Представляем AmneziaWG для NymVPN

WireGuard и AmneziaWG

WireGuard

WireGuard — это протокол зашифрованной маршрутизации, известный своей эффективностью, минимальной кодовой базой и низким расходом данных. NymVPN выбрал его для своего быстрого режима, чтобы оптимизировать децентрализованную маршрутизацию более эффективно, чем такие альтернативы, как OpenVPN или IPSec. Ознакомьтесь с подробным разбором WireGuard от Nym, чтобы узнать, что делает этот протокол таким оптимальным.

AmneziaWG

AmneziaWG — это форк wireguard-go (официальной пользовательской версии WireGuard). Он создан, чтобы защитить от блокировки VPN через глубокий анализ пакетов (DPI).

Благодаря использованию дополнительных методов обфускации для маскировки VPN-трафика, AmneziaWG позволяет VPN-трафику растворяться в общем потоке интернет-трафика. Способность AmneziaWG маскировать свой VPN-трафик обеспечивает дополнительный уровень защиты для пользователей, которым нужен надёжный доступ к неограниченному интернет-контенту без риска блокировки или ограничения их VPN-соединения. Важно, что всё это достигается при сохранении упрощённой архитектуры WireGuard и высокой производительности, гарантируя, что пользователи продолжат пользоваться той же скоростью и эффективностью, которыми так известен WireGuard.

Итак, как технологии цензуры идентифицируют и блокируют VPN и как Amnezia помогает это обойти?

Как блокируют VPN?

Так же как метаданные являются пищей для онлайн-слежки, они же используются странами и интернет-провайдерами для блокировки использования VPN с целью обеспечения ограничений цензуры. Даже когда содержимое нашего онлайн-трафика зашифровано, остаётся много данных, которые можно прочитать: IP-адреса отправителя и получателя, временные метки, продолжительность соединений и т.д. Эти метаданные могут быть объединены для отслеживания наших коммуникаций, действий и личной информации с течением времени. IP-адреса также используются интернет-цензорами для блокировки доступа к определённым доменам.

То же самое происходит и при использовании VPN: хотя наш реальный IP скрыт за сервером VPN, к нашему трафику привязан публичный IP-адрес компании-провайдера. Это означает, что страны или интернет-провайдеры, применяющие меры цензуры, могут определить, когда люди используют известные VPN-сервисы. Многие VPN-сервисы сейчас занесены в чёрные списки в таких странах, как Китай, Россия и Индия, что значительно ограничивает инструменты для доступа людей к необходимой информации.

Теперь представьте, что вы обратились к децентрализованному VPN, такому как NymVPN, за прокси-сервисом, который не так легко блокируется слежкой или цензурой. По сравнению с серверами крупных централизованных VPN-компаний, сеть независимых операторов Nym затрудняет идентификацию IP-адресов операторов нод как части VPN-сети. Однако даже децентрализованный VPN всё ещё может быть идентифицирован с помощью других методов слежки, помимо занесения в чёрный список IP-адреса VPN-сервера или цензурируемого веб-сайта. Одним из таких методов является глубокий анализ пакетов.

Что такое глубокий анализ пакетов (DPI)?

DPI — это метод анализа сетевого трафика путём инспекции пакетов данных при их прохождении через сеть. В открытых сетях или сетях, контролируемых интернет-провайдерами, незашифрованный трафик может быть прочитан, в то время как VPN шифруют данные для их защиты. Однако DPI всё ещё может распознавать VPN-протоколы, обнаруживая уникальные паттерны пакетов или «сигнатуры» в формате шифрования. Это позволяет сетям со строгой цензурой или политиками фильтрации идентифицировать и блокировать VPN-трафик, ограничивая тем самым доступ к этим сервисам.

Хотя протокол WireGuard славится своей скоростью и эффективностью, его отличительная сигнатура пакетов может сделать его уязвимым для такого обнаружения и блокировки. Здесь на помощь приходит AmneziaWG.

Как AmneziaWG противостоит DPI?

Как мы видели, DPI работает путём анализа метаданных маршрутизируемого трафика для выявления уникальных сигнатур таких протоколов, как WireGuard или OpenVPN, используемых VPN-приложениями. AmneziaWG реализует несколько методов для дополнительной маскировки VPN-трафика и избежания обнаружения. Каждый из них касается части метаданных в трафике WireGuard, которые могут сделать его заметным для систем наблюдения за цензурой.

Путём стратегического изменения характеристик пакетов в процессе установления соединения AmneziaWG помогает маскировать идентифицируемые сигнатуры, снижая риск обнаружения и блокировки.

Размеры пакетов

Первый способ, которым DPI-слежка определяет протокол WireGuard — это уникальные размеры пакетов при «рукопожатии» (handshake). В зашифрованной маршрутизации «рукопожатие» — это просто этап, на котором стороны зашифрованного обмена устанавливают безопасное соединение для обмена ключами шифрования.

В AmneziaWG перед инициированием «рукопожатия» могут отправляться ложные, или «мусорные», пакеты, причём как их количество, так и длина настраиваются. Кроме того, к сообщениям инициирования «рукопожатия» и ответа на него могут быть добавлены ложные байты, что затрудняет идентификацию соединения.

Заголовки

Второй способ идентификации WireGuard через DPI — это уникальный тип заголовка зашифрованных пакетов. По умолчанию пакеты данных WireGuard используют один и тот же формат заголовка, что означает, что зашифрованный трафик разных пользователей может быть идентифицирован как использующий один и тот же протокол шифрования.

В AmneziaWG четыре значения типа заголовка также могут быть переназначены на альтернативные значения для дополнительного усложнения. По сути, это означает, что разные реализации AmneziaWG имеют разные значения заголовков, что чрезвычайно затрудняет их ассоциацию на основе универсальной структуры заголовка.

Если добавление ложных пакетов требует изменений только на стороне клиента, то переназначение типов заголовков и модификация сообщений при «рукопожатии» уже требуют, чтобы и клиент, и сервер работали на AmneziaWG с одинаковыми настройками.

Реализация AmneziaWG в NymVPN

Для NymVPN мы выбрали клиентскую реализацию AmneziaWG, которая эффективно повышает приватность без необходимости настройки на стороне сервера, предлагая оптимизированное и эффективное решение, которое тем не менее обеспечивает улучшенную защиту от обнаружения. Это означает, что в NymVPN ложные пакеты добавляются перед началом «рукопожатия», но заголовки при этом не изменяются.

Как воспользоваться AmneziaWG в NymVPN?

Всё просто: скачайте NymVPN, получите анонимный код доступа и включите быстрый режим. AmneziaWG теперь является протоколом зашифрованной маршрутизации по умолчанию для всего трафика в этом режиме. Так что, где бы вы ни находились и что бы ни искали, NymVPN не позволит цензурным технологиям легко нацелиться на ваш трафик.

Что дальше в области противодействия цензуре в NymVPN?

AmneziaWG — это лишь начало масштабного исследовательского проекта в Nym по созданию самой современной технологии VPN, устойчивой к цензуре. Nym будет постоянно добавлять новые функции, чтобы сделать соединения через NymVPN более безопасными и устойчивыми к блокировкам.