 0(А2... 0(0005 (CNAME)

Рисунок 8. NetworkMiner: информация DNS для 136.0.99.219

Анализ по Hotspot Shield Free

1. Трафиковая Архитектура:

Анализ сетевого трафика клиентского приложения Hotspot Shield для ОС Windows выявил особенность использования единого активного соединения для всего многодоменного трафика. Это достигается благодаря использованию стандартного порта 443 для HTTPS-соединений.

2. SSL-сертификаты:

Hotspot Shield использует альтернативное универсальное имя сервера в SSL-сертификате, что обеспечивает обход определенных сетевых фильтров. Необычным является использование имени «twitter.com» в качестве имени сервера без соответствующей DNS-записи.

3. Серверное Взаимодействие:

Весь трафик, создаваемый приложением, проходил через сервер с IP-адресом 136.0.99.219. Это подтверждается отсутствием других записей DNS, кроме тех, что были созданы в рамках сессии использования Hotspot Shield.

4. Дополнение для браузера:

По сравнению с клиентским приложением для ОС Windows, дополнение для браузера Firefox от Hotspot Shield работает несколько иначе. Оно использует стандартный порт HTTPS и выполняет стандартные DNS-запросы. Главное доменное имя, ассоциированное с этим дополнением, определено как *.northghost.com, с изменяемыми идентификаторами сервера в зависимости от сессии или конфигурации.

5. Стабильность идентификатора сервера:

Изменение геолокации через настройки VPN не влияет на

идентификатор сервера, что указывает на его стабильность и постоянство в различных сессиях и конфигурациях.

Исходя из проведенного анализа, можно заключить, что Hotspot Shield Free применяет ряд уникальных механизмов и техник для обеспечения анонимности и безопасности пользователей. Однако такие особенности, как использование альтернативных имен серверов в SSL-сертификатах, могут служить ключевыми индикаторами для идентификации трафика этого VPN-сервиса.

Заключение

Современный информационный мир все чаще сталкивается с угрозами безопасности, и использование VpN-сервисов становится необходимым инструментом для многих пользователей. Однако угрозы, связанные с ненадежными или вредоносными VPN-провайдерами, создают дополнительные риски для конфиденциальности и безопасности данных. В данной статье представлена методология для обнаружения потенциально неблагонадежных или вредоносных VPN-соединений на основе анализа DNS и методики пяти кортежей. Специфический анализ клиента VPN-сервиса, как показано на примере Hotspot Shield Free, подтверждает необходимость такого подхода.

Литература

1. B. Harris and R. Hunt, "Tcp/ip security threats and attack methods,"Computer Communications, vol. 22, no. 10, pp. 885897, 1999.

2. X. Li, M. Wang, H. Wang, Y. Ye, and C. Qian, "Toward secure and efficient communication for the internet of things," IEEE/ ACM Transactions on Networking, vol. 27, no. 2, pp. 621634, 2019.

3. E. Rescorla, SSL and TLS: Designing and Building Secure Systems, vol. 1, Addison-Wesley, Boston, MA, USA, 2001.

4. P. Felt, R. Barnes, A. King, C. Palmer, C. Bentzel, and Tabriz, "Measuring HTTPS adoption on the web," in Proceedings of the 26th USENIX Security Symposium (USENIX Security 17), pp. 1323-1338, USENIX Association, Vancouver, BC, Canada, August 2017.

5. J. Clark and P. C. Van Oorschot, "SoK: SSL and HTTPS: revisiting past challenges and evaluating certificate trust model enhancements," in Proceedings of the 2013 IEEE Symposium on Security and Privacy, pp. 511-525, IEEE, Berkeley, CA, USA, May 2013.

6. C. Paya and O. Dubrovsky, "Inspecting encrypted communications with end-to-end integrity," US Patent 7562211, 2009.

7. V. Lifliand and A. Michael Ben-Menahem, "Encrypted network traffic interception and inspection," US Patent 8578486, 2013.

8. N. Leavitt, "Anonymization technology takes a high profile,"Computer, vol. 42, no. 11, pp. 15-18, 2009.

9. Z. Zhang, S. Chandel, J. Sun, S. Yan, Y. Yu, and J. Zang, "VPN: a boon or trap?: a comparative study of MPLs, IPSec, and SSL virtual private networks," in Proceedings of the 2018 2nd International Conference on Computing Methodologies and Communication (ICCMC), pp. 510-515, IEEE, Erode, India, February 2018.

10. K. Karuna Jyothi and B. I. Reddy, "Study on virtual private network (VPN), VPN's protocols and security," International Journal of Scientific Research in Computer Science, Engineering and Information Technology, vol. 3, no. 5, 2018.

Overview of VPN detection methods and DNS analysis for classification using

the example of Hotspot Shield Free Kanatev K.N., Shishkin S.R., Basyrov I.I., Gorelikov V.P., Saakian E.A.

Nizhny Novgorod State University named after N. I. Lobachevsky, Moscow Technical

University of Communications and Informatics JEL classification: C10, C50, C60, C61, C80, C87, C90

In the modern world of digital technology and constant online interaction, VPN services have become a key element in ensuring the confidentiality of user data. With their help, many seek to bypass geo-blocking, protect their anonymity and ensure the security of data transmission. However, this has led to the emergence of many unreliable and potentially malicious VPN providers that can pose a threat to end users.

This article focuses on the development and analysis of methodologies capable of identifying and classifying such potentially dangerous VPN connections. The above analysis of DNS and the five tuple methodology opens up new horizons in understanding network traffic, and also allows you to get deeper into the mechanisms of various VPN applications. Through the prism of a detailed analysis of the Hotspot Shield Free VPN service client, possible threats and methods of their detection are considered, which makes the study not only theoretically significant, but also extremely relevant from a practical point of view. Keywords: VPN, security, DNS analysis, five tuple methodology, Hotspot Shield Free,

malicious traffic detection, traffic analysis. References

1. B. Harris and R. Hunt, "Tcp/ip security threats and attack methods," Computer

Communications, vol. 22, no. 10, pp. 885-897, 1999.

2. X. Li, M. Wang, H. Wang, Y. Ye, and C. Qian, "Toward secure and efficient

communication for the internet of things," IEEE/ACM Transactions on Networking, vol. 27, no. 2, pp. 621-634, 2019.

3. E. Rescorla, SSL and TLS: Designing and Building Secure Systems, vol. 1,

Addison-Wesley, Boston, MA, USA, 2001.

4. P. Felt, R. Barnes, A. King, C. Palmer, C. Bentzel, and Tabriz, "Measuring HTTPS

adoption on the web," in Proceedings of the 26th USENIX Security Symposium (USENIX Security 17), pp. 1323-1338, USENIX Association, Vancouver, BC, Canada, August 2017.

5. J. Clark and P. C. Van Oorschot, "SoK: SSL and HTTPS: revisiting past challenges

and evaluating certify trust model enhancements," in Proceedings of the 2013 IEEE Symposium on Security and Privacy, pp. 511-525, IEEE, Berkeley, CA, USA, May 2013.

6. C. Paya and O. Dubrovsky, "Inspecting encrypted communications with end-to-end

integrity," US Patent 7562211, 2009.

7. V. Lifiand and A. Michael Ben-Menahem, "Encrypted network-work interception and

inspection," US Patent 8578486, 2013.

8. N. Leavitt, "Anonymization technology takes a high profile," Computer, vol. 42, no.

11, pp. 15-18, 2009.

9. Z. Zhang, S. Chandel, J. Sun, S. Yan, Y. Yu, and J. Zang, "VPN: a boon or trap?: a

comparative study of MPLs, IPSec, and SSL virtual private networks," " in Proceedings of the 2018 2nd International Conference on Computing Methodologies and Communication (ICCMC), pp. 510-515, IEEE, Erode, India, February 2018.

10. K. Karuna Jyothi and B. I. Reddy, "Study on virtual private network (VPN), VPN's

protocols and security," International Journal of Science Research in Computer Science, Engineering and Information Technology, vol. 3, no. 5, 2018.

X X О го А С.

X

го m

о

to о to

M