文章目录
前言
VPN的主要功能是将互联网流量封装在一个加密隧道中,并隐藏用户的IP地址。但是,近日发现一种名为TunnelVision的攻击方法,可以窃取几乎所有VPN应用的流量,除了安卓系统之外,几乎所有其他操作系统中的VPN应用目前都没有办法防御此类攻击。
研究人员指出,这种攻击技术可能从2002年就已存在,并且可能已经被发现并用于实战。
一、攻击方法详解
研究者发布的攻击演示视频(链接在文末)解释了TunnelVision的技术细节,“受害者的流量将被解密并直接路由到攻击者那里。攻击者可以读取、丢弃或修改泄漏的流量,而受害者仍然保持与VPN和互联网的连接。”
该攻击通过操纵分配IP地址给本地网络连接设备的DHCP服务器来实现。DHCP服务器中有一个名为“选项121”的设置,它允许服务器覆盖默认路由规则,这些规则会将VPN流量通过启动加密隧道的本地IP地址发送出去。通过使用选项121将VPN流量路由到DHCP服务器,攻击会将数据转移到DHCP服务器本身。来自Leviathan Security Group的研究人员解释道:
“攻击者在与目标VPN用户相同网络上运行一个DHCP服务器,并将攻击端配置为网关。当流量到达攻击者的网关时,攻击者可使用DHCP服务器上的流量转发规则将流量传递到合法网关,同时进行窥探。”
“攻击者使用DHCP选项121在VPN用户的路由表中设置路由,可以根据需要设置任意路由,也可以设置多个路由。通过推送比大多数VPN使用的/0CIDR范围更具体的路由,攻击者可以创建优先级高于VPN创建的虚拟接口路由的路由规则。攻击者可以设置多个/1路由来重建大多数VPN设置的0.0.0.0/0全部流量规则。”