多家國(guó)外VPN服務(wù)商向用戶發(fā)出通知，由于IP地址屏蔽等原因，在中國(guó)將無(wú)法使用其提供的VPN服務(wù)。文中還稱，中國(guó)工信部此前曾有規(guī)定，在國(guó)內(nèi)提供VPN服務(wù)的公司必須注冊(cè)登記，未登記的公司將不受國(guó)內(nèi)法律保護(hù)。

[[130977]]

作為一項(xiàng)互聯(lián)網(wǎng)基礎(chǔ)協(xié)議，VPN在公用網(wǎng)絡(luò)中承擔(dān)著“虛擬專用線路”的作用，是世界上大多數(shù)跨地區(qū)的商業(yè)公司、學(xué)術(shù)機(jī)構(gòu)、政府單位內(nèi)部相互連接的不二之選。這項(xiàng)服務(wù)如果失效，造成的經(jīng)濟(jì)、政治損失將無(wú)以估量。

不過(guò)，由于協(xié)議開放性和互聯(lián)網(wǎng)基礎(chǔ)設(shè)施的不牢靠性，總有許多方法可以短暫或長(zhǎng)期的阻礙它。比如最近那幾家發(fā)通知的服務(wù)商Astrill、Tech Runo等，不就是因?yàn)镮P遭屏幕嘛。網(wǎng)上有不少相關(guān)分析，雷鋒網(wǎng)將在這篇文章中匯總，告訴大家——一個(gè)VPN服務(wù)是如何失效的。

DNS污染

DNS污染是針對(duì)那些低水平或經(jīng)過(guò)異化的VPN服務(wù)。通常來(lái)說(shuō)，一個(gè)正常的VPN服務(wù)應(yīng)該都會(huì)集成DNS服務(wù)的，這樣所有上網(wǎng)的請(qǐng)求都是在服務(wù)器上進(jìn)行。不過(guò)一些低質(zhì)的VPN木有集成，那么DNS解析就需要在本機(jī)上進(jìn)行。這時(shí)，如果本機(jī)的運(yùn)營(yíng)商網(wǎng)絡(luò)中，DNS服務(wù)被污染，你的VPN自然形同于無(wú)。

而在國(guó)內(nèi)還有一種中轉(zhuǎn)形式的VPN服務(wù)非常常見，它們的上網(wǎng)流程是這樣“本機(jī)——國(guó)內(nèi)服務(wù)器——海外服務(wù)器——網(wǎng)站”。這個(gè)過(guò)程中，第一步、第二步都很容易受DSN污染影響，原理和前邊的低質(zhì)VPN一致。

流量特征分析

可能大家經(jīng)常會(huì)發(fā)現(xiàn)，使用VPN服務(wù)時(shí)，并不是那么穩(wěn)定，有時(shí)能連有時(shí)不能連;或者需要用非常奇怪的端口;或者還需要安裝客戶端等等。這可能是因?yàn)槟愕腣PN服務(wù)被一種名為“流量特征分析”的技術(shù)發(fā)現(xiàn)(專業(yè)的使法，叫做深度數(shù)據(jù)包檢測(cè))。

在比特空間里，所有的流量都帶有特征，比如用什么協(xié)議傳輸、用什么協(xié)議加密，都會(huì)加上一定的識(shí)別比特。VPN也不例外，無(wú)論是明文的PPTP還是密文的L2TP、SSL VPN，其識(shí)別特征總是一定的。

很容易可以總結(jié)出一些規(guī)律，80端口是明文或證書的，433端口是SSL的，隨機(jī)端口可能是軟件，小流量是私人用，大流量就是公司或團(tuán)隊(duì)服務(wù)。通過(guò)這些規(guī)律，可以很容易發(fā)現(xiàn)那些“不正規(guī)”的VPN服務(wù)，然后直接屏蔽IP和DNS解析，沒法用了。

內(nèi)容分析

有時(shí)你可能還會(huì)發(fā)現(xiàn)，即使一個(gè)小流量、非標(biāo)準(zhǔn)端口的VPN服務(wù)也并不穩(wěn)定。如果這個(gè)VPN是PPTP形式的，那么很可能是在前邊的特征分析后，對(duì)數(shù)據(jù)包進(jìn)行了拆包，將里邊傳輸?shù)膬?nèi)容拎出來(lái)單獨(dú)分析。

SSL VPN也未必可靠，在NSA的棱鏡計(jì)劃就已經(jīng)曝光，SSL加密被破解，相關(guān)傳輸內(nèi)容也可單獨(dú)拎出來(lái)做分析。

再往高了走，那些技術(shù)都不是用來(lái)大規(guī)模利用的，所以對(duì)于小型或個(gè)人VPN服務(wù)來(lái)說(shuō)不太需要去在意。