Gaano kadali upang makita ang isang VPN ay ginagamit?

Malutas ng Virtual Pribadong Network (VPN) ang maraming mga problema sa privacy. Dahil karaniwang naka-encrypt ang VPN ng iyong trapiko sa pagitan ng iyong computer at provider ng VPN, napakahirap para sa isang tagamasid na tingnan ang iyong trapiko upang makita kung ano ang iyong naroroon. Gayunpaman, maraming mga tao ang nais na maitago ang katotohanan na gumagamit sila ng VPN; tulad ng mga tao sa mga bansa na nagbabawal sa mga VPN, o iba pang mga sitwasyon kung saan ang paggamit ng VPN ay hindi pinahihintulutan o hadlangan sa pamamagitan ng mga teknikal na paraan. Sa artikulong ito, nakatuon kami sa uri ng data na maaaring makolekta ng tagamasid mula sa mga nakukuha sa network packet at kung paano magamit ang data na iyon upang makita ang paggamit ng VPN.


Ang background sa problema

Ang nasusunog na tanong ay “bakit”? Sino ang nagmamalasakit kung may nakakakita sa iyo na nagpapatakbo ng isang VPN? Kung ang trapiko ay labis na naka-encrypt kahit papaano, ano ang problema?

Totoo na sa maraming mga sitwasyon at sa maraming mga bansa, hindi mahalaga ang lahat kung nakita ng isang tagamasid ang paggamit ng VPN. Gayunpaman, maraming mga bansa na nagbabawal sa paggamit ng mga VPN at samakatuwid mahalaga para sa mga gumagamit ng VPN sa mga bansang ito na malaman kung paano sila matutuklasan.

Upang matukoy kung ginagamit ang isang VPN, ang isang tagamasid ay kailangang magkaroon ng access sa isang router kung saan dumaraan ang target na trapiko. Sa kaso ng isang naka-target na biktima, ang isang nagsasalakay ay maaaring gumastos ng mahusay na mga mapagkukunan upang makilala ang isang paraan kung saan kukuha ng isang router na ginagamit ng partikular na biktima. Sa kaso ng pagsubaybay sa bansa, ang epektibong pagtuklas ay mangangailangan ng kontrol ng maraming mga router. Kapag pinagsama mo ang dalawang bagay na ito – isang samahan na nagmamalasakit kung gumagamit ka at VPN at saka ay may kakayahang kontrolin ang isang malaking bilang ng mga router — na karaniwang nagpapahiwatig ng isang artista sa banta na antas ng banta.

Tandaan na ang artikulong ito ay tumutukoy sa mga paraan kung saan ang paggamit ng VPN ay maaaring matuklasan ng mga tagamasid. Hindi ito nangangahulugang ang data na naka-encrypt sa loob ng tunel ng VPN ay mas madaling mapagsamantalahan.

Paraan ng pagsubok

Nang walang pag-access sa mga mapagkukunan ng antas ng estado, ang aking platform ng pagsubok at pamamaraan ay medyo maliit sa sukat. Gumawa ako ng isang maliit na panloob na network gamit ang tatlong Virtual Machines (VM) kasama ang VirtualBox. Ang topology ng network ay tulad ng:

Pag-setup ng network ng VPN

Nag-install ako ng packet sniffing software sa OpenWRT router VM at pagkatapos ay sinubukan ang iba’t ibang mga pagsasaayos ng VPN sa iba pang dalawang virtual machine. Ang software ng packet sniffing, tcpdump, pinayagan akong makuha ang trapiko sa network ng VMs para sa pagtatasa. Sa isang mas makatotohanang pag-setup, ang software ng pagkuha ng packet ay maaaring mai-install sa mga router sa Internet, o hindi bababa sa loob ng network ng ISP. Ang estratehikong paglalagay ng software sa pagsusuri ay mangangailangan ng ilang kaalaman sa mga puntos ng interes sa internet na kung saan ang target na trapiko ay malamang na dumadaloy. Sa aking network ng pagsubok, alam ko na may 100% na katiyakan na ang lahat ng trapiko papunta at mula sa aking virtual machine ay pupunta sa pamamagitan ng OpenWRT router na ito. Samakatuwid ito ang pinakamagandang lugar para sa akin na ilagay ang aking mga tool sa pagkolekta.

Mga di-teknikal na mapagkukunan ng mga tagapagpahiwatig ng VPN

Hindi lahat ng mga mapagkukunan ng data na nagpapahiwatig ng paggamit ng VPN ay teknikal. Habang ang ilan ay napaka-teknikal, tulad ng pagsusuri ng packet, ang ilan ay napaka hindi teknikal, tulad ng pagkakamali ng tao at pang-araw-araw na gawain.

Hindi sinasadyang trapiko sa network

Karamihan sa mga gumagamit ng VPN ay mayroong client software na dapat ilunsad upang maitatag ang VPN. Napakahirap tiyakin na walang trapiko na dumadaan sa internet bago maitaguyod ang VPN kapag ang isang computer boots. Kahit na ang mga VPN na may switch switch ay maaaring hindi magawa ang anumang bagay tungkol sa trapiko na dumadaan sa pag-boot ng system.

vypr-vpn-autoconnect-mode

vypr-vpn-killswitch-mode

Upang subukan ito, itinakda ko ang awtomatikong kumonekta at pumatay ng mga pagpipilian sa switch ng VyprVPN sa Windows virtual machine. Pagkatapos ay isinara ko ang Windows machine, sinimulan ang isang packet capture sa OpenWRT router, at sinimulan ang Windows machine. Na nabuo ng maraming mga packet at ng interes ay ang dalawang pagkakasunud-sunod na ito.

Una, maaari naming makita ang maraming mga pings sa isang katulad na hanay ng mga IP. Hindi ko sinasadya na ipangkat ang mga packet na ito – ganito kung paano sila ipinadala ng organiko:

vypr-vpn-windows-boot-ICMP-packet

Iminumungkahi nito na ang isang bagay ay sinusubukan upang magbilang ng mga server. Ang isang pangkaraniwang sanhi ng ganitong uri ng trapiko sa isang senaryo ng VPN ay isang kliyente ng VPN na nagtatangkang matukoy ang pinakamabilis na server. Ang isang paraan upang gawin ito ay ang magpadala ng isang pack ng ICMP (na kilala bilang isang ping) sa isang hanay ng mga server upang makita kung alin ang babalik sa pinakamabilis.

Maaari naming makita mula sa unang screenshot na 209.99.63.34 ibalik ang pinakamabilis sa 99 milliseconds. Karagdagang down sa pagkuha ng packet, bigla nating nakita na ang karamihan sa trapiko mula sa puntong iyon ay naka-encrypt at nakalaan para sa 209.99.63.34

vypr-vpn-windows-boot-QUIC-packet

Ang susunod na piraso ng puzzle ay upang malaman kung ano ang nasa mga IP na iyon. Gamit ang IP WHOIS na nagsasaad ng nakarehistrong may-ari ng isang IP, makikita natin na ang lahat maliban sa isa sa mga IP na ito ay kabilang sa YHC Corporation at lutasin ang mga server sa data ng Data Foundry:

209.99.108.46
OrgName: YHC Corporation
OrgTechEmail: [email protected]
209.99.109.167
OrgName: YHC Corporation
OrgTechEmail: [email protected]
209.99.113.70
OrgName: YHC Corporation
OrgTechEmail: [email protected]
209-99-115-97
209.99.117.82
OrgName: YHC Corporation
OrgTechEmail: [email protected]
209.99.21.36
OrgName: YHC Corporation
OrgTechEmail: [email protected]
OrgTechEmail: [email protected]
209.99.22.46
OrgName: YHC Corporation
OrgTechEmail: [email protected]
209.99.60.34
OrgName: YHC Corporation
OrgTechEmail: [email protected]
209.99.61.42
OrgName: YHC Corporation
OrgTechEmail: [email protected]
209.99.62.34
OrgName: YHC Corporation
OrgTechEmail: [email protected]
OrgName: Pamamahala ng Powerhouse, Inc.
OrgTechEmail: [email protected]
209.99.63.34
OrgName: YHC Corporation
OrgTechEmail: [email protected]
209.99.63.34
OrgName: YHC Corporation
OrgTechEmail: [email protected]
209.99.67.41
OrgName: YHC Corporation
OrgTechEmail: [email protected]
209.99.72.70
OrgName: YHC Corporation
OrgTechEmail: [email protected]
209.99.75.70
OrgName: YHC Corporation
OrgTechEmail: [email protected]
209.99.93.34
OrgName: YHC Corporation
OrgTechEmail: [email protected]
209.99.94.37
OrgName: YHC Corporation
OrgTechEmail: [email protected]
209.99.95.40
OrgName: YHC Corporation
OrgTechEmail: [email protected]

Ang isang lohikal na susunod na hakbang ay upang i-scan ang mga IP upang makita kung anong mga serbisyo ang kanilang pinapatakbo. Hindi ako magbibigay ng mga detalye sa kung paano gawin iyon, ngunit ang aking pagsubok ay nagpapakita na ang default na mga banner ng koneksyon na pinapakita ng karamihan sa mga server mula sa mga server ng VyprVPN kaya walang halatang kwento na ang mga IP na ito ay nagpapatakbo ng isang VPN server.

Hindi marami ang magagawa mo tungkol sa kung paano kumikilos ang iyong computer bago ka ma-booting. Samakatuwid, kung nais mong mapusok ang ganitong uri ng pagkakasunud-sunod ng pag-setup, kakailanganin mong magpatakbo ng isang VPN “sa harap” ng iyong computer. Ang pagpapatakbo ng kliyente ng VPN sa iyong router sa halip na tumatakbo ang isang kliyente sa iyong computer ay isang paraan upang gawin ito. Tatakbo ka pa rin sa parehong mga pagkakasunud-sunod ng pag-uumpisa kapag ang resto ay muling nag-iisa, ngunit kadalasan ay hindi gaanong mas madalas kaysa sa iyong computer.

Walang mga hindi naka-encrypt na packet

Tulad ng nabanggit ko sa itaas, kapag ang mga pings ay kumpleto, ang packet capture ay nagpapakita ng naka-encrypt na trapiko sa pinakamabilis na IP. Kung nakikita ng isang tagamasid lamang ang mga naka-encrypt na packet at hindi isang solong hindi naka-encrypt na packet, maaari itong maging isang senyas na ginagamit ang VPN. Habang ang mundo ay mabilis na gumagalaw patungo sa pag-encrypt ng maraming data hangga’t maaari sa web, mayroon pa ring ilang mga kahilingan na karaniwang hindi naka-encrypt. Kabilang dito ang mga query sa paghahanap ng DNS, mga query ng NNTP (time server) at isang smattering ng iba pang mga kahilingan sa protocol tulad ng FTP at Telnet na kung minsan ay ginagamit sa ilan sa aming mga aplikasyon, ngunit huwag suportahan ang pag-encrypt sa lahat.

Tumagas mula sa madulas na seguridad sa pagpapatakbo ng tao (OpSec)

Ang isang napakahusay na makabuluhang data ay maaaring makuha mula sa isang target sa pamamagitan ng paggamit ng walang katuturang impormasyon. Maraming mga tao ang gumugol ng maraming oras at pagsisikap na mabawasan ang kanilang nalalaman bilang ang “mahalaga” na bagay lamang upang matukoy ng mga walang kwentang impormasyon na hindi nila inisip. Ang ilang mga halimbawa ay kasama ang mahabang memorya ng internet na nagsiwalat ng email sa Hillary Clinton ay malamang na isang tao na nagngangalang Paul Combetta; Si Dread Pirate Roberts, AKA Ross Ulbricht, ang di-umano’y mastermind ng ilegal na pamilihan sa internet ng Silk Road, ay pinarusahan nang labis dahil sa data sa kanyang laptop na pisikal na nakuha mula sa kanya habang ginulo sa isang pampublikong aklatan.

Hindi gaanong kapansin-pansin, ang mga tagamasid ay madalas na gumamit ng mga bagay tulad ng mga siklo ng aktibidad upang maipaputok ang oras ng target o ang pagkakaroon ng mga espesyal na character sa isang mensahe upang makilala ang isang layout ng wika na naaayon sa bansa ng target. Walang kumpletong listahan ng mga bagay na isasaalang-alang kapag isinasaalang-alang ang seguridad sa pagpapatakbo dahil ang pagkakaroon ng mga bagong paraan upang mag-cross-reference data ay kadalasang isang ehersisyo sa imahinasyon at mapagkukunan.

Gayunpaman, may ilang mga tiyak na bagay na nauukol sa pagkuha ng packet na maaaring makilala ang paggamit ng VPN.

Mga palatandaan na nagsasalaysay mula sa packet metadata

Mahuhulaan ang mga re-key ng PFS

Dahil karaniwang naka-encrypt ang trapiko ng VPN, karaniwang nakatago ito sa mga mata ng prying. Gumagana ang Encryption dahil napakahirap na “brute force” na naka-encrypt na data upang mailantad ang malinaw na nilalaman ng teksto. Sa katunayan, ang paglabag sa pag-encrypt ay napakahirap na ang mga malalaking scale na pagsubaybay sa mga proyekto kung minsan ay kokolektahin lamang ang lahat ng mga data na maaari nila sa pag-asa na masisira nila ang pag-encrypt sa ilang hinaharap na petsa kapag nadagdagan ang lakas ng computer, o kaya nilang makuha ang mga susi na ginamit upang i-encrypt ang data. Ang perpektong Forward Secrecy (PFS) ay isang pamamaraan na maaaring magamit upang maiwasan ang huling senaryo.

Muling binubuo ng Perpektong Forward Secrecy ang mga susi ng pag-encrypt na ginamit upang i-encrypt ang VPN trapiko sa pana-panahon. Kapag nabuo ang isang bagong key na pares, nawasak ang nakaraang pares. Nangangahulugan ito na ang anumang nakolekta na naka-encrypt na packet ay hindi ma-decrypted sa ibang araw dahil ang susi na ginamit upang i-encrypt ang mga ito ay wala na.

Sinusuportahan ng OpenVPN ang PFS. Habang kinukuha ang data para sa artikulong ito, ibinaba ko ang key rate ng pagbibisikleta hanggang 10 segundo upang makuha ang proseso na naganap. Natagpuan ko na kapag naganap ang pangunahing pagbabagong-buhay, ang sumusunod na pagkakasunud-sunod ng mga packet ay nabuo:

09: 01: 48.461276 IP 192.168.1.204.openvpn > 104.254.92.61.openvpn: UDP, haba 94
09: 01: 54.749114 IP 192.168.1.204.openvpn > 104.254.92.61.openvpn: UDP, haba 65
09: 01: 58.895381 IP 192.168.1.204.openvpn > 104.254.92.61.openvpn: UDP, haba ng 86
09: 01: 58.951091 IP 192.168.1.204.openvpn > 104.254.92.61.openvpn: UDP, haba 94
09: 01: 58.951614 IP 192.168.1.204.openvpn > 104.254.92.61.openvpn: UDP, haba 259
09: 01: 59.007916 IP 192.168.1.204.openvpn > 104.254.92.61.openvpn: UDP, haba 94
09: 01: 59.008027 IP 192.168.1.204.openvpn > 104.254.92.61.openvpn: UDP, haba 94
09: 01: 59.008265 IP 192.168.1.204.openvpn > 104.254.92.61.openvpn: UDP, haba 94
09: 01: 59.008300 IP 192.168.1.204.openvpn > 104.254.92.61.openvpn: UDP, haba 94
09: 01: 59.062927 IP 192.168.1.204.openvpn > 104.254.92.61.openvpn: UDP, haba 256
09: 01: 59.106521 IP 192.168.1.204.openvpn > 104.254.92.61.openvpn: UDP, haba 575

Ang kilalang bagay tungkol sa pagkakasunud-sunod na ito ay ang mga sukat ng packet ay magkapareho sa bawat oras na naganap ang pangunahing pagbabagong-buhay. Samakatuwid, kapag nakita ko ang isang pagkakasunud-sunod ng mga packet na may mga sukat na ito sa aking pagkuha ng packet, alam kong nagaganap ang pangunahing pagbibisikleta:

94
65
86
94
259
94
94
94
94
256
575

Nakakatawang, ang anumang proseso ng paulit-ulit na teoretikal ay bubuo ng paulit-ulit na pagkakasunud-sunod ng mga packet tulad nito, ngunit maaari pa rin itong magamit bilang isang tagapagpahiwatig na maaaring maglaro ang PFS. Kaisa sa iba pang data, ang impormasyong ito ay maaaring sapat upang kumpirmahin ang isang koneksyon sa VPN.

Ang lahat ng mga packet na nakalaan sa parehong IP

Sa normal na kurso ng paggamit ng internet, ang mga tao at computer ay humiling ng data mula sa maraming iba’t ibang mga site. Ang bawat isa sa mga site na iyon ay may ibang IP address. Kapag gumagamit ng isang VPN, ang bawat solong packet ay nakalaan sa VPN server. Sinusukat ng server ng VPN ang layer ng pag-encrypt ng VPN sa bawat pack upang maipakita ang tunay na packet at pagkatapos ay ipinapadala ito sa kanyang patutunguhan. Ang VPN server ay ang parehong sa mga tugon. Tumatanggap ito ng mga packet ng pagtugon, ibinalot ang mga ito sa isang layer ng encryption, at pagkatapos ay ipinapadala ang packet sa computer ng gumagamit.

Ang isang packet capture na nagpapakita ng isang computer na nagpapadala ng 100% ng trapiko nito sa isang solong IP ay isang mahusay na tagapagpahiwatig na ginagamit ang isang VPN o proxy..

Ang Psiphon ay isang tool sa pag-censor sa internet ng censorship. Mayroon itong isang kawili-wiling pag-andar na maaaring labanan ito sa ilang antas. Ito ay may split tunnel mode na mahalagang ginagamit lamang ang Psiphon tunnel para sa trapiko na umalis sa iyong sariling bansa.

comparitech-psiphon-splittunnel-mode

Upang makita kung paano ito titingnan sa antas ng packet, inilunsad ko ang Psiphon at sinubukan ang dalawang mga site. Nasa Canada ako at narito ang isang halimbawa ng trapiko na nakalaan sa aming sariling .ca domain registrar. Sa kasong ito, ang aking patutunguhan ay malinaw na nakikita sa pagkuha ng packet.

8: 30: 14.213668 IP 192.168.1.210.58787 > www.cira.ca.https: Mga Bandila [.], ack 1026833, manalo ng 64240, haba ng 0
08: 30: 14.229178 IP www.cira.ca.https > 192.168.1.210.58787: Mga watawat [.], Seq 1026833: 1028293, ack 715, manalo ng 5094, haba 1460
08: 30: 14.229427 IP www.cira.ca.https > 192.168.1.210.58787: Mga watawat [.], Seq 1028293: 1031213, ack 715, manalo ng 5094, haba 2920
08: 30: 14.229781 IP 192.168.1.210.58787 > www.cira.ca.https: Mga Bandila [.], ack 1031213, manalo ng 64240, haba ng 0

Pagkatapos ay bumisita ako sa website ng Comparitech na naka-host sa Estados Unidos:

8: 29: 48.028789 IP li832-56.members.linode.com.ssh > 192.168.1.210.58659: Mga Bandila [P.], seq 107809: 108277, ack 19080, manalo ng 1392, haba 468
08: 29: 48.029101 IP 192.168.1.210.58659 > li832-56.members.linode.com.ssh: Mga Bandila [.], ack 108277, manalo ng 856, haba 0
08: 29: 48.029306 IP 192.168.1.210.58659 > li832-56.members.linode.com.ssh: Mga Bandila [P.], seq 19080: 19132, ack 108277, manalo ng 856, haba 52
08: 29: 48.108658 IP li832-56.members.linode.com.ssh > 192.168.1.210.58659: Mga watawat [.], Ack 19132, manalo ng 1392, haba 0

Tandaan kung paano ipinapadala ang trapiko para sa US ay ipinadala sa isang server ng Linode sa halip na maihambing ang comparitech.com. Ang Linode ay isang napakalaking kumpanya ng server at hindi pangkaraniwan na makita ang nakatakdang trapiko para sa isang server ng Linode. Si Psiphon ay higit na nahuhumaling sa trapiko sa pamamagitan ng paggamit ng isang SSH tunnel upang itago ang anumang bakas ng isang VPN. Gayundin, ang reverse DNS (rDNS) para sa server ng Psiphon sa Linode ay hindi ipinagkanulo ang pagkakaugnay nito sa Psiphon; ipinapakita lamang ng rDNS ang pagmamay-ari ni Linode ang IP, na inaasahan. Mayroong higit pa sa rDNS sa seksyon ng obfuscation mamaya sa artikulong ito.

Mga pagkakapare-pareho sa operating system at packet fingerprint data

Bagaman ang TCP networking ay operating system agnostic, ang iba’t ibang mga operating system ay lumikha ng mga packet na may ilang iba’t ibang mga halaga. Halimbawa, ang halaga ng default na packet Time-To-Live (TTL) ay nag-iiba sa mga packet na nilikha sa iba’t ibang mga system. Karamihan sa Windows system ay magtatakda ng packet TTL hanggang sa 128 ng default samantalang ang karamihan sa mga sistema ng Linux ay itatakda ito sa 64. Dahil ang TTL ay isang nakikitang bahagi ng nakunan na packet, posible upang matukoy kung aling OS ang malamang na nilikha na packet. Mayroon ding iba pang mga palatandaan sa pagbuo ng packet tulad ng haba at maximum na Laki ng Segment (MSS) na nag-iiba rin mula sa operating system hanggang sa operating system.

Ang snippet sa ibaba ay bahagi ng isang packet na nabuo mula sa isang Windows system. Pansinin ang ttl 127 ang halaga sa huling linya ay nakatakda sa 127. Ito ay dahil ang TTL ay ipinahayag sa bilang ng mga “hops”. Sa bawat oras na ang isang packet ay tumatakbo sa isang aparato tulad ng isang router, ang TTL nito ay nabubura ng isa. Sa kasong ito, nagsimula ang TTL sa 128 ngunit dahil nakuha ko ito sa router — pagkatapos ng isang hop – ngayon ay 127. Gayunpaman, masasabi ko pa na hindi ito 64 kaya ito marahil ay isang packet na nilikha sa isang Windows system.

08: 08: 51.657495 IP (itapon 0x0, ttl 64, id 32150, offset 0, mga flag [DF], proto UDP (17), haba 177)
google-public-dns-a.google.com.domain > 192.168.2.139.59414: 40501 3/0/0 cdn-3.convertexperiments.com. CNAME cdn-3.convertexperiments.com.edgekey.net., Cdn-3.convertexperiments.com.edgekey.net. CNAME e5289.g.akamaiedge.net., E5289.g.akamaiedge.net. Isang 104.94.35.212 (149)
08: 08: 51.659278 IP (itapon 0x0, ttl 127, id 3890, offset 0, mga flag [DF], proto TCP (6), haba 52)

Ang isang packet na nakunan mula sa isang machine ng Linux ay may isang TTL ng 63 pagkatapos ng unang hop. Ito ay dahil ang karamihan sa mga makina ng Linux ay nagtakda ng paunang halaga ng packet TTL hanggang 64.

08: 15: 55.913493 IP (itapon 0x0, ttl 63, id 41443, offset 0, mga flag [DF], proto UDP (17), haba ng 56)
192.168.2.139.48635 > resolver1.ihgip.net.domain: 47200+ A? google.com. (28)

Ngunit, kaya ano? Bakit mahalagang malaman kung anong nilikha ng operating system ang isang packet?

Kung ang isang tagamasid ay may dalubhasang kaalaman sa isang target na maaaring mahalaga ito. Kung ang target ay kilala na gumamit ng Windows — marahil bilang isang miyembro ng malaking samahan na gumagamit ng Windows sa buong kabuuan – ngunit ang mga pakete na nakuha mula sa target na iyon ay nagpapakita na malamang na nilikha sila sa isang makina ng Linux, ito ay isang mahusay na tagapagpahiwatig na ang isang VPN o proxy ng ilan mabait ang ginagamit. Kapansin-pansin na halos lahat ng mga VPN server ay pinapatakbo sa Linux o Unix-like server.

Posible na ayusin ang mga parameter ng packet sa karamihan ng mga system ngunit kakaunti ang mga tao na pumunta sa haba na ito.

Hindi sapat na mga diskarte sa obfuscation mula sa mga nagbibigay ng VPN

Marami pa sa pagsusuri sa network kaysa sa pagkolekta lamang ng mga packet. Ang mga proseso ng ninuno tulad ng DNS ay maaaring maglaro ng isang papel. Maraming mga gumagamit ng VPN ang nakakaalam ng DNS dahil ang pagpapadala ng mga query sa DNS sa malinaw ay isang paraan para matukoy ng isang tagamasid kung saan ka pupuntahan o bibisitahin. Gayunpaman, mas kaunting mga gumagamit ang nakakaalam ng Reverse DNS (rDNS). Katulad ng DNS na iniuugnay ang isang domain name sa isang IP address, iniuugnay ng rDNS ang isang IP address sa isang hostname at ang pangalan ng hostname ay karaniwang kinikilala ang may-ari ng IP. Bilang karagdagan, ang karamihan sa mga silid-aklatan ng programming at operating system ay may ilang bersyon ng karaniwang gethostnameby * () mga function na nagpapalawak ng kakayahan ng isang system upang maiugnay ang mga IP at hostnames.

Ang Reverse DNS ay hindi kritikal bilang “normal” DNS dahil ang rDNS ay hindi gumaganap sa pag-ruta ng trapiko. Sa halip, ito ay pangunahing ginagamit bilang isang paraan upang makilala ang pagmamay-ari ng IP. Tanging ang may-ari ng isang IP address lamang ang maaaring maiugnay ang isang rekord ng rDNS. Samakatuwid, ang pagsuri sa rekord ng rDNS ng isang IP address ay nagbibigay ng isang makatwirang katiyakan kung sino ang nagmamay-ari nito, o hindi bababa sa, na nais ng may-ari na isipin mong pagmamay-ari nito. Tandaan na ang rDNS ay hindi kinakailangan at maraming mga IP address ay walang mga entry sa rDNS.

Tingnan natin ang halimbawa ng domain facebook.com. Ang DNS Isang tala na ibinigay ng isang pamantayan sa query sa DNS ay nagpapakita ng IP address na ito:

$ dig + maikling facebook.com
31.13.67.35

Gumamit na tayo ngayon ng isang baligtad na query sa DNS o gethostnamebyaddr () na gumana upang makita kung sino ang nagmamay-ari ng IP na iyon:

$ host -n 31.13.67.35
35.67.13.31.in-addr.arpa domain name pointer edge-star-mini-shv-01-mia3.facebook.com

Makikita natin mula dito na ang Facebook ay nagmamay-ari mismo ng IP address. Gayunpaman, ang karamihan sa mga site ay hindi nagmamay-ari ng kanilang sariling mga IP; naupahan sila at nabibilang sa mga di-makatwirang mga organisasyon o marahil pag-aari ng hindi gaanong halatang mga nilalang. Ang Amazon ay isang halimbawa ng isang malaking provider ng computing na ginagamit ng maraming mga kumpanya. Ang isang query sa rDNS para sa IP address ng maraming mga serbisyo sa internet ay nagpapakita lamang na ang Amazon ay nagmamay-ari ng IP at samakatuwid ang impormasyon ay hindi gaanong gagamitin sa pagtukoy kung sino ang nagpapatakbo ng IP. Ang isa pang halimbawa ay ang Google. Ang Google ay isang maliit na banayad sa mga entry ng rDNS nito, ngunit pinapanatili pa rin nito ang impormasyon sa pagmamay-ari. Narito kung paano tumingin ang reverse DNS para sa isang Google IP:

$ dig + maikling google.com
216.58.207.46

$ host -n 216.58.207.46
46.207.58.216.in-addr.arpa domain name pointer fra16s24-in-f14.1e100.net.

Ang Google ay nagmamay-ari ng 1e100.net domain, kaya makikita natin na ang IP na ito ay sa katunayan ay kabilang sa Google.

Sa mundo ng mga VPN, ang mga tool sa paglutas ng address ay maaaring magamit upang makita kung ang IP ang iyong trapiko ay nakalaan para sa isang VPN. Halimbawa, ang isang default na tcpdump na utos sa OpenWRT router ay susubukan na lutasin ang mga IP na nakikita nito sa mga TCP packet. Ito ay tila pangunahing gumamit ng gethostbyaddress () upang gawin ito at kung kaya’t posible na makita kung saan natukoy ang mga packet. Ang isang default na tcpdump capture ng isang IPVanish session ay naglalarawan nito:

08: 23: 14.485768 IP 216-151-184-30.ipvanish.com.3074 > 192.168.1.210.51061: UDP, haba 1441
08: 23: 14.485847 IP 216-151-184-30.ipvanish.com.3074 > 192.168.1.210.51061: UDP, haba 1441
08: 23: 14.486144 IP 216-151-184-30.ipvanish.com.3074 > 192.168.1.210.51061: UDP, haba 1441
08: 23: 14.486186 IP 216-151-184-30.ipvanish.com.3074 > 192.168.1.210.51061: UDP, haba 385

Ang client ng IPVanish para sa Windows ay nagbibigay ng tatlong mga pagsasaayos: isang pamantayang koneksyon sa OpenVPN, isang koneksyon sa OpenVPN gamit ang HTTPS, at isang nalipong koneksyon.

ipvanish-vpn-openvpn-mode

Ang mga packet sa itaas ay nakuha sa isang session gamit ang obfuscated OpenVPN na setting ng koneksyon, gayun pa rin ang WireShark ay makapagbibigay ng impormasyon sa patutunguhan.

Sa buod

Kapag tinutukoy ang paggamit ng VPN, kakaunti ang mga “pilak na bala”. Karaniwan ay tumatagal ng isang bilang ng mga pamamaraan o mga obserbasyon upang mag-ipon ng sapat na mga tagapagpahiwatig na nagpapahiwatig na ginagamit ang VPN, at kahit na maaari itong maging mahirap maging 100% sigurado. Ang mga kumpanyang mayroong vested na interes sa hindi pagpayag ng paggamit ng VPN tulad ng Netflix at iba pang mga serbisyo ng streaming ay may buong koponan na nakatuon sa problemang ito. Sa iba pang mga kaso, maraming mga bansa sa silangang Europa at Gitnang Silangan) ay nagbabawal sa paggamit ng VPN at may magkakatulad na mga koponan upang palabasin ang mga gumagamit ng VPN.

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map