Исследователи раскрыли три способа определения сеансов OpenVPN в транзитном трафике

Группа сетевых специалистов из Мичиганского университета представила в рамках двух научных работ (1 и 2) способы идентификации (VPN Fingerprinting) сетевых соединений к серверам на базе OpenVPN при мониторинге транзитного трафика клиентов. Исследователи раскрыли три способа идентификации протокола OpenVPN среди других сетевых пакетов, которые могут использоваться в системах инспектирования трафика для блокирования виртуальных сетей на базе OpenVPN.

Согласно пояснению OpenNET, эксперты провели успешное тестирование предложенных методов в сети интернет-провайдера Merit, у которого более миллиона пользователей. Тестирование способов показало возможность идентификации 85% OpenVPN-сеансов при незначительном уровне ложных срабатываний.

Для проверки мониторинга трафика экспертами был подготовлен инструментарий, который вначале в пассивном режиме на лету определял трафик OpenVPN, а затем удостоверялся в корректности результата через активную проверку сервера. На созданный исследователями анализатор был отзеркалирован поток трафика интенсивностью примерно 20 Гбит/с.

В ходе эксперимента разработанный инженерами сетевой анализатор смог успешно определить 1718 из 2000 тестовых OpenVPN-соединений, установленных подставным клиентом, на котором было использовано 40 различных типовых конфигураций OpenVPN (метод успешно сработал для 39 из 40 конфигураций). Кроме того, за восемь суток проведения эксперимента в транзитном трафике было выявлено 3638 сеансов OpenVPN, из которых было подтверждено 3245 сеанса.

В исследованиях отмечается, что верхняя граница ложных срабатываний в предложенном методе на три порядка ниже, чем в ранее предлагавшихся методах, основанных на применении машинного обучения.

Отдельно экспертами была оценена работа методов