OpenVPN Scramble е начин за скриване (обсебване) на OpenVPN трафик, така че да не прилича на OpenVPN трафик. Той е високоефективен срещу много техники за дълбока проверка на пакети (DPI) и е добър за заобикаляне дори на сложни VPN блокове.

OpenVPN Scramble използва алгоритъма за криптиране XOR. Нанася се много лесно и освен това е много лек. Много VPN услуги се обръщат към OpenVPN Scramble, за да победят напреднали VPN блокове от вида, използвани от Китай и Египет.

XOR шифърът

XOR обикновено се произнася Ex или или означава Ексклузивен или, вид математическа операция, използвана от XOR шифъра. Алгоритъмът XOR е основно шифър за заместване. С други думи, той просто замества всеки буквено-цифров в низ, който се подава в него с друго число.

Важното е, че алгоритъмът е обратим. Така че, ако изведете изходния низ обратно в същия алгоритъм, ще получите оригиналния низ с отстранен шифър.

Този вид шифър също се нарича добавъчен шифър и е най-простият вид шифър, който има. Това е вид ROT13 шифър, който умни деца често използват за създаване на секретни съобщения. Освен, че използва много по-сложен алгоритъм, отколкото повечето деца могат да измислят.


Какво представлява XOR шифърът

OpenVPN Scramble

Ако това не звучи много сигурно, не е Наистина, прост XOR шифър може лесно да се счупи с помощта на прости техники за анализ на честотата (търсейки модели в изходния низ).

OpenVPN Scramble не използва шифъра XOR за защита на вашите данни. OpenVPN прави това.

OpenVPN обаче дава на криптирани данни отличителен подпис, който може да бъде открит с помощта на DPI. Заменяйки стойността на всеки бит данни, защитени от OpenVPN, с друга стойност, XOR кодира данните по начин, който прави този подпис много труден за откриване.

А за VPN услуги златото XOR не спира тук. Кодът за бърз достъп с отворен код openvpn_xor го прави почти тривиално лесен за внедряване на XOR Scramble и предлагане на своите клиенти.

Колко ефективен е OpenVPN Scramble?

Кодирането на криптирани за OpenVPN данни с XOR шифъра затруднява откриването на системи като Великата защитна стена на Китай.

Затлъстяването на XOR постигна определено ниво на известност. Малкият му размер и лекотата на изпълнение го прави популярен избор за разработчици на зловреден софтуер, които искат да скрият гадните си битове на код от откриване на анти-зловреден софтуер.

Много разработчици на зловреден софтуер са щастливи просто да използват 1-байтова стойност, за да действат като ключ. Кодът, обсечен от този ключ, след това преминава през всеки байт на данните, които трябва да бъдат кодирани, XOR'ing всеки байт с избрания ключ.

Данните, объркани с 1-байтов ключ, се сравняват сравнително лесно, тъй като създават повтарящи се модели в случайно изглеждащия код. Разработени са редица програми, които правят точно това.

Възможно е обаче да изберете по-дълги клавиши, до байтовата стойност на обсебените данни. Ефективността на функцията XOR при кодиране на данни зависи изцяло от това колко случаен е ключът, който използва.

И така, какво означава всичко това? Е, широкото използване на XOR obfuscation за злонамерен софтуер е нещо от свидетелство за неговата ефективност.

NordVPN е VPN компания, която предлага криптиране XOR, затова помолихме нейния експерт по дигитална конфиденциалност, Даниел Маркусън, да коментира колко е ефективен при победата на VPN блокове. Той предлага да се проведе следния експеримент с помощта на анализатор на пакети Wireshark:

1. Включете редовен VPN. Wireshark вижда трафика като OpenVPN.

Отворете VPN кодиране XOR

2. Включете Обсетен VPN през TCP (опцията XOR на NordVPN). Wireshark вече не идентифицира трафика като OpenVPN.

Замразена VPN през TCP

„XOR определено работи. Винаги ли е ефективна срещу усилията на правителството да блокира трафика на OpenVPN? Нищо подобно. Но както показва горният експеримент, по-сложно е да се идентифицира VPN трафик, ако се използва XOR. Следователно е по-трудно да се блокира. "

полемика

Въпреки предимствата си, openvpn_xorpatch е доста спорен. Всъщност разработчиците на OpenVPN са отказали да го прилагат във всяка официална версия на OpenVPN и съветват да не се използва.

„Ние (разработчиците на OpenVPN) не насърчаваме хората да изграждат свои собствени версии на OpenVPN да променят проводния протокол по този начин, без патчът да бъде подложен на подходящ преглед на кръпка и да не са оценили възможните рискове за сигурността, свързани с такава промяна.

И ние особено обезкуражаваме да използваме такъв подход, когато съществува далеч по-добро решение, използвано от общността на TOR. Нарича се obfsproxy и може да се използва заедно с OpenVPN, без да е необходимо прекомпилиране на OpenVPN. “

Въпреки тези предупреждения обаче, разработчиците на отворен код macOS VPN клиент, Tunnelblick, избраха да включат модифицирана версия на кръпката XOR в своя софтуер:

„Независимо от решението на разработчиците на OpenVPN да не се включва патчът в OpenVPN, пластирът е привлекателен, защото е толкова лесен за изпълнение: просто приложете пластира както към OpenVPN сървъра, така и към OpenVPN клиента и добавете една и съща опция към клиента конфигурационни файлове за всеки. Използването на obfsproxy е по-сложно, защото включва стартиране на друга, отделна програма както на сървъра, така и на клиента.

Тъй като кръпката е толкова лесна за изпълнение, пачът е включен във всички версии на OpenVPN, които са включени в Tunnelblick от сглобяване 4420. “

Струва си да се отбележи, че разработчиците на Tunnelblick откриха, че оригиналният кръпка на XOR има критични недостатъци и затова пуснаха актуализирана версия на пластира, която коригира всички намерени проблеми:

„Големите организации имат способността и силата да„ разкодират “трафик и да го открият като трафик на OpenVPN, а объркването, предоставено от този пластир, е толкова рудиментарно, че сравнително простата криптоанализа вероятно също ще може да разкодира съдържанието.“

Ние със сигурност се надяваме, че доставчиците на VPN, които предлагат OpenVPN Scramble, използват този подобрен кръпка XOR или са направили подобни промени в оригинала.

Алтернативи на OpenVPN Scramble

Obfsproxy

Разработчиците на OpenVPN очевидно в своята предпочитана тактика на обфуксация е obsfproxy, инструмент, предназначен да обвива данни в слой обфускация.

Obfsproxy е разработен от мрежата Tor, до голяма степен като отговор на Китай, блокиращ достъпа до обществени Tor възли. Той обаче не зависи от Tor и може да бъде конфигуриран за OpenVPN.

Obfsproxy се използва за изпълнение на подвижни транспорти, които кодират трафика на VPN (или Tor). Той поддържа редица тези преносими преносими устройства, но obfs4 е най-новото най-модерно протокол на обфускуция от Tor Project.

Stunnel

Това е друга добра тактика на обфускуване на VPN. Той работи чрез маршрутизиране на VPN трафик през тунел TLS / SSL. TLS / SSL е криптирането, използвано от HTTPS, така че VPN връзките (обикновено OpenVPN), маршрутизирани през тези TLS / SSL тунели, следователно са много трудни за разграничаване от обичайния HTTPS трафик. Вижте нашето ръководство за HTTPS за повече информация.

Това е така, защото данните на OpenVPN се увиват в допълнителен слой от TLS / SSL криптиране. Тъй като техниките на DPI не са в състояние да проникнат в този „външен“ слой на криптиране, те не са в състояние да открият криптирането на OpenVPN, скрито вътре в тунела.

заключение

OpenVPN Scramble е лесен за внедряване на VPN услуги и може да бъде много ефективен при избягване на VPN блокове, но не е толкова надежден при скриването на VPN трафик, колкото obfsproxy или stunnel.

Просто опитът да се използва VPN е незаконно на много малко места по света, така че ако вашата VPN връзка е блокирана, има малка вреда да видите дали OpenVPN Scramble ще я деблокира, вероятно ще.

При онези редки обстоятелства, в които в действителност можете да се сблъскате, ако бъде открита употреба на VPN, тогава obfsproxy или stunnel са по-безопасни..

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me