CC BY
9Передовые методы обнаружения и обфускации VPN-трафика: углубленный анализ OpenVPN и его уязвимостей в современную цифровую эпоху
Канатьев Константин Николаевич
старший преподаватель, кафедра «Управление в спорте», Нижегородский государственный университет им. Н. И. Лобачевского, basket-player@yandex.ru
Нурмагомедов Магомед Джамалович
студент, кафедра «Корпоративные информационные системы», Московский технический университет связи и информатики, magomed_nmd@mail.ru
Гребенщиков Александр Александрович
студент, кафедра «Сетевые информационные технологии и сервисы», Московский технический университет связи и информатики, a.a.grebenshchikov@mail.ru
Каравцев Никита Алексеевич
студент, кафедра «Системы и сети радиосвязи и телерадиовещания», Московский технический университет связи и информатики, nikkaravtsev@gmail.com
Станолевич Владислав Станиславович
студент, кафедра «Корпоративные информационные системы», Московский технический университет связи и информатики, stanolevich.vlad@mail.ru
В данной статье представлено исследование, посвященное обнаружению VPN-трафика, с особенным акцентом на трафик, который проходит через системы запутывания, например, OpenVPN. Детально рассматриваются различные методики и инструменты, предназначенные для обнаружения VPN-соединений в реальном времени, при условиях, максимально приближенных к операционной среде интернет-провайдера. В статье также освещает разнообразные методы обфускации трафика, их возможные уязвимости и предлагает пути их устранения. С помощью изображений и схем продемонстрированы ключевые этапы процесса передачи данных и методы их детектирования. Это исследование акцентирует внимание на необходимости повышения стандартов безопасности при использовании VPN-сервисов и стоит в центре вопросов о конфиденциальности и безопасности в цифровую эру.
Ключевые слова: VPN, OpenVPN, обнаружение трафика, обфуска-ция, цифровые отпечатки, интернет-провайдер, системы запутывания, безопасность передачи данных.
Введение
Интернет-трафик становится объектом внимания интернет-провайдеров, рекламодателей и государственных органов, которые пытаются контролировать и отслеживать его [15]. Это привело к растущему использованию VPN не только профессионалами, занимающимися защитой прав человека и журналистикой, но и обыденными пользователями для различных целей, включая защиту данных и обход блокировок. Недавно в Гонконге был фиксированный всплеск интереса к VPN в связи с введением новых законов о безопасности.
Тем не менее, многие провайдеры и государственные структуры пытаются блокировать или мониторить VPN-тра-фик. Китай, Россия и Индия предпринимали шаги для ограничения доступа к VPN, рассматривая их как угрозу. Некоторые коммерческие интернет-провайдеры, такие как Rain в Южной Африке, сокращали пропускную способность VPN, чтобы соответствовать своим коммерческим интересам.
Хотя существуют базовые способы блокировки или ограничения VPN, такие как блокировка IP-адресов, пользователи продолжают искать обходные пути. В то же время провайдеры начали использовать более сложные методы, такие как глубокая проверка пакетов (DPI), для более тонкого контроля трафика.
Платформа обнаружения, вдохновленную архитектурой Great Firewall, состоящую из компонентов Filter и Prober [6-8]
Filter выполняет пассивную фильтрацию проходящего сетевого трафика в режиме реального времени, используя особенности протокола, которые были выявилены на этапе установления связи OpenVPN. После того, как поток помечен Filter, передается адрес назначения проверяющему, который выполняет активное зондирование в качестве подтверждения. Отправляя запросы, тщательно разработанные для выявления поведения, специфичного для протокола, Prober может идентифицировать сервер OpenVPN, используя побочные каналы, даже если сервер включает дополнительную защиту OpenVPN от активного зондирования. Наша двухфазная платформа способна обрабатывать трафик в масштабе интернет-провайдера на линейной скорости с очень низким уровнем ложных срабатываний.
На представленной диаграмме демонстрируется процесс взаимодействия между клиентом и сервером через VPN соединение, а также передача данных к дистанционному серверу.
1. Клиент и VPN сервер начинают обмен управляющими пакетами: клиент отправляет P_Client_Reset Opcode, а сервер в ответ отправляет P_Server_Reset Opcode. Эти пакеты служат для установки или восстановления соединения.
2. После установки соединения происходит обмен пакетами подтверждения P_ACK Opcode, что подтверждает успешное и стабильное соединение между сторонами.
3. В процессе соединения между клиентом и сервером передаются управляющие пакеты P_Control Opcode, отвечающие за передачу управляющих команд или настроек.
X X
о
го А с.
X
го m
о
м о м
CJ
fO
es о es
о ш m
X
<
m О X X
4. После завершения фазы настройки начинается передача основных данных, которая осуществляется через P_Data Opcode.
5. На диаграмме указаны «незашифрованные пакеты», что говорит о том, что определенная часть данных передается в открытом виде и доступна для просмотра без дополнительного декодирования.
6. Диаграмма отражает двунаправленное взаимодействие: данные передаются как от клиента к серверу, так и в обратном направлении.
VPN Клиент
VPN Сервер
Дистанционный Сервер
P_Cliert_Resel Opcode = {1,7,10}
P_Server_Reset Opcode = {2, 8}
P_ACK Opcode = {5} ^
P_Control Opcode = {4} о> X ш
P_ACK Opcode = {5}
P_Control Opcode = {4} TJ ш СП
P_ACK Opcode = {5} № X
а
P_Control Opcode = {4}
P_ACK Opcode - {5}
P_Data Opcode = {6, 9} Незашифрованный пакет * » *
P_Data Opcode - {6, 9} Незашифрованный пакет * ï 1
х s
Рисунок 1. Установление сеанса OpenVPN (режим TLS)
Помимо стандартной или «традиционной» реализации OpenVPN, данное исследование также рассматривает коммерческие VPN-сервисы с функцией обфускации трафика. В свете усиления контрольных мер со стороны интернет-провайдеров и государственных цензоров, обфусцированные VPN-сервисы становятся все более актуальными, особенно для пользователей из регионов с высоким уровнем интернет-цензуры или законодательными ограничениями на использование VPN. Эти услуги, которые часто позиционируются как «непрозрачные» и «устойчивые к блокировке», обычно основываются на базовом протоколе OpenVPN, дополняя его слоем обфускации для сокрытия активности.
С учетом того, что интернет-технологии продолжают развиваться, и с каждым годом все больше организаций и государственных структур сталкиваются с вызовами в области безопасности данных, важность обфусцированных VPN-сервисов усиливается. Подобные технологии не только повышают степень конфиденциальности пользовательской активности, но и предоставляют дополнительные средства для борьбы с цифровыми угрозами и вмешательством третьих сторон. Научное сообщество активно изучает механизмы и принципы работы обфусцированных VPN, стремясь улучшить их эффективность и устойчивость к потенциальным атакам. Однако такой подход также вызывает определенные опасения, связанные с возможностью злоупотребления подобными технологиями в недобросовестных целях. Поэтому наряду с технологическими инновациями необходимо внимательно рассматривать и юридические аспекты применения обфусцированных VPN.
Кроме того, следует отметить, что с ростом зависимости от интернет-соединения и потребности в безопасной передаче данных появляется необходимость в глубоком анализе методов обфускации VPN. Последние исследования в этой области направлены на создание алгоритмов, которые могли бы адаптироваться к меняющемуся интернет-ландшафту, обеспечивая высокий уровень безопасности без потери производительности.
Особое внимание уделяется изучению корреляции между степенью обфускации и эффективностью шифрования. Существует предположение о том, что определенные методы обфускации могут усиливать или, наоборот, уменьшать стойкость шифрования, что влечет за собой потребность в более детальном анализе данных методов.
Также активно разрабатываются инструменты для автоматического обнаружения и противодействия попыткам блокировки или декомпозиции обфусцированных VPN-соединений. Эти инструменты, будучи интегрированными в современные VPN-решения, могут значительно повысить уровень цифровой безопасности для конечных пользователей.
В партнерстве с Merit (региональным провайдером среднего размера, обслуживающим 1 миллион пользователей) разворачивается платформа на сервере мониторинга, который отслеживает входящий и исходящий трафик со скоростью 20 гигабит в секунду (Гбит / с), зеркально отраженный от основной точки присутствия Merit. Используется Pf_RING в режиме нулевого копирования для быстрой обработки пакетов с помощью распараллеленных Filter. Идентифицировалось 1718 из 2000 потоков, исходящих от управляющего клиентского компьютера, находящегося в сети, что соответствует 39 из 40 уникальных «классических» конфигураций OpenVPN.
Что еще более поразительно, также успешно идентифицировались более 2 / 3 скрытых потоков OpenVPN. 8 из 10-ти крупнейших VPN-провайдеров предлагают услуги обфускации, но все они отмечены Filter. Несмотря на высокие заявления VPN-провайдеров о не наблюдаемости находится, что большинство реализаций запутанных сервисов напоминают OpenVPN, замаскированный простым XOR-Patch, который легко детектируется. Отсутствие случайного заполнения на уровне запутывания и совместное расположение с обычными серверами OpenVPN также делают запутанные сервисы более уязвимыми для обнаружения.
В стандартные операционные дни, система анализа, взаимодействующая с одним сервером, обрабатывает приблизительно 15 терабайт данных, что эквивалентно 2 миллиардам потоков. В течение восьми дней мониторинга, наша архитектура выделила 3638 потоков как потенциальные соединения OpenVPN. Анализ показал, что 3245 из этих потоков действительно соответствовали детектированному типу соединения. Это указывает на экстремально низкий уровень ложных срабатываний, который, предположительно, на три порядка превосходит результаты предшествующих методик, основанных на машинном обучении. Реализация детекции и прерывания сессий OpenVPN, включая большинство современных обфускаци-онных механизмов, оказалась относительно простой задачей для интернет-провайдеров, сетевых операторов и национальных контролирующих органов. В отличие от альтернативных средств обхода блокировок, например, Tor или Refraction Networking, которые применяют сложные стратегии уклонения от детекции, OpenVPN и широкая экосистема VPN кажутся лишенными робустных методов обфускации. Для обычных пользователей это означает, что они могут столкнуться с блокировкой или ограничением доступа со стороны интернет-провайдеров, но для высокопрофессиональных, конфиденциальных пользователей такое детектирование цифровых отпечатков может привести к последующим атакам, направленным на нарушение безопасности туннелей OpenVPN. Предупреждение для пользователей с моделями повышенной угрозы, чтобы они не ожидали, что их использование VPN будет незаметным, даже при подключении к запутанным сервисам.
Программные решения для VPN создают защищенные сетевые соединения в рамках публичной интернет-инфраструктуры с использованием шифрованного туннелирования. Существует множество протоколов VPN, включая IPSec и WireGuard, но
OpenVPN занимает особое место среди коммерческих поставщиков VPN благодаря его широкой совместимости и надежности. Отличительной чертой OpenVPN является его открытый исходный код, который делает его предпочтительным выбором в различных продуктах VPN. Многие рекламные кампании акцентируют внимание на проверенные безопасные свойства протокола. Тенденция к использованию программных решений с открытым кодом также способствует растущей популярности OpenVPN среди конечных пользователей.
OpenVPN
В 2002 году был представлен OpenVPN с задачей разработки высокобезопасного туннельного протокола, который также обладал бы высокой производительностью по сравнению со стандартными протоколами, такими как Transmission Control Protocol (TCP) и User Datagram Protocol (UDP). В условиях активного соединения OpenVPN, первичные IP-пакеты, направляемые через туннель к конечной точке или из неё, инкапсулируются в рамках пакетов OpenVPN. Для реализации безопасного соединения OpenVPN применяет криптографическую библиотеку OpenSSL. Для установления доверия с одноранговыми узлами предусмотрены 2 метода аутентификации и обмена ключами: либо предварительно совместно используемые статические ключи, либо переговоры на основе протокола защиты транспортного уровня (Transport Layer Security, TLS). Во многих коммерческих VPN-решениях было принято решение применять OpenVPN. Для процесса обмена ключами и трансляции данных в OpenVPN выделены два отдельных канала, которые функционируют совместно на одном мультиплексированном TCP/UDP потоке. В управляющем канале клиентская и серверная части участвуют в обмене ключевой информацией, основанной на TLS. Так как TLS протокол ориентирован на надежное соединение, OpenVPN предоставляет управляющему каналу последовательное и стабильное соединение, основанное на определенном механизме подтверждения и повторной передачи. Согласованный ключ из управляющего канала применяется для шифрации пакетов в канале передачи данных, который, в свою очередь, не предоставляет гарантированной надежности. Рисунок 1 иллюстрирует стандартную инициализационную последовательность пакетов OpenVPN, в результате которой формируется полностью зашифрованный канал передачи информации.
Обнаружение Tor, прокси-серверов и VPN.
Продолжающаяся гонка вооружений между GFW и Tor была тщательно изучена и наиболее характерна для конфликта между цензурой, слежкой и инструментами обхода цензуры. Цензоры начали с блокировки веб-сайта Tor и общедоступных ретрансляторов, на что Tor отреагировала, развернув зеркала веб-сайтов и частные, неопубликованные мосты. Затем цензоры перешли к блокировке с помощью DPI, сняв цифровые отпечатки с TLS-ру-копожатия Tor, например, наборы шифров. Tor использовал обфускаторы подключаемого транспорта (Pluggable Transports, PT), такие как Obfsproxy и meek, чтобы замаскировать рукопожатие. В ответ цензоры развернули активное зондирование в дополнение к цифровым отпечаткам на основе DPI для обнаружения Tor и некоторых обфускаторов.
Хогстраатен провел анализ методик выявления VPN со стороны сервера, начиная от применения доступных баз данных (например, WHOIS, системы обратного разрешения доменных имен (rDNS)) и завершая цифровыми характеристиками TCP-ва-риантов (например, декларируемый максимальный размер сегмента (MSS)). Исследование, проведенное Уэббом и коллегами, предложило механизмы обнаружения прокси и VPN на основе анализа синхронизации трафика и временных задержек. Их мето-
дология базировалась на предположении, что RTT при обращении к услуге через прокси будет отличаться от RTT прямого доступа. Другой вектор предшествующих исследований акцентировал внимание на применение компьютерных и ML-моделей для пассивного определения VPN-трафика, используя статистические данные потока, такие как продолжительность сессии и временной интервал между пакетами. Большинство этих работ использовали один и тот же синтетический датасет ISCXVPN2016, включающий сбалансированное сочетание VPN и обычного трафика, для обучения и валидации различных ML-классификаторов и нейросетевых моделей в лабораторных условиях. В отличие от этого, наше исследование фокусируется на возможности участников на уровне интернет-провайдеров идентифицировать потоки OpenVPN практически в реальном времени при реальных ограничениях, минимизируя побочные последствия. В связи с этим мы пропускаем детальный разбор на ML-основанных методах и сравниваем их с нашим подходом с позиции ложных тревог (неверное блокирование легитимного трафика).
Запутанный OpenVPN
Различные методы запутывания трафика были рассмотрены в предыдущей работе. Ван и др. исследовали обнаружи-ваемость Obfsproxy, шифрование с преобразованием формата (Format-transforming Encryption, fTe) и meek. Применяя методы, базирующиеся на характеристиках протокола, энтропии пакетов и синхронизационных особенностях, исследователи установили, что эффективный механизм контроля может надежно идентифицировать все три используемые обфуска-тора. Работы Хумансадра и его коллег показали, что распространенные методы запутывания на основе имитации не обеспечивают полной анонимности, так как точное воспроизведение поведения другого протокола представляет значительные сложности. Прежние исследования подчеркивали способность регуляторов к активному сканированию для обнаружения обфусцированных прокси-серверов. В ответ на это были созданы прокси, устойчивые к такому зондированию. Тем не менее, было доказано, что тщательно разработанные сканирующие запросы все равно могут выявить такие системы.
С учетом ограничений в отношении свободы интернета наблюдается рост спроса на так называемые «скрытые» или «обфусцированные» VPN-сервисы. Большинство таких служб базируются на протоколе OpenVPN, дополненном слоем обфускации для уклонения от детекции. Главные разработчики OpenVPN стремятся держать обфускацию как отдельный модуль, так как они не стремятся к конфронтации аналогичной той, что возникает у Tor. Эта позиция привела к разнообразию обфускационных решений на рынке, предоставляемых различными VPN-поставщиками. Некоторые из них рекламируют свои продукты как полностью незаметные для интернет-провайдеров и регуляторов. Например, TorGuard описывает свой обфусцированный продукт как «созданный таким образом, чтобы его было невозможно обнаружить», в то время как BolehVPN заявляет о способности своего продукта обеспечивать анонимность даже в условиях Китая.
Методы обфускации трафика OpenVPN
ПатчXOR для OpenVPN
Инициированный Clayface модификацией для стандартного OpenVPN, XOR патч проводит обработку пакетов данных методом операции исключающего ИЛИ (XOR) байтов, применяя предварительно согласованный ключ. Это также включает в себя перестановку байтов с последующим применением операции XOR к каждому байту, учитывая его позицию, или сочетание вышеупомянутых методов. Стоит отметить, что команда разработчиков OpenVPN не рекомендует использование этого метода из-за невыполненного кодового аудита.
X X
о
го А с.
X
го m
о
м о м
CJ
fO CS
о
CS
о ш m
X
<
m О X X
Туннелирование OpenVPN через шифрованные каналы
Некоторые VPN-поставщики инкапсулируют трафик OpenVPN в шифрованные туннели с целью минимизации возможности его детекции методами глубокого анализа пакетов (DPI). Среди применяемых для обфускации туннельных решений можно выделить Obfsproxy (версии obfs{2/3/4}), Stunnel, туннели на базе Websocket и зашифрованные прокси-серверы, например, shadowsocks и V2Ray.
Проприетарные протоколы
Некоторые VPN-провайдеры разрабатывали уникальные обфускационные протоколы. Отдельные из них основаны на стандартном OpenVPN, но с дополнением специализированного слоя для обфускации, как в случае с VyprVPN или Astrill. Важно подчеркнуть, что способность идентификации данных коммерческих и/или обфусцированных служб OpenVPN в реальном сетевом трафике была представлена относительно недавно.
0-00-1119*
Г|N«f«uirотправляет \ юцьципадируея-т ".' ■рТ тт"''т " нт г-vi
Рисунок 2. Развертывание фреймворка на этапах Merit
1) Клиент подключается к VPN-серверам;
2) VPN-соединения вместе с проходящим трафиком зеркально отражаются в Filter;
3) Filter перенаправляет IP-адреса серверов подозрительных подключений в систему зондирования;
4) Цели отправляются каждому выделенному Prober;
5) Зонды посылают зонды асинхронно;
6) Соединения, подтвержденные зондированием, регистрируются.
Заключение
В рамках данной статьи исследовалась проблема обнаружения VPN-трафика, в особенности, трафика, прошедшего через системы запутывания, такие как OpenVPN. Акцентировалось внимание на методах и инструментах, используемых для обнаружения VPN-соединений в реальном времени и в условиях, близких к реальным, в сети интернет-провайдера.
С помощью изображений и схем было продемонстрировано, как VPN-трафик передается между клиентом и сервером, а также процесс, с помощью которого фильтры и зонды работают совместно для обнаружения VPN-соединений. Подробно рассмотрены различные методы обфускации трафика и их потенциальные уязвимости.
Таким образом подчеркивается растущую необходимость в повышении уровня безопасности и анонимности при использовании VPN-соединений. Представленные методы обнаружения могут быть использованы интернет-провайдерами или государственными органами для мониторинга и блокировки VPN-соединений, что делает вопрос об обфускации и защите данных еще более актуальным для конечных пользователей.
Особое внимание в статье уделяется несовершенству существующих методов запутывания трафика, что подчеркивает необходимость в дальнейших исследованиях и разработках в этой области, направленных на создание более устойчивых и надежных систем обфускации для VPN.
Литература
1. T. Garrett, L. E. Setenareski, L. M. Peres, L. C. Bona, and E. P. Duarte. Monitoring network neutrality: A survey on traffic differentiation detection. IEEE Com- munications Surveys & Tutorials, 2018.
2. F. Li, A. A. Niaki, D. Choffnes, P. Gill, and A. Mislove. A large-scale analysis of deployed traffic differentiation practices. In Proceedings of the ACM Special Interest Group on Data Communication. SIGCOMM, 2019.
3. A. Molavi Kakhki, A. Razaghpanah, A. Li, H. Koo, R. Golani, D. Choffnes, P. Gill, and A. Mislove. Iden- tifying traffic differentiation in mobile networks. In IMC'15.
4. R. Sundara Raman, L. Evdokimov, E. Wurstrow, J. A. Halderman, and R. Ensafi. Investigating Large Scale HTTPS Interception in Kazakhstan. In Proceedings of the 2020 ACM Internet Measurement Conference.
5. N. Weaver, C. Kreibich, and V. Paxson. Redirecting DNS for Ads and Profit. In USENIX Workshop on Free and Open Communicationson the Internet, 2011.
6. Alice, Bob, Carol, J. Beznazwy, and A. Houmansadr. How China Detects and Blocks Shadowsocks. In ACM Internet Measurement Conference (IMC), 2020.
7. R. Ensafi, D. Fifield, P. Winter, N. Feamster, N. Weaver, and V. Paxson. Examining How the Great Firewall Dis- covers Hidden Circumvention Servers. In Proceedings of the 2015 Internet Measurement Conference.
8. P. Winter and S. Lindskog. How the great firewall of china is blocking tor. In 2nd USENIX Workshop on Free and Open Communications on the Internet (FOCI 12), Bellevue, WA, Aug. USENIX Association.
Advanced methods for detecting and obfuscating VPN Traffic: In-depth analysis
of OpenVPN and its vulnerabilities in the modern digital Era Kanatev K.N., Nurmagomedov M.D., Grebenshchikov A.A., Karavtsev N.A., Stanolevich V.S.
Nizhny Novgorod State University named after N. I. Lobachevsky, Moscow Technical
University of Communications and Informatics JEL classification: C10, C50, C60, C61, C80, C87, C90_
In this article, a study focused on detecting VPN traffic is presented, with a particular emphasis on traffic that traverses obfuscation systems, such as OpenVPN. Various methodologies and tools designed for detecting VPN connections in real-time are thoroughly examined, under conditions closely resembling the operational environment of an internet service provider. The article also sheds light on diverse traffic obfuscation methods, their potential vulnerabilities, and suggests remediation approaches. Key stages of the data transmission process and their detection methods are demonstrated using illustrations and diagrams. This research underscores the necessity to enhance security standards when using VPN services and stands at the heart of questions concerning privacy and security in the digital age. Keywords: VPN, OpenVPN, traffic detection, obfuscation, digital fingerprints, internet
service provider, obfuscation systems, data transmission security. References
1. T. Garrett, L. E. Setenareski, L. M. Peres, L. C. Bona, and E. P. Duarte. Monitoring
network neutrality: A survey on traffic differentiation detection. IEEE Communications Surveys & Tutorials, 2018.
2. F. Li, A. A. Niaki, D. Choffnes, P. Gill, and A. Mislove. A large-scale analysis of
deployed traffic differentiation practices. In Proceedings of the ACM Special Interest Group on Data Communication. SIGCOMM, 2019.
3. A. Molavi Kakhki, A. Razaghpanah, A. Li, H. Koo, R. Golani, D. Choffnes, P. Gill,
and A. Mislove. Identifying traffic differentiation in mobile networks. In IMC'15.
4. R. Sundara Raman, L. Evdokimov, E. Wurstrow, J. A. Halderman, and R. Ensafi.
Investigating Large Scale HTTPS Interception in Kazakhstan. In Proceedings of the 2020 ACM Internet Measurement Conference.
5. N. Weaver, C. Kreibich, and V. Paxson. Redirecting DNS for Ads and Profit. In
USENIX Workshop on Free and Open Communication on the Internet, 2011.
6. Alice, Bob, Carol, J. Beznazwy, and A. Houmansadr. How China Detects and Blocks
Shadowsocks. In ACM Internet Measurement Conference (IMC), 2020.
7. R. Ensafi, D. Fifield, P. Winter, N. Feamster, N. Weaver, and V. Paxson. Examining
How the Great Firewall Dis- covers Hidden Circumvention Servers. In Proceedings of the 2015 Internet Measurement Conference.
8. P. Winter and S. Lindskog. How the great firewall of China is blocking tor. In 2nd
USENIX Workshop on Free and Open Communications on the Internet (FOCI 12), Bellevue, WA, Aug. USENIX Association.
