环球时报英文版在近日发文称,多家国外VPN服务商向用户发出通知,由于IP地址屏蔽等原因,在中国将无法使用其提供的VPN服务。文中还称,中国工信部此前曾有规定,在国内提供VPN服务的公司必须注册登记,未登记的公司将不受国内法律保护。
网上有不少相关分析, 将在这篇文章中汇总,告诉大家——一个VPN服务是如何失效的。
DNS污染
DNS污染是针对那些低水平或经过异化的VPN服务。通常来说,一个正常的VPN服务应该都会集成DNS服务的,这样所有上网的请求都是在服务器上进行。不过一些低质的VPN木有集成,那么DNS解析就需要在本机上进行。这时,如果本机的运营商网络中,DNS服务被污染,你的VPN自然形同于无。
而在国内还有一种中转形式的VPN服务非常常见,它们的上网流程是这样“本机——国内服务器——海外服务器——网站”。这个过程中,第一步、第二步都很容易受DSN污染影响,原理和前边的低质VPN一致。
流量特征分析
可能大家经常会发现,使用VPN服务时,并不是那么稳定,有时能连有时不能连;或者需要用非常奇怪的端口;或者还需要安装客户端等等。这可能是因为你的VPN服务被一种名为“流量特征分析”的技术发现(专业的使法,叫做深度数据包检测)。
在比特空间里,所有的流量都带有特征,比如用什么协议传输、用什么协议加密,都会加上一定的识别比特。VPN也不例外,无论是明文的PPTP还是密文的L2TP、SSL VPN,其识别特征总是一定的。
很容易可以总结出一些规律,80端口是明文或证书的,433端口是SSL的,随机端口可能是软件,小流量是私人用,大流量就是公司或团队服务。通过这些规律,可以很容易发现那些“不正规”的VPN服务,然后直接屏蔽IP和DNS解析,没法用了。
哪些被墙?哪些没被墙?
土行孙智能加速创始人说,防火长城是从协议层面来封禁VPN的。VPN的隧道协议主要有三种,PPTP、L2TP和IPSec。防火墙不需要去定位和封锁每个VPN服务商的IP,只要在网络传输的过程中辨识通过以上三种协议完成的传输就可以实现VPN的封锁。
目前来看,以Astrill、Tech Runo、fqrouter为代表的一批国外VPN服务商均已受到不同程度的干扰。上面提到此次VPN的封锁是通过协议层面实现的,而通过三种隧道协议之外的其他渠道实现“翻墙”的VPN,将可以不受影响。
内容分析
有时你可能还会发现,即使一个小流量、非标准端口的VPN服务也并不稳定。如果这个VPN是PPTP形式的,那么很可能是在前边的特征分析后,对数据包进行了拆包,将里边传输的内容拎出来单独分析。
SSL VPN也未必可靠,在NSA的棱镜计划就已经曝光,SSL加密被破解,相关传输内容也可单独拎出来做分析。
再往高了走,那些技术都不是用来大规模利用的,所以对于小型或个人VPN服务来说不太需要去在意。
评论 在此处输入想要评论的文本。