WireGuard và AmneziaWG
WireGuard
WireGuard là giao thức định tuyến mã hóa nổi bật với hiệu quả, mã ngắn gọn và chi phí dữ liệu thấp. NymVPN đã chọn giao thức này cho Chế độ Nhanh của mình để tối ưu hóa định tuyến phi tập trung một cách hiệu quả hơn những lựa chọn thay thế như OpenVPN hoặc IPSec. Hãy xem phân tích sâu về WireGuard của Nym để tìm hiểu điều gì khiến nó trở thành một giao thức tối ưu.
AmneziaWG
AmneziaWG là một nhánh của wireguard-go, là bản cài đặt chính thức trong không gian người dùng của WireGuard, được thiết kế đặc biệt để chống lại việc chặn VPN thông qua Kiểm tra Gói Sâu.
Bằng cách kết hợp các kỹ thuật che giấu bổ sung để ngụy trang lưu lượng VPN, AmneziaWG cho phép lưu lượng VPN hòa vào lưu lượng internet. Khả năng che giấu lưu lượng VPN của AmneziaWG cung cấp thêm một lớp bảo vệ cho người dùng cần truy cập đáng tin cậy vào nội dung internet không bị giới hạn mà không có nguy cơ kết nối VPN của họ bị chặn hoặc hạn chế. Quan trọng là tất cả những điều này đều được thực hiện trong khi vẫn giữ nguyên kiến trúc đơn giản hóa và hiệu suất cao của WireGuard, đảm bảo rằng người dùng tiếp tục được hưởng lợi từ cùng một tốc độ và hiệu quả nổi tiếng của WireGuard nổi.
Vậy công nghệ kiểm duyệt xác định và chặn VPN như thế nào và Amnezia giúp vượt qua điều này ra sao?
Các VPN bị chặn như thế nào?
Cũng giống như siêu dữ liệu là nguồn cung cấp cho hoạt động giám sát trực tuyến, nó cũng là thứ mà các quốc gia và nhà cung cấp dịch vụ Internet sử dụng để chặn sử dụng VPN nhằm thực thi các hạn chế kiểm duyệt. Ngay cả khi nội dung lưu lượng trực tuyến của chúng ta được mã hóa, vẫn có rất nhiều dữ liệu có thể bị đọc được về nó: địa chỉ IP của người gửi và người nhận, chữ ký thời gian, thời lượng kết nối, v.v. Siêu dữ liệu này có thể được biên dịch để theo dõi thông tin liên lạc, hoạt động và thông tin cá nhân của người dùng theo thời gian. Địa chỉ IP cũng là thứ mà các nhà kiểm duyệt internet sử dụng để chặn quyền truy cập vào các tên miền cụ thể.
Cũng giống như khi sử dụng VPN: trong khi địa chỉ IP cá nhân có thể bị ẩn sau máy chủ proxy VPN, địa chỉ IP công khai của công ty VPN thì hiển nhiên gắn liền với lưu lượng truy cập của chúng ta. Điều này đồng nghĩa các quốc gia hoặc nhà cung cấp dịch vụ Internet áp dụng các biện pháp kiểm soát có thể xác định khi mọi người đang sử dụng các dịch vụ VPN đã biết. Nhiều dịch vụ VPN hiện đã bị đưa vào danh sách đen ở các quốc gia như Trung Quốc, Nga và Ấn Độ, hạn chế đáng kể các công cụ có sẵn để người dùng truy cập thông tin cần thiết.
Bây giờ hãy tưởng tượng rằng bạn đã chuyển sang sử dụng một VPN phi tập trung như NymVPN để sử dụng dịch vụ proxy mà khó bị chặn bởi giám sát hoặc kiểm duyệt. So với các máy chủ của các công ty VPN lớn hơn, tập trung, mạng lưới các nhà điều hành độc lập của Nym khiến việc xác định IP của các nhà điều hành node như một phần của mạng VPN trở nên khó khăn hơn. Tuy nhiên, ngay cả một VPN phi tập trung vẫn có thể được xác định thông qua các kỹ thuật giám sát khác ngoài việc đưa IP của máy chủ VPN hoặc trang web bị kiểm duyệt vào danh sách đen. Một trong những kỹ thuật này là Kiểm tra Gói Sâu.
Kiểm tra gói tin sâu (DPI) là gì?
DPI là một kỹ thuật phân tích lưu lượng mạng bằng cách kiểm tra các gói dữ liệu khi chúng di chuyển qua mạng. Trên các mạng mở hoặc do ISP kiểm soát, lưu lượng không được mã hóa có thể được đọc, trong khi VPN mã hóa dữ liệu để bảo vệ dữ liệu. Tuy nhiên, DPI vẫn có thể nhận dạng các giao thức VPN bằng cách phát hiện các mẫu gói dữ liệu duy nhất hoặc "chữ ký" trong định dạng mã hóa. Điều này cho phép các mạng có chính sách kiểm duyệt hoặc lọc nghiêm ngặt có thể xác định và chặn lưu lượng VPN, do đó hạn chế quyền truy cập vào các dịch vụ này.
Mặc dù giao thức WireGuard nổi tiếng về tốc độ và hiệu quả, nhưng chữ ký gói riêng biệt của nó có thể khiến nó dễ bị phát hiện và chặn như vậy. Đây chính là lúc AmneziaWG xuất hiện.
AmneziaWG chống lại DPI như thế nào?
DPI hoạt động bằng cách phân tích siêu dữ liệu của lưu lượng được định tuyến để xác định các chữ ký duy nhất của các giao thức như WireGuard hoặc OpenVPN được các ứng dụng VPN sử dụng. AmneziaWG triển khai một số kỹ thuật để tăng khả năng che giấu lưu lượng VPN và tránh bị phát hiện. Mỗi kỹ thuật liên quan đến một phần siêu dữ liệu trong lưu lượng WireGuard có thể khiến nó nổi bật trước hoạt động giám sát kiểm duyệt.
Bằng cách thay đổi chiến lược các đặc điểm của gói tin trong quá trình kết nối, AmneziaWG giúp che giấu các chữ ký có thể nhận dạng được, giảm nguy cơ bị phát hiện và chặn.
Kích thước gói
Cách đầu tiên để hệ thống giám sát DPI xác định giao thức WireGuard là thông qua kích thước độc nhất của các gói dữ liệu được sử dụng trong quá trình khởi động bắt tay. Trong định tuyến mã hóa, bắt tay đơn giản là bước mà các bên trong một trao đổi mã hóa thiết lập một kết nối an toàn để trao đổi các khóa mã hóa.
Với AmneziaWG, các gói giả mạo hoặc "rác" có thể được gửi trước khi khởi tạo bắt tay, với cả số lượng và kích thước của các gói này có thể cấu hình được. Ngoài ra, các byte giả có thể được thêm vào cả hai tin nhắn khởi tạo và phản hồi của quá trình bắt tay, làm cho việc xác định kết nối trở nên khó khăn hơn.
Tiêu đề
Cách thứ hai để xác định WireGuard qua DPI là thông qua loại tiêu đề duy nhất của các gói được mã hóa. Theo mặc định, các gói dữ liệu WireGuard chia sẻ cùng một định dạng tiêu đề, nghĩa là lưu lượng được mã hóa của những người dùng khác nhau có thể được xác định là sử dụng cùng một giao thức mã hóa.
Với AmneziaWG, bốn giá trị kiểu tiêu đề cũng có thể được ánh xạ lại thành các giá trị thay thế để tăng thêm độ phức tạp. Trên thực tế, điều này có nghĩa là các AmneziaWG khác nhau có các giá trị tiêu đề khác nhau, khiến việc liên kết chúng dựa trên cấu trúc tiêu đề chung trở nên cực kỳ khó khăn.
Trong khi việc thêm các gói tin giả chỉ yêu cầu thay đổi ở phía máy khách, việc ánh xạ lại các giá trị kiểu tiêu đề và sửa đổi các thông báo bắt tay yêu cầu cả máy khách và máy chủ đều phải chạy AmneziaWG với các thiết lập cấu hình phù hợp.
Triển khai AmneziaWG trên NymVPN
Đối với NymVPN, chúng tôi đã lựa chọn triển khai AmneziaWG ở phía máy khách, giúp tăng cường quyền riêng tư mà không cần cấu hình phía máy chủ, cung cấp giải pháp hợp lý và hiệu quả nhưng vẫn cung cấp khả năng bảo vệ nâng cao chống lại việc bị phát hiện. Điều này có nghĩa là với NymVPN, các gói tin mồi được đưa vào trước khi khởi tạo bắt tay, tuy nhiên các tiêu đề không bị sửa đổi.
Làm thế nào để sử dụng lợi ích của AmneziaWG trên NymVPN?
Rất đơn giản: tải xuống NymVPN, nhận mã truy cập ẩn danh và bật Chế độ Nhanh. AmneziaWG hiện là giao thức định tuyến mã hóa mặc định cho tất cả lưu lượng trên chế độ này. Vì vậy, bất kể bạn ở đâu trên thế giới hay đang tìm kiếm điều gì, NymVPN đều giúp lưu lượng truy cập của bạn không dễ dàng bị các công nghệ kiểm duyệt nhắm mục tiêu.
NymVPN sẽ làm gì tiếp theo để chống kiểm duyệt?
AmneziaWG chỉ là khởi đầu của một dự án nghiên cứu và phát triển đầy tham vọng tại Nym nhằm cung cấp công nghệ VPN chống kiểm duyệt tiên tiến nhất hiện có. Nym sẽ liên tục bổ sung thêm nhiều tính năng để kết nối qua NymVPN an toàn hơn và chống lại nguy cơ bị chặn tốt hơn.
