OpenVPN 协议不会试图隐藏它的存在。协议本身在文档末尾有简要说明。请注意，即使您设法混淆了协议本身，您的 ISP 也有可能确定您正在使用使用流量指纹识别的 VPN 。更不用说，您使用某种隧道的事实可以从仅使用加密协议连接到所有 Internet 活动的单个 IP 地址的行为中推断出来。

流量混淆

有两种主要方法可以防止协议立即被标记为 OpenVPN 流量，但是这两种方法都不会破坏高级流量指纹识别。此外，这两种方法都需要客户端和服务器的支持，因此随机的商业 VPN 不太可能与此兼容。限制流量识别的两种主要方式是：

• 静态密钥- 通常，OpenVPN 与远程服务器建立 TLS 连接以交换临时会话密钥，然后用于加密 VPN 协议。此密钥交换表明正在使用 OpenVPN。静态密钥是存储在客户端和服务器上的预共享密钥。如果它们安全地交付给双方，那么该密钥可以直接用于加密 VPN 流量，而无需任何密钥交换。不幸的是，静态密钥必然意味着您将失去前向保密的加密属性。

• Obfsproxy - 由Tor Project开发，obfsproxy 是一种可插拔传输，它使用各种方法透明地混淆流量。它专门设计用于难以识别正在使用的协议以妨碍自动阻止。虽然最初是专为 Tor 设计的，但 obfsproxy可以与 OpenVPN 一起使用。

无论您做什么，您很可能都无法阻止正在分析流量的人发现您正在通过某种加密隧道进行连接。您可能能够隐藏它是专门的 OpenVPN 流量，并且您可能能够欺骗自动机器分析，但不能欺骗流量本身的实际人工分析。记住这一点。

威胁建模

您应该制定一个威胁模型。问问自己为什么要隐藏 VPN 的存在（避免所谓的会员归属）。一些通用的威胁模型：

• 避免审查- 在某些制度下，VPN 被 ISP 自愿阻止或由于广泛的政府审查而被阻止。您可能想要混淆协议以绕过过滤器并获得对 Internet 的无限制访问。对于这种威胁模型，您只需要走得足够远以防止自动检测。如果只是在不同的端口上运行 VPN 就足够了，那么就这样做。如果您需要完全混淆流量以避免 DPI，请改为这样做。无需让人工分析难以发现流量，因为没有人会实时监控流量并主动允许或阻止给定资源。

• 看起来不起眼- 您可能会投机取巧地向对手透露尽可能少的信息。虽然泄露所有未加密的流量更糟糕，为什么不进一步减少信息并隐藏流量已加密的事实呢？如果您的对手使用自动日志记录来检测 VPN 流量，则解决方案与避免审查的解决方案相同。只需将您的流量更改为足以通过机器，您就可以自由回家了。如果你想防止人工分析，那么不幸的是，你不走运。没有实用的方法可以隐藏您正在使用某种加密隧道连接到具有访问流量日志的智能且受过教育的对手。

• 避免法律问题- 在某些司法管辖区，仅使用任何类型的加密隧道都可能是完全非法的。在处罚很高且法律得到积极执行的情况下，您将面临更大的问题。您应该避免使用所有由政府运营或有同情心的 ISP。这意味着使用来自附近国家的地下网络或无线网络。您还应该聘请律师来获得专业的法律建议，或者至少在Law Stack Exchange上提出一些问题。虽然他们不提供法律建议，但他们可以回答某些问题并引用相关法律来帮助您提高理解。