Представляем AmneziaWG для NymVPN

WireGuard и AmneziaWG

WireGuard

WireGuard — это протокол зашифрованной маршрутизации, известный своей эффективностью, минимальной кодовой базой и низким расходом данных. NymVPN выбрал его для своего быстрого режима, чтобы оптимизировать децентрализованную маршрутизацию более эффективно, чем такие альтернативы, как OpenVPN или IPSec. Ознакомьтесь с подробным разбором WireGuard от Nym, чтобы узнать, что делает этот протокол таким оптимальным.

AmneziaWG

AmneziaWG — это форк wireguard-go (официальной пользовательской версии WireGuard). Он создан, чтобы защитить от блокировки VPN через глубокий анализ пакетов (DPI).

By incorporating additional obfuscation techniques to disguise VPN traffic, AmneziaWG allows VPN traffic to blend into the background of internet traffic. AmneziaWG’s ability to mask its VPN traffic provides an additional layer of protection for users who need reliable access to unrestricted internet content without the risk of their VPN connection being blocked or throttled. Importantly, this is all accomplished while retaining WireGuard’s simplified architecture and high performance, ensuring that users continue to benefit from the same speed and efficiency for which WireGuard is well known.

So how do censorship technologies identify and block VPNs, and how does Amnezia help bypass this?

How are VPNs blocked?

Just as metadata is the fodder of online surveillance, it is also what countries and ISPs use to block the use of VPNs to enforce censorship restrictions. Even when the content of our online traffic is encrypted, there is a lot of data that is legible about it: the IP addresses of sender and recipient, timing signatures, connection durations, etc. This metadata can be compiled to track our communications, activities, and personal information over time. IP addresses are also what internet censors use to block access to specific domains.

The same is true when using a VPN: while our personal IP might be hidden behind the VPN proxy server, the public IP address of the VPN company is visibly attached to our traffic. This means that countries or ISPs enforcing censorship measures can identify when people are using known VPN services. Many VPN services are now blacklisted in countries like China, Russia, and India, significantly limiting the tools available for people to access needed information.

Now imagine that you’ve turned to a decentralized VPN like NymVPN for a proxy service that is less easily blocked by surveillance or censorship. Compared to the servers of larger, centralized VPN companies, Nym’s network of independent operators makes it harder to identify the IPs of node operators as part of a VPN network. However, even a decentralized VPN can still be identified through other surveillance techniques beyond blacklisting the IP of the VPN server or censored website. One of these techniques is Deep Packet Inspection.

What is Deep Packet Inspection (DPI)?

DPI is a technique for analyzing network traffic by inspecting data packets as they move through a network. On open or ISP-controlled networks, unencrypted traffic can be read, while VPNs encrypt data to protect it. However, DPI can still recognize VPN protocols by detecting unique packet patterns or “signatures” in the encryption format. This allows networks with strict censorship or filtering policies to identify and block VPN traffic, thus restricting access to these services.

While the WireGuard protocol is renowned for its speed and efficiency, its distinct packet signature can make it vulnerable to such detection and blocking. Здесь на помощь приходит AmneziaWG.

Как AmneziaWG противостоит DPI?

Как мы видели, DPI работает путём анализа метаданных маршрутизируемого трафика для выявления уникальных сигнатур таких протоколов, как WireGuard или OpenVPN, используемых VPN-приложениями. AmneziaWG реализует несколько методов для дополнительной маскировки VPN-трафика и избежания обнаружения. Каждый из них касается части метаданных в трафике WireGuard, которые могут сделать его заметным для систем наблюдения за цензурой.

Путём стратегического изменения характеристик пакетов в процессе установления соединения AmneziaWG помогает маскировать идентифицируемые сигнатуры, снижая риск обнаружения и блокировки.

Размеры пакетов

Первый способ, которым DPI-слежка определяет протокол WireGuard — это уникальные размеры пакетов при «рукопожатии» (handshake). В зашифрованной маршрутизации «рукопожатие» — это просто этап, на котором стороны зашифрованного обмена устанавливают безопасное соединение для обмена ключами шифрования.

В AmneziaWG перед инициированием «рукопожатия» могут отправляться ложные, или «мусорные», пакеты, причём как их количество, так и длина настраиваются. Кроме того, к сообщениям инициирования «рукопожатия» и ответа на него могут быть добавлены ложные байты, что затрудняет идентификацию соединения.

Заголовки

Второй способ идентификации WireGuard через DPI — это уникальный тип заголовка зашифрованных пакетов. По умолчанию пакеты данных WireGuard используют один и тот же формат заголовка, что означает, что зашифрованный трафик разных пользователей может быть идентифицирован как использующий один и тот же протокол шифрования.

В AmneziaWG четыре значения типа заголовка также могут быть переназначены на альтернативные значения для дополнительного усложнения. По сути, это означает, что разные реализации AmneziaWG имеют разные значения заголовков, что чрезвычайно затрудняет их ассоциацию на основе универсальной структуры заголовка.

Если добавление ложных пакетов требует изменений только на стороне клиента, то переназначение типов заголовков и модификация сообщений при «рукопожатии» уже требуют, чтобы и клиент, и сервер работали на AmneziaWG с одинаковыми настройками.

Реализация AmneziaWG в NymVPN

Для NymVPN мы выбрали клиентскую реализацию AmneziaWG, которая эффективно повышает приватность без необходимости настройки на стороне сервера, предлагая оптимизированное и эффективное решение, которое тем не менее обеспечивает улучшенную защиту от обнаружения. Это означает, что в NymVPN ложные пакеты добавляются перед началом «рукопожатия», но заголовки при этом не изменяются.

Как воспользоваться AmneziaWG в NymVPN?

Всё просто: скачайте NymVPN, получите анонимный код доступа и включите быстрый режим. AmneziaWG теперь является протоколом зашифрованной маршрутизации по умолчанию для всего трафика в этом режиме. Так что, где бы вы ни находились и что бы ни искали, NymVPN не позволит цензурным технологиям легко нацелиться на ваш трафик.

Что дальше в области противодействия цензуре в NymVPN?

AmneziaWG — это лишь начало масштабного исследовательского проекта в Nym по созданию самой современной технологии VPN, устойчивой к цензуре. Nym будет постоянно добавлять новые функции, чтобы сделать соединения через NymVPN более безопасными и устойчивыми к блокировкам.