1. 背景:
防火长城在十八大期间前所未有的升级,导致大批OpenVPN不能访问了。
2. 原因分析:
OpenVPN象几乎所有的安全通信协议的缺陷一样,最开始的密钥交换阶段所有交互流量
都是明文的。防火长城或许发现了其中的一些特征(signature,比如某些字符串),这
些特征是其他应用协议中不会出现的。然后,GFW或许象当年封锁Tor 一样 [2],模仿
OpenVPN客户端去连接 服务器。尽管不太可能成功连接,但是可以确认服务器是否是
OpenVPN。然后的动作可以想象:TCP RST 或者封地址,甚者有可能有串联的设备动态
丢包了。
3. 应对方法(之一):
1. 背景:
防火长城在十八大期间前所未有的升级,导致大批OpenVPN不能访问了。
2. 原因分析:
OpenVPN象几乎所有的安全通信协议的缺陷一样,最开始的密钥交换阶段所有交互流量
都是明文的。防火长城或许发现了其中的一些特征(signature,比如某些字符串),这
些特征是其他应用协议中不会出现的。然后,GFW或许象当年封锁Tor 一样,模仿
OpenVPN客户端去连接 服务器。尽管不太可能成功连接,但是可以确认服务器是否是
OpenVPN。
3. 应对方法(之一):
既然密钥交换过程容易被发现,我们就不做密钥交换了吧,使用预先商定的密钥。尽管
2 matches
Mail list logo
