多家国外VPN服务商向用户发出通知,由于IP地址屏蔽等原因,在中国将无法使用其提供的VPN服务。文中还称,中国工信部此前曾有规定,在国内提供VPN服务的公司必须注册登记,未登记的公司将不受国内法律保护。
作为一项互联网基础协议,VPN在公用网络中承担着“虚拟专用线路”的作用,是世界上大多数跨地区的商业公司、学术机构、政府单位内部相互连接的不二之选。这项服务如果失效,造成的经济、政治损失将无以估量。
不过,由于协议开放性和互联网基础设施的不牢靠性,总有许多方法可以短暂或长期的阻碍它。比如最近那几家发通知的服务商Astrill、Tech Runo等,不就是因为IP遭屏幕嘛。网上有不少相关分析,雷锋网将在这篇文章中汇总,告诉大家——一个VPN服务是如何失效的。
DNS污染
DNS污染是针对那些低水平或经过异化的VPN服务。通常来说,一个正常的VPN服务应该都会集成DNS服务的,这样所有上网的请求都是在服务器上进行。不过一些低质的VPN木有集成,那么DNS解析就需要在本机上进行。这时,如果本机的运营商网络中,DNS服务被污染,你的VPN自然形同于无。
而在国内还有一种中转形式的VPN服务非常常见,它们的上网流程是这样“本机——国内服务器——海外服务器——网站”。这个过程中,第一步、第二步都很容易受DSN污染影响,原理和前边的低质VPN一致。
流量特征分析
可能大家经常会发现,使用VPN服务时,并不是那么稳定,有时能连有时不能连;或者需要用非常奇怪的端口;或者还需要安装客户端等等。这可能是因为你的VPN服务被一种名为“流量特征分析”的技术发现(专业的使法,叫做深度数据包检测)。
在比特空间里,所有的流量都带有特征,比如用什么协议传输、用什么协议加密,都会加上一定的识别比特。VPN也不例外,无论是明文的PPTP还是密文的L2TP、SSL VPN,其识别特征总是一定的。
很容易可以总结出一些规律,80端口是明文或证书的,433端口是SSL的,随机端口可能是软件,小流量是私人用,大流量就是公司或团队服务。通过这些规律,可以很容易发现那些“不正规”的VPN服务,然后直接屏蔽IP和DNS解析,没法用了。
内容分析
有时你可能还会发现,即使一个小流量、非标准端口的VPN服务也并不稳定。如果这个VPN是PPTP形式的,那么很可能是在前边的特征分析后,对数据包进行了拆包,将里边传输的内容拎出来单独分析。
SSL VPN也未必可靠,在NSA的棱镜计划就已经曝光,SSL加密被破解,相关传输内容也可单独拎出来做分析。
再往高了走,那些技术都不是用来大规模利用的,所以对于小型或个人VPN服务来说不太需要去在意。
