无日志 VPN,例如 ExpressVPN,声称即使被询问,它们也无法告诉当局您的真实 IP。他们声称:
没有连接日志。从不记录连接时间戳、会话持续时间、您的源 IP 地址或您的计算机在连接到 VPN 时假定的 ExpressVPN IP 地址。
那么在这种情况下,即使他们愿意,他们也无法共享您的真实 IP?使用这样的 VPN 是否 100% 安全?
可以追踪无日志 VPN 吗?
信息安全
虚拟专用网
匿名
2021-08-24 09:18:33
1个回答
这是绝对可能的。
流量分析攻击
即使 VPN 对他们不记录的声明是诚实的,他们的上游 ISP 肯定会记录。他们不这样做是闻所未闻的。对于 VPN(与 Tor 相对),入口和出口通过同一个 ISP,允许进行微不足道的流量分析攻击。我在这个答案中解释了一点。采取以下一系列事件,ISP 是 VPN 的上游 ISP(或代理):
- ISP 看到
203.0.113.42在 t+0 发送了 253 个字节的数据。 example.com/foo.htmlISP 看到代理服务器在 t+1发送了一个 253 字节的请求。- ISP 看到
example.com在 t+2 发送了一个 90146 字节的回复。 - ISP 看到
203.0.113.42在 t+3 收到一个 90146 字节的回复。
由此,实现203.9.113.42连接到变得微不足道example.com/foo.html。这是一种流量分析攻击,特别是流量关联攻击。几乎所有 ISP 都通过 NetFlow 和类似的无处不在的系统保存此类信息。
网络堆栈问题
VPN还有另一个问题。您必须意识到,虚拟专用网络这个术语现在更像是一个营销术语。VPN 在设计时从未考虑到匿名性。VPN 中的“私有”是指在RFC 1918中指定的 IANA 保留的私有地址。这并不意味着“隐私权”或类似的东西。它的设计目的是连接两个系统并将它们作为具有本地(私有)IP 地址的虚拟网络接口相互公开。这有几个问题:
- 您的网络堆栈已“暴露”,因此您的内核中的漏洞可能会被利用。
- 出于同样的原因,TCP/IP 指纹识别可以唯一地识别您,即使在 VPN 之后也是如此。
- 您被迫与大量不受信任的用户使用相同的 NAT,从而允许他们间接攻击您,有时甚至允许他们发现诸如您的主机名之类的东西。
可视化问题
以图表的形式直观地了解这一切是如何工作的很有用。单线代表你家IP下的流量,双线代表不同IP的流量。流量关联攻击涉及将两种流量的活动(时间和大小)关联起来。
普通连接如何工作:
Client ----[Client ISP]----+
|
Server <---[Server ISP]----+
VPN的工作原理:
Client ----[Client ISP]---[ ]----> VPN
[VPN ISP] |
Server <===[Server ISP]===[ ]=======+
Tor如何工作:
Client ----[Client ISP]---[ ]--> Node1
[Node1 ISP] |
+======[ ]======+
|
+======[ ]==> Node2
[Node2 ISP] |
+======[ ]======+
|
+======[ ]==> Node3
[Node3 ISP] |
Server <===[Server ISP]===[ ]======+
在此图中,您可以看到 VPN 的 ISP 是如何将两个连接关联起来的,而在 Tor 之类的混合网络中,每个节点的 ISP 都必须协作才能有机会对某人进行去匿名化。这并非不可能,在任何给定时间可以看到大部分互联网的对手可能能够在一定比例的时间内完成这一任务。然而,这很难做到,而且 Tor 协议包括许多特性(包括已部署的和正在积极开发中的),这使得这比现在更难。
另一个需要记住的重要事情是 Tor 会定期切换它使用的节点。虽然第一个节点保持不变以避免所谓的 Sybil 攻击,但其他两个节点最多每 10 分钟更改一次,或者在访问不同域时更改。这减少了最终节点随着时间的推移看到过多流量的机会。另一方面,VPN 自然会成为静态目标。
这一切意味着什么
- 使用 VPN(或代理)并不能保护您免受 VPN 的 ISP 泄露其日志的影响,即使 VPN 服务对其无日志记录政策完全诚实。
- 您的网络堆栈对您连接的任何第 3 方服务器公开和可见,从而允许潜在的利用和 TCP/IP 指纹识别。
- Tor 等匿名网络提供一定程度的流量相关保护并隐藏您的网络堆栈,尽管与所有系统一样,它并不完美。
如果你需要匿名,你应该在没有 VPN 的情况下使用 Tor,除非需要 VPN 来绕过 Tor 无法绕过的防火墙,否则将是多余的。
其它你可能感兴趣的问题