WireGuard та AmneziaWG
WireGuard
WireGuard — це зашифрований маршрутизуючий протокол, відомий своєю ефективністю, компактним кодом та низькими витратами даних. NymVPN обрав його для свого швидкого режиму, щоб оптимізувати децентралізовану маршрутизацію більш ефективно, ніж альтернативи, такі як OpenVPN або IPSec. Перегляньте поглиблений аналіз Nym WireGuard, щоб дізнатися, що робить його таким оптимальним протоколом.
AmneziaWG
AmneziaWG є форком wireguard-go, офіційної реалізації WireGuard у просторі користувача, призначеною спеціально для захисту від блокування VPN за допомогою глибокого аналізу пакетів.
Включаючи додаткові методи заплутування для маскування VPN-трафіку, AmneziaWG дозволяє VPN-трафіку зливатися з фоном інтернет-трафіку. Здатність AmneziaWG приховувати свій VPN-трафік забезпечує додатковий рівень захисту для користувачів, яким потрібен надійний доступ до необмеженого інтернет-контенту без ризику блокування або уповільнення їх VPN-з'єднання. Важливо зазначити, що все це досягається при збереженні спрощеної архітектури та високої продуктивності WireGuard, забезпечуючи користувачам продовження отримання тієї ж швидкості та ефективності, за які WireGuard добре відомий.
Отже, як технології цензури визначають і блокують VPN, і як Amnezia допомагає обійти це?
Як блокуються VPN?
Так само, як метадані є їжею для онлайн-спостереження, вони також використовуються країнами та інтернет-провайдерами для блокування використання VPN для забезпечення обмежень цензури. Навіть коли вміст нашого онлайн-трафіку зашифрований, існує багато даних, які можна прочитати про нього: IP-адреси відправника та отримувача, часові підписи, тривалість з'єднання тощо. Ці метадані можна збирати, щоб відстежувати наші комунікації, дії та особисту інформацію з часом. IP-адреси також використовуються інтернет-цензорами для блокування доступу до певних доменів.
Та ж сама ситуація відбувається при використанні VPN: хоча наша особиста IP-адреса може бути прихована за проксі-сервером VPN, публічна IP-адреса компанії VPN явно прикріплена до нашого трафіку. Це означає, що країни або інтернет-провайдери, які застосовують заходи цензури, можуть визначати, коли люди користуються відомими VPN-сервісами. Багато VPN-сервісів зараз занесені до чорного списку в таких країнах, як Китай, Росія та Індія, що значно обмежує інструменти, доступні людям для отримання необхідної інформації.
Тепер уявіть, що ви звернулися до децентралізованого VPN, такого як NymVPN, для сервісу проксі, який важче заблокувати за допомогою спостереження або цензури. У порівнянні з серверами більших централізованих VPN-компаній, мережа незалежних операторів Nym ускладнює ідентифікацію IP-адрес операторів вузлів як частини VPN-мережі. Однак навіть децентралізований VPN все ще можна ідентифікувати за допомогою інших методів спостереження, окрім внесення IP-адреси VPN-сервера або заблокованого вебсайту до чорного списку. Однією з цих технологій є глибинна перевірка пакетів.
Що таке глибока перевірка пакетів (DPI)?
DPI — це технологія для аналізу мережевого трафіку шляхом перевірки пакетів даних, коли вони проходять через мережу. У відкритих або контрольованих провайдерами мережах незашифрований трафік може бути прочитаний, тоді як VPN шифрує дані для їх захисту. Однак DPI все ще може розпізнавати VPN-протоколи, виявляючи унікальні шаблони пакетів або «підписи» в форматі шифрування. Це дозволяє мережам із суворими політиками цензури або фільтрації виявляти та блокувати трафік VPN, тим самим обмежуючи доступ до цих сервісів.
Хоча протокол WireGuard відомий своєю швидкістю та ефективністю, його характерна сигнатура пакетів може зробити його вразливим до такого виявлення та блокування. Ось де вступає в гру AmneziaWG.
Як AmneziaWG протистоїть DPI?
Як ми бачили, DPI працює шляхом аналізу метаданих маршрутизованого трафіку, щоб визначити унікальні підписи протоколів, таких як WireGuard або OpenVPN, які використовуються додатками VPN. AmneziaWG реалізує кілька методів, щоб додатково ускладнити виявлення трафіку VPN і уникнути виявлення. Кожен стосується частини метаданих у трафіку WireGuard, яка може виділити його для цензурного спостереження.
Шляхом стратегічного модифікування характеристик пакетів під час процесу з’єднання, AmneziaWG допомагає приховати впізнавані підписи, зменшуючи ризик виявлення та блокування.
Розміри пакетів
Перший спосіб для моніторингу DPI ідентифікувати протокол WireGuard полягає у використанні унікальних розмірів пакетів даних під час ініціації рукопотискання. У зашифрованній маршрутизації рукопотискання — це просто крок, на якому сторони у зашифрованому обміні встановлюють безпечне з’єднання для обміну ключами шифрування.
За допомогою AmneziaWG можна надсилати приманки або «сміттєві» пакети перед початком рукопотискання, при цьому можна налаштовувати як кількість, так і довжину цих пакетів. Крім того, обманні байти можуть бути додані на початок як повідомлень ініціації рукопотискання, так і відповідей, що ускладнює ідентифікацію з’єднання.
Заголовки
Другий спосіб ідентифікувати WireGuard за допомогою DPI полягає у використанні унікального типу заголовка зашифрованих пакетів. За замовчуванням пакети даних WireGuard використовують однаковий формат заголовка, що означає, що зашифрований трафік різних користувачів можна ідентифікувати як такий, що використовує той самий протокол шифрування.
За допомогою AmneziaWG чотири значення типу заголовка також можна переназначити на альтернативні значення, щоб додати додаткову складність. Фактично, це означає, що різні AmneziaWG мають різні значення заголовків, що робить надзвичайно складним їх зв’язування на основі універсальної структури заголовка.
Хоча додавання підроблених пакетів вимагає лише зміни на стороні клієнта, переназначення значень типів заголовків і зміни в повідомленнях рукостискання вимагають, щоб як клієнт, так і сервер працювали на AmneziaWG з узгодженими налаштуваннями конфігурації.
Реалізація AmneziaWG в NymVPN
Для NymVPN ми обрали клієнтську реалізацію AmneziaWG, яка ефективно підвищує конфіденційність без потреби в конфігурації на стороні сервера, пропонуючи спрощене та ефективне рішення, що все ще забезпечує посилений захист від виявлення. Це означає, що з NymVPN під час ініціації рукопотискання вводяться фіктивні пакети, проте заголовки не змінюються.
Як скористатися перевагами AmneziaWG на NymVPN?
Це просто: завантажте NymVPN, отримайте анонімний код доступу та увімкніть Швидкий режим. AmneziaWG тепер є стандартним за замовчуванням протоколом шифрованої маршрутизації для всього трафіку в цьому режимі. Отже, незалежно від того, де ви знаходитесь у світі та що шукаєте, NymVPN забезпечує, щоб ваш трафік не був легко підданий впливу технологій цензури.
Що далі для протидії цензурі з NymVPN?
AmneziaWG — це лише початок масштабного дослідницького та розробницького проєкту у Nym, спрямованого на надання найсучаснішої технології VPN для протидії цензурі. Nym постійно додаватиме більше функцій, щоб забезпечити більш безпечне та стійке до блокувань з’єднання через NymVPN.