泄漏案例研究4:无法访问VPN服务器时的泄漏

[ware_item id=33][/ware_item]

VPN对用户隐私和安全的保护取决于其通过加密通道将所有流量发送到关联的VPN服务器的能力。当VPN应用程序无法访问与其连接的服务器时,它可能无法以保护用户的在线活动的方式正确响应。来自我们的隐私研究实验室的此案例研究描述了这些类型的泄漏以及如何使用ExpressVPN泄漏测试工具对其进行测试.


VPN服务器可达性概述

有时,VPN应用程序可能无法访问与其连接的VPN服务器。发生这种情况有多种原因,包括:

  • 维护工作,例如用于必要的软件补丁
  • 封锁
  • 硬件故障
  • 数据中心中断
  • 糟糕的路线

发生这种情况时,连接到VPN的用户将失去网络连接。 VPN应用程序应相对较快地注意到此问题,并采取措施恢复用户的连接.

这些泄漏应该被认为是相当严重的,因为VPN应用程序很可能在某个时间点无法访问服务器。在现实世界中,这些问题发生的可能性相对较高。 VPN提供商不仅应确保在这种情况下其应用程序不会泄漏,而且还应确保用户迅速重新连接到可访问的服务器。但是,后一点是用户体验问题,不在本泄漏案例研究的范围之内。.

可达性泄漏

当VPN服务器无法访问时,VPN应用程序可能会以以下几种方式之一运行:

  • 无法注意到该问题,使用户无法建立网络连接
  • 检测到问题,并永久断开用户与VPN的连接
  • 检测到问题,然后尝试将用户连接到另一个VPN服务器

在上述每种情况下,VPN应用程序都可能泄漏.

测试泄漏

手动测试

在这种情况下,手动测试泄漏是非常困难的。通常,您将无法控制VPN服务器本身,因此无法轻松模拟可达性问题.

通常,模拟可达性问题的最佳方法是使用防火墙。这可以通过使用测试设备本身上的防火墙或上游设备上的防火墙来完成。路由器或虚拟机主机。因此,我们认为这些步骤仅适合高级用户尝试.

操作防火墙

我们在下面给出复制步骤,这些步骤假定用户受过防火墙操作方面的教育。为了操作防火墙,我们建议使用以下工具:

视窗: Netsh Advfirewall

苹果系统: 封包过滤

Linux: iptables

复制步骤

  • 将设备连接到VPN
  • 确定VPN服务器的IP地址
  • 在所有接口上启动数据包捕获,例如使用tcpdump
  • 创建防火墙规则以阻止所有到VPN服务器IP的传出流量
  • 等待VPN应用程序注意到阻塞并稳定到新状态
  • 停止抓包
  • 删除防火墙规则
  • 断开VPN
  • 检查流量捕获以获取未加密流出设备的数据包

注意:检查流量捕获可能很棘手,因为本地IP流量,ARP和其他可接受的流量可能会产生噪音.

使用ExpressVPN泄漏测试工具进行测试

ExpressVPN泄漏测试工具是可扩展的开源Python工具套件,旨在用于VPN应用程序的手动和自动泄漏测试。请参阅我们对工具的介绍,以获取有关下载和设置工具的说明.

设置完工具后,请确保您位于工具的根目录中并执行:

./run_tests.sh -c configs / case_studies / vpn_server_reachability_leaks.py

这些测试将完全执行上述手动测试步骤。他们将自动确定VPN服务器的IP,并创建防火墙规则以阻止与VPN服务器的连接。这将模拟可达性失败.

然后,这些测试将监视泄漏一段时间,以查看VPN服务器的反应。他们检查各种类型的泄漏并报告任何问题.

泄漏案例研究4:无法访问VPN服务器时的泄漏
admin Author
Sorry! The Author has not filled his profile.