VPN与非VPN流量

于 2024-12-21 09:59:55 发布
阅读量1.1k 收藏 21
点赞数 18
文章标签: 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_55924178/article/details/144294679
版权

VPN流量与非VPN流量定义

  • VPN流量:VPN流量通过IPSec、PPTP或SSL/TLS等协议进行加密,确保数据在传输过程中的隐私和安全。因此,VPN流量的内容是加密的,无法直接通过分析数据包的内容来识别具体的应用。
  • 非VPN流量:非VPN流量可能包含未加密的数据,也可能使用其他加密方式(如HTTPS),但其加密方式和目的与VPN不同。

OpenVPN

OpenVPN是一个基于OpenSSL库的开源虚拟专用网络(VPN)协议,它允许企业或个人安全地通过公共网络(如互联网)传输数据。OpenVPN支持多种操作系统,包括Windows、Linux、macOS等,并且提供了多种身份验证方式和加密选项,确保数据传输的安全性。

基于主被动结合的 OpenVPN 识别与检测论文

本文通过深入分析OpenVPN的网络通信协议和数据报文,发现即使是在已经采取混淆策略的基础上,运营商和网络管理者依然具备检测并阻断VPN流量的能力。本文提出了一个检测系统,结合被动监测和主动探测方法,可以有效地在现网环境中检测OpenVPN流量。

OpenVPN 的工作模式

OpenVPN 基于加密隧道协议实现通信,将原始 IP 数据包封装在 OpenVPN 协议数据包中,通过隧道发送或接受封装后的数据包。为了实现安全通信,OpenVPN 利用OpenSSL 库 [3] 对数据包进行加密,并提供两种认证和密钥交换的方法以建立通信双方的信任:

(1) 通信双方预先共享静态密钥;

(2)基于 TLS 的协商机制进行密钥交换。

其中,后者已被大多数商业 VPN 服务所采用,这种方式在连接建立时会使用 TLS 握手协议进行协商,协商的部分也同样作为载荷封装在 OpenVPN 的协议包内部。

OpenVPN 的格式

OpenVPN 可以分为TCP和UDP两种传输模式,这两种传输模式的数据包头格式如图表1所示。每个 OpenVPN 的数据包会在数据包头中设置消息类型的操作码(Opcode)和本次会话使用的TLS会话密钥。如图表2所示,操作码对应了客户端和服务器端不同通信阶段传输的消息类型,如操作码1代表客户端发起的重置请求。

OpenVPN 的检测方法

作为一种最流行的商业VPN软件/协议,目前已有一些工作研究OpenVPN的检测方法。一类工作[4]参考WHOIS,rDNS等信息,提取TCP协议中的option等字段作为VPN的指纹进行指纹识别。另一类工作[5, 6]则是使用机器学习模型利用连接时长、时间间隔等特征进行的流级别被动检测,不过这类工作通常只是在实验环境下(如使用实验数据集ISCXVPN2016[7])进行测试。

OpenVPN 的混淆技术

同时,为了绕过现有的检测机制,越来越多软件开始使用 OpenVPN 的混淆技术,常用的混淆策略包括:(1) XOR 补丁(使用预共享的密钥对数据包中的某些字节进行异或操作,颠倒字节顺序);(2) 使用加密隧道(采用 Obfsproxy等混淆隧道逃逸深度包检测机制);(3)使用专有协议(开发专有的混淆协议,在 OpenVPN 协议的基础上添加专有的混淆层,如Astrill[8])。

针对 OpenVPN 的检测架构概述

基于 OpenVPN 的通信特征,本文提出一种主被动结合的、实时识别 OpenVPN 流量的检测框架,架构如图表3所示,主要包括过滤器(Filter)和探测器(Prober)[9]两部分。首先,过滤器实时检测通过的网络流量,检测依据是本文发现的 OpenVPN 独特的网络通信特征。过滤器标记疑似为 OpenVPN 服务器的目的地址,并将这部分信息传递给探测器。然后,探测器针对疑似服务器执行主动探测,通过发送精心设计的探测数据包,引起 OpenVPN 协议特定的行为以确认服务器信息,最终完成 OpenVPN 服务器的识别确认。

IPSEC

对数据包进行加密,只能看到ESP信息

VPN与非VPN流量分类

流超时值(Flow Timeout Value)是指在流量分类中,用于确定一个网络流何时结束的时间阈值。具体来说,当一个网络流中的数据包在指定的时间内没有新的数据包到达时,该流被认为是已经结束的。这个时间阈值可以根据具体的应用场景和需求进行调整。

流超时值的选择

  • 较短的流超时值可能导致流被过早地截断,从而丢失一些重要的数据包信息,这可能会影响特征的提取和分类的准确性。
  • 较长的流超时值可能会导致流被延迟终止,从而包含更多不必要的数据包,这可能会引入噪声和不相关的信息,降低分类的准确性

  1. 活跃时间(active):指一个流在开始传输数据包之前处于空闲状态的时间。也就是说,从流开始到第一个数据包发送出去之间的时间间隔。

  2. 空闲时间(idle):指一个流在停止传输数据包之后再次开始传输数据包之前的时间。也就是说,从流的最后一个数据包发送出去到下一个数据包发送出去之间的时间间隔

空闲时间产生的原因:

数据传输间隙:在网络通信中,数据传输并不是连续的。发送方和接收方可能在某些时间段内没有数据要传输,从而导致流在一段时间内处于空闲状态。

流开始到发送第一个数据包之间的时间延迟

  1. 连接建立过程:在许多网络协议中,数据传输之前需要进行连接建立。例如,在TCP协议中,客户端和服务器之间需要进行三次握手(SYN-SYN-ACK)来建立连接。这个过程会消耗一定的时间。

  2. 应用层延迟:应用程序在决定发送数据之前可能需要一些时间来准备数据。例如,用户在浏览器中输入URL并按下回车键后,浏览器需要解析URL、发起DNS查询、建立TCP连接等步骤,这些步骤都会产生延迟。

  3. 网络延迟:数据包在网络中传输时也会受到网络延迟的影响。例如,数据包在路由器之间的传输时间、交换机的处理时间等都会导致延迟。

  4. 系统调度:操作系统和其他正在运行的进程可能会影响数据包的发送时间。例如,操作系统可能需要调度其他任务,导致数据包的发送被延迟。

  5. 随机性:网络环境中存在一定的随机性,例如网络拥塞、丢包重传等,这些都可能导致数据包的发送时间不确定。

空闲时间的重要性

流量模式的差异:加密流量和非加密流量在传输模式上存在显著差异。非加密流量通常具有更规律和可预测的传输间隔,因为它们遵循标准的协议和通信模式。而加密流量由于使用了加密技术,可能会引入更多的随机性和不规则性,导致空闲时间的分布也更加复杂和不可预测。

VPN 可以使用多种安全协议,包括 IPsec、PPTP(点对点隧道协议)、L2TP(层2隧道协议)和 SSL/TLS。

m0_55924178
关注
网络编程实战(17)一文读懂VPN以及OpenVPN实现原理
二进制君
08-23 448
ISP(Internet Service Provider,互联网服务提供商)是提供互联网接入服务的公司或组织。ISP 通过各种技术(如光纤、DSL、卫星或无线)将互联网连接到家庭或企业。由于国内的一些原因,有时候我们访问Google、youtobe等国外网站,需要通过一些代理软件才能访问,俗称科学上网。
流量分析方面的公开数据集
weixin_44275663的博客
08-09 5781
流量分析方面的公开数据集(部分) 1. ISCXVPN2016 我们捕获了一个常规会话和一个通过 VPN 的会话,因此我们总共有 14 个流量类别:VOIP、VPN-VOIP、P2P、VPN-P2P 等。流量是使用 Wireshark 和 tcpdump 捕获的,生成的数据总量为 28GB。对于 VPN,我们使用了外部 VPN 服务提供商并使用 OpenVPN(UDP 模式)连接到它。为了生成 SFTP 和 FTPS 流量,我们还使用了外部服务提供商和 Filezilla 作为客户端。 下载链接: http
是否对VPN连接的网络流量进行了深度包检查?
ZOMO的博客
02-26 1193
*什么是深度包检查 (Deep Packet Inspection)**?简单来说就是通过对传输的数据包内容进行分析的方法来实现网络安全的一种技术手段。它可以帮助安全管理人员识别潜在的威胁、阻止未经授权的访问以及确保数据的完整性和可信度等目的。DPI 主要包括以下功能:* 检查协议类型和数据流的内容;* 分析应用程序特征和网络活动规律;* 监控网络中潜在的不正常行为和入侵事件.
网络安全——流量分析
热门推荐
W981113的博客
01-14 1万+
一、题目背景 某公司内网网络被黑客渗透,简单了解,黑客首先攻击了一台web服务器,破解了后台的账户密码,随之利用破解的账号密码登陆了mail系统,然后获取了vpn的申请方式,然后登陆了vpn,在内网pwn掉了一台打印机,请根据提供的流量包回答下面有关问题 二、关卡列表 1 某公司内网网络被黑客渗透,请分析流量,给出黑客使用的扫描器 2 某公司内网网络被黑客渗透,请分析流量,得到黑客扫描到的登陆后台是(相对路径即可) 3 某公司内网网络被黑客渗透,请分析流量,得到黑客使用了什么账号密码登陆了web后台(形式:
是否对VPN连接的网络流量进行了监控和分析?
ZOMO的博客
03-12 1504
随着网络安全日益受到重视, 防火墙作为一种重要的网络安全防护手段已经广泛地应用于各种场景中. 然而在实际网络环境中,如何有效地管理并分析防火墙策略仍然是一个关键挑战之一.本文将讨论针对VPN连接的网络流量的防火策略及其实践应用中的问题并提出一些可能的解决方法以改善相关状况.。
对于VPN流量的规则排序问题:VPN相关流量的规则排序未优化
ZOMO的博客
12-30 1126
随着网络技术的不断发展,越来越多的企业和组织开始使用VPN(虚拟专用网络)来保障网络安全和数据隐私。但是,在实现VPN连接的过程中,常常出现VPN相关流量的规则排序未优化的情况,这可能导致防火墙策略管理出现一定程度的混乱和风险。本文将对这个问题进行分析并提出相应的解决方案。
VPN流量监控不足:VPN流量的安全性和异常行为监控不充分
ZOMO的博客
01-30 1684
近年来,随着互联网的飞速发展,网络安全越来越受到重视。虚拟专用网络VPN)作为一种常用的互联网通信手段被广泛应用于企业、个人等领域以满足数据安全及隐私保护的需求。然而,在实际应用中,企业对VPN流量监控和管理存在许多问题和漏洞。本文将针对这些问题进行分析并提出相应的解决措施以提高企业的安全性。
根据 IP 地址进行 VPN 分流(详细,亲测,通用)
weixin_45817413的博客
09-18 3830
根据 IP 地址进行 VPN 分流: 只需要将 VPN 的默认网关关闭,让访问外部网站的流量不再走 VPN,然后在路由表中为实验室的服务器 IP 添加一条路由到 VPN 的特殊规则。
Openvpn使用本地流量,没有经过服务器解决办法
henaiwobaobei的博客
06-03 976
客户端 client.ovpn代码。服务器server.conf代码。
OpenVPN加密连接
to_be_better_wen的博客
01-06 1366
OpenVPN加密模式
Docker搭建FRP+OPENVPN+Prometheus+Grafana 实现内网穿透以及流量监控
一條默默無聞的鹹魚的博客
06-17 2273
Docker搭建FRP+OPENVPN+Prometheus+Grafana 实现内网穿透以及流量监控。修改promethues.yml配置文件,Prometheus 添加openvpn的监控Job。2)配置 Prometheus 监控Node节点, 修改Prometheus主配置文件。​ 3. 安装Docker,启动Docker服务,设置开机自动启动。在安装完成后,在/root/下会生成一个以刚刚命名好的**​ Docker开始构建 **​ 放开防火墙开放端口: **​ 放开防火墙开放端口: **
H3C与VPN高级应用(二)ASA防火墙上实现IPSec VPN的原理与配置指南
洛秋的博客
07-21 901
IPSec(Internet Protocol Security)是一套用于在IP网络上进行安全通信的协议集,通过对数据包进行加密和认证,提供端到端的安全保障。IPSec主要包括两个阶段:ISAKMP/IKE阶段1和ISAKMP/IKE阶段2。ISAKMP/IKE阶段1:在此阶段,双方建立安全通道,协商加密算法和密钥交换方法。ISAKMP/IKE阶段2:在此阶段,双方使用阶段1生成的安全通道,协商IPSec SA(安全关联),用于保护实际数据传输。
是否对VPN连接的网络连接实施了速率限制和流量控制?
ZOMO的博客
03-16 1579
然而,在实际应用中,一些企业发现通过VPN连接的员工在使用内部网络资源时存在访问速度慢和不稳定的现象,这可能会影响正常的工作效率和企业形象。首先我们要明确的是,对企业内部的敏感数据和关键业务来说,适当的限速和流量控制在很大程度上是合理的并且是有必要的。1. 建立一套完善的VPN接入和使用管理规范,明确权限划分和责任归属以避免出现不必要的混乱和资源浪费的现象发生)。2. 根据不同部门和员工的角色设定不同的限速阈值以保证关键业务的顺畅运转和重要数据的保密性和完整性不受损失。
【GNN+加密流量C】VT-GAT: A Novel VPN Encrypted Traffic Classification Model Based on GAT
一个努力生活的人的博客
09-13 658
原文题目中文题目:VT-GAT:一种新的基于图注意力神经网络VPN加密流量分类模型发表书籍发表年份:2022作者:Hongbo Xulatex引用虚拟专用网(VPN)技术目前广泛应用于远程办公等各种场景。随着代理技术的发展,VPN流量识别对网络安全和管理的重要性日益凸显。与应用分类等其他任务不同,VPN流量只有一个流问题。此外,加密技术的发展也给VPN流量识别带来了新的挑战。为了解决上述问题,本文提出了一种基于图注意网络(GAT)的VPN流量图分类模型VT-GAT。
《基于深度学习的加密流量识别研究》-2022毕设笔记
abtgu的博客
05-30 3833
一、准备工作 (一) 毕设整体思路 首先使用VPN-noVPN构建数据集; 对数据集进行预处理; 设计模型,训练数据集; 预测数据,验证模型效果。 (二) 构建数据集 在构建数据集时,需要将连续流量切分成离散单元。 1. 流量切分方式 (1)常见的流量切分方式有:TCP连接、流(flow)、会话(session)、主机、服务。目前研究使用较多的时流和会话。 (2)流,指具有相同五元组(源IP,源端口、目的IP、目的端口、传输层协议)的所有包。 (3)会话,指双向流组成的所有包,即目的和源可以互换。 由
是否对VPN连接的网络流量进行了加密
ZOMO的博客
02-28 1182
VPN 提供商通常会提供三种加密类型以保护用户的数据通信安全:* **PPTP (Point-to-Point Encryption)** - 点到点加密(P2P):该类型的加密只能保证用户与 VPN 服务器之间的数据安全性和完整性;无法防止客户端设备或企业网络内部的窃听和攻击者入侵服务器的威胁;* **L2TP/IPSec** - L2TP / IPsec 是第二层隧道协议(L2TP)/互联网协议安全(IPSec),它们都采用加密技术来确保两个端点的身份验证和数据完整性的保障水平较高的网络安全性;
华为防火墙上配置ipsec vpn
Richardlygo的博客
08-27 1646
为了实现总部与分部之间的内网通讯,在防火墙上架设ipsec vpn,实现内网之间的加密通讯。 防火墙配置默认路由总部-FW分部-FW配置接口IP以及安全域分部-FW总部-FW在分部和总部的防护墙上添加地址条目总部-FW分部-FW添加安全策略,放行指定IP总部-FW分部-FWweb配置dhcp服务时需在接口上启用dhcp,否则无法创建dhcp服务ZB-FW需要注意,如果未配置策略则会出现路由不通总部-FW在总部-FW上配置本段接口、地址、对端地址、本端ID、预共享密钥总部-FW配置加密数据流,添加总部私网
使用 obfsproxy 混淆网络流量
陈春春的技术博客
02-04 5337
server端 obfsproxy scramblesuit --dest larry011.ddns.net:8080 --password npaojwppGwqXCkcK6YsKJwrcjwoXCud2 client 127.0.0.1:9899 client端 obfsproxy --data-dir=/tmp/scramblesuit-server scramblesuit --pas
VPN的作用、场景、原理一文明了
m0_70208894的博客
12-07 6839
VPN,即虚拟私人网络(Virtual Private Network),是一种通过公共网络(如互联网)创建安全连接的技术。它允许用户在不安全的网络环境中安全地传输数据,从而保护用户的隐私和数据安全。(就是说你直接使用互联网可能会被黑客监听数据,甚至修改数据,但是有了vpn就不用担心这些。
ubuntu openvpn
最新发布
02-20
### 安装和配置OpenVPN #### 准备工作 为了顺利安装并配置OpenVPN,在Ubuntu 22.04系统环境下,需准备如下资源[^1]: - 至少拥有一台带有sudo权限非root用户的Ubuntu 22.04服务器; - 配置好防火墙规则以允许必要的网络流量; - 另外设置一台独立运行的Ubuntu 22.04机器充当私人证书授权中心(CA)。 #### OpenVPN安装过程 执行以下命令来更新软件包列表以及安装OpenVPN及其依赖项: ```bash sudo apt update && sudo apt install openvpn easy-rsa -y ``` #### 创建私钥基础设施(PKI) 进入`/usr/share/easy-rsa`目录,并初始化PKI环境: ```bash cd /usr/share/easy-rsa/ cp vars.example vars vi vars ``` 编辑vars文件中的参数以匹配个人需求。之后构建CA及生成服务器密钥对: ```bash ./easyrsa init-pki ./easyrsa build-ca ./easyrsa gen-req server nopass ./easyrsa sign-req server server ``` #### 设置DH参数与TLS认证 生成Diffie-Hellman参数文件和静态 HMAC 文件用于增强安全性: ```bash ./easyrsa gen-dh openvpn --genkey --secret pki/private/tls-auth.key ``` #### 编辑Server Configuration File 创建或修改位于 `/etc/openvpn/server/server.conf` 的配置文件[^3]: ```bash port 1194 proto udp dev tun ca /usr/share/easy-rsa/pki/ca.crt cert /usr/share/easy-rsa/pki/issued/server.crt key /usr/share/easy-rsa/pki/private/server.key dh /usr/share/easy-rsa/pki/dh.pem server 10.8.0.0 255.255.255.0 ifconfig-pool-persist ipp.txt push "redirect-gateway def1 bypass-dhcp" push "dhcp-option DNS 8.8.8.8" keepalive 10 120 tls-auth /usr/share/easy-rsa/pki/private/tls-auth.key 0 cipher AES-256-CBC auth SHA256 comp-lzo user nobody group nogroup persist-key persist-tun status openvpn-status.log verb 3 ``` #### 启动服务并启用开机自启 完成上述步骤后启动OpenVPN服务并将其实现随系统自动加载: ```bash systemctl start openvpn@server.service systemctl enable openvpn@server.service ``` #### 开放防火墙端口 最后一步是调整防火墙设置以便让外部设备能够访问此OpenVPN服务: ```bash ufw allow 1194/udp echo 'net.ipv4.ip_forward=1' | sudo tee -a /etc/sysctl.conf sysctl -p ``` 以上即是在Ubuntu平台上部署OpenVPN所需的主要操作流程。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值