Ipsec vpn mtu 1400 что это
На сайтах проверки анонимности вы часто можете встретить разновидность такой проверки, как VPN Fingerprint. В этой статье мы ответим на следующие вопросы:
Что такое VPN Fingerprint?
Если перевести с английского название VPN Fingerprint (fingerprint с англ. – отпечаток), становится понятно, что речь идет про отпечаток VPN . Действительно, задача данной проверки состоит в том, чтобы обнаружить пользователя, который использует VPN, по определенным цифровым отпечаткам.
На картинке ниже изображены вариации модуля проверки VPN Fingerprint на нескольких известных сайтах проверки анонимности. Полную версию этого модуля вы можете найти в разделе «Информация о системе».
Так все-таки, на основании чего и как происходит эта проверка?
Постараемся все объяснить как можно проще. Если спешите, можете перейти к проблемам в обнаружении или сразу к выводам 🙂
Итак, как это работает. Допустим, вы хотите зайти на какой-то сайт:
- Вы вводите в своем браузере нужный сайт и нажимаете enter.
- В этот самый момент происходят переговоры между вашим ПК и сервером, на котором расположен данный сайт о том, как будет происходить передача данных.
- Возможно вы не знали, но все сетевые устройства передают/принимают данные не сплошным потоком, а разбивают их порционно на пакеты.
- На каждом устройстве заранее установлен максимальный размер пакета, который он может передать (MTU — Maximum Transmission Unit) за один раз.
- Размер MTU обычно задается вашим провайдером и может быть разный на каждом устройстве.
- Устройства сообщают друг другу, какое максимальное количество данных (MSS — Maximum Segment Size) они могут принять друг от друга в одном пакете MTU, это делается с целью:
- информирования друг друга о возможностях своего интернет-соединения;
- использования канала передачи данных на всю катушку, с максимальной скоростью.
- Модуль проверки, перехватывает эту информацию и анализирует пакеты MTU / MSS.
- Вообще, стандартный размер MTU 1500, он используется в интернете в подавляющем большинстве случаев.
- А вот, при подключении по PPTP, L2TP (±IPsec), IPsec IKE пакеты меньше. Это связано с тем, что пакеты помещаются в другие пакеты, что приводит к увеличению их размера. Поэтому операционная система вашего ПК уменьшает значение MTU на сетевом интерфейсе, чтобы предотвратить снижение скорости передачи данных.
- При подключении по OpenVPN происходит чуть по-другому, система оставляет значение MTU неизменным, но может изменять размер MSS внутри пакета.
-
Модуль проверки сверяет размеры пакетов с базой данных различий MTU/MSS и на основании этого делает вывод, используете вы VPN или нет.
Есть очень важные моменты, о которых вы должны знать:
- Если сайт использует такую проверку, то использует исключительно какую-то своюбазу данных.
- В текущий момент времени нет единой базы данных, которую бы 100% использовали все сайты, поэтому проверки на каждом сайте могут быть разные.
Насколько точная получается проверка?
Стоит отметить, что обнаружение пользователей, описанным выше способом, хорошо лишь в теории. В реальности зачастую все происходит далеко не столь гладко и вот основные проблемы:
Проблема № 1 – нет единой базы для всех сайтов.
Как уже указывалось ранее, нет единой базы для всех сайтов, которая бы предоставляла всем одинаковые результаты и при этом была бы авторитетной.
Чтобы наглядно продемонстрировать данную проблему:
- подключимся к VPN;
- будем использовать разные размеры MTU, например: 1396, 1418, 1420.
- проверим на трех разных сайтах, как они определят VPN.
Результат проверки на трех сайтах вы можете видеть на изображении ниже.
- MTU 1396: 2 из 3 сайтов определили VPN;
- MTU 1418: 2 из 3 сайтов определили VPN;
- MTU 1420: 1 из 3 сайтов определил VPN.
Как видим, в проверке участвовало всего лишь 3 сайта, а результаты уже у всех разные.
Вы спросите: «Почему же тогда ваш сайт определил во всех случаях, что используется VPN?»
- На основании своего опыта, мы предположили, что пользователь с таким размером MTU, вероятно подключен к VPN.
- Мы внесли корректировки в нашу базу данных. Теперь всех пользователей с таким размером MTU будет определять, будто они используют VPN. Хотя в реальности, этого может и не быть (проблема № 2, о ней чуть позже).
- Мы вам наглядно продемонстрировали, что такой результат будет отображаться только на одном сайте, в данном случае, на нашем.
Если учесть тот факт, что сайтов в мире более миллиарда, и нет единой базы, то вряд ли уважающий себя сайт, будет на сто процентов полагаться только на результат проверки VPN fingerprint.
Проблема № 2 – размер MTU задается провайдером.
Как уже писали, размер пакетов MTU задается вашим провайдером. В большинстве случаев используют стандартный размер MTU 1500.
Но, довольно часто провайдеры используют специфический размер MTU. В большинстве случаев это делают для того, чтобы согласовать работу сетевого оборудования. Например, оборудование Cisco считает размер MTU без учета заголовка, а оборудование Juniper вместе с заголовком L2 и размер MTU у них будет разный, поэтому необходимо согласовать размер MTU.
В качестве наглядного примера, приведем крупных российских провайдеров. Например, в некоторых регионах провайдер Yota использовал MTU 1358, а Мегафон MTU 1440. Оба эти MTU определяются, как подключенные к VPN. Хотя в реальноcти пользователь может и не использовать VPN. Действительно ли на стороне провайдеров есть туннели или это так оборудование настроено, знает лишь провайдер, но пользователей определяет будто они подключены к VPN.
Проблема 3 – MTU меняют сами пользователи.
Довольно часто такую рекомендацию, как сменить размер MTU вручную, можно встретить в Интернете. В некоторых случаях подобная рекомендация может помочь при решении следующих проблем:
- По неизвестной причине не открываются определенные веб-страницы или появилась/увеличилась задержка при их загрузке.
- Присутствуют ошибки при передаче файлов.
- Большой пинг, который необходимо уменьшить и т.д.
Не спешите сразу менять MTU, к этому процессу нужно подходить с умом, поэтому хотим вас заранее предостеречь: если вы выставите неправильное значение, у вас может перестать работать интернет, либо ощутимо пострадает скорость работы.
Чтобы убедиться в несовершенстве проверки VPN Fingerprint, просто сменим размер MTU в своем роутере. Установим, например, значение MTU 1408. В роутере TP-LINK это делается так:
Получим следующий результат:
К VPN мы не подключены, однако сайты определяют, будто мы используем VPN. Как видите, полагаться только на VPN Fingerprint не имеет смысла.
Хотелось бы добавить, что основной задачей данной статьи было не показать, на каком сайте проверке анонимности слабее или сильнее тесты. Все сайты справляются с данной задачей на все сто процентов. А объяснить принцип и наглядно продемонстрировать несовершенство такого способа проверки в целом.
Стоит ли бояться того, что VPN Fingerprint меня обнаружил?
На основании вышеизложенного можно сделать вывод, что бояться этого точно не стоит.
Результат проверки получается весьма поверхностный и к тому же зависит от соблюдения множества условий. Выходит, что нельзя до конца определить используете ли вы VPN или может это у вас настройки провайдера такие, а возможно это просто криво настроен маршрутизатор/софт на ПК, или специально установлен такой размер MTU для удобства взаимодействия с определенными устройствам и т.д.
Поэтому, можете спать спокойно и серфить в интернете не взирая на подобные сообщения, вы в безопасности.
Главное помните, что после смены IP адреса, обязательно удостоверьтесь в следующем:
- сменился ли ваш IP адрес в реальности;
- изменен ли ваш DNS (например, Google DNS);
- нет ли утечки реального IP адреса.
Прокси / VPN Детект — методы пассивного анализа цифровых отпечатков (fingerprints)
Эти инструменты используются для пассивного анализа отпечатков TCP/IP-стека на стороне сервера. По поступающим от вас пакетам данных можно определить, используете ли вы Proxy / VPN, а также вашу ОС, тип соединения, расстояние (количество пройденных узлов), аптайм системы и другую информацию.
Что такое MTU / MSS?
MTU (Maximum Transmission Unit) — задает при передаче данных максимальный размер отправляемого IP-пакета (включая заголовок).
MSS (Maximum Segment Size) — максимальный размер передаваемых данных за вычетом длины заголовка IP-пакета.
Соотношение MTU / MSS в настройках адаптера позволяет оптимизировать пропускную способность канала для более быстрой передачи данных.
Как можно определить использование Proxy / VPN через MTU / MSS параметры?
При прямом соединении вашего устройства с сервером размер MTU имеет одно значение (например, для Ethernet — 1500, для PPTP — 1480), а при соединении через Proxy/VPN по протоколам PPTP, L2TP(±IPsec), IPsec IKE пакеты помещаются в другие пакеты (инкапсулируются), что приводит к увеличению их размера. Поэтому ОС снижает значение MTU на сетевом интерфейсе (например, для IPsec — 1400) во избежание излишней фрагментации пакетов. Так предотвращается снижение скорости передачи данных.
В случае подключения через OpenVPN система оставляет значение MTU неизменным, но может изменять размер MSS внутри пакета.
Поэтому с помощью таблицы различий MTU/MSS и может быть определено наличие Proxy/VPN.
Как защититься от определения информации через MTU / MSS?
Для этого необходимо вручную отредактировать MTU/MSS параметры для сетевого адаптера.
VPN fingerprint. Анонимность 0%
Junior Member Регистрация 28.08.2018 Сообщений 7 Вес репутации 19
VPN fingerprint. Анонимность 0%
Без каки-либо впн захожу на 2ip.com/privacy Делаю проверку и мне пишет Вы используете средства анонимизации, однако нам не удалось узнать ваш реальный IP адрес.
Вероятность использования средств анонимизации:
из-за VPN fingerprint IPsec/VPN (MTU 1400)
Подскажите пожалуйста, что это значит?
Будь в курсе! Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
28.09.2018, 16:11 #2
Administrator Регистрация 08.03.2010 Адрес Россия, Краснодар Сообщений 11,760 Вес репутации 1294
VPN Fingerprint — это система, которая распознает, когда пользователь заходит через VPN. Но она может ошибаться вполне, скорее всего, в этом случае так и есть. Думаю, лучше связаться с поддержкой этого сервиса, чтобы пофиксили.
29.09.2018, 14:53 #3
Full Member Регистрация 16.06.2010 Сообщений 485 Вес репутации 441
Сообщение от burjui123
Вероятность использования средств анонимизации:
из-за VPN fingerprint IPsec/VPN (MTU 1400)
Подскажите пожалуйста, что это значит?
Ну, это означает, что в базе 2ip имеется запись, которая по MTU/MSS аналогична тому, что ресурс получает от Вас. А раз Вы НЕ используете средств анонимизации, то это может быть связано с одним из трех.
Первое. Такие параметры установлены Вашим интернет провайдером (ростелеком когда-то на dsl этим баловался).
Второе — на каком-либо из Ваших устройств значение MTU 1400 установлено руками (например, в настройках подключения у роутера).
И третье — 2ip надо бы обновить базу отпечатков
Определяем пользователей VPN (и их настройки!) и прокси со стороны сайта
We can save the day from dark, from bad
There’s no one we need
Многие из вас используют VPN или прокси в повседневной жизни. Кто-то использует его постоянно, получая доступ к заблокированным на государственном или корпоративном уровне ресурсам, многие используют его изредка, для обхода ограничений по географическому положению. Как вы можете знать, крупные интернет-игроки в сфере стриминга видео, музыки и продажи игр никогда не любили пользователей, которые легко обходят географические ограничения, разблокируя недоступный в их стране контент, или совершая покупки заметно дешевле. За примерами не нужно далеко ходить: Netflix изменил свое соглашение об использовании, добавив пункт о блокировке VPN, всего 2 месяца назад; Hulu тоже грешил блокировкой пользователей, а Steam вообще подозрительно смотрит на не-русскоязычных пользователей из России. В последнее время, компании пытаются блокировать уже не конкретных пользователей, а сами IP-адреса VPN-сервисов, создавая определенные неудобства уже самому VPN-сервису и его пользователям. Похоже, они не используют никаких спецсредств, а блокируют выборочно и вручную. Хоть я и не поддерживаю какие-либо блокировки вообще, меня заинтересовала техническая часть вопроса: можно ли как-то определить использование прокси-серверов и VPN со стороны сервера, не прикладывая особых усилий?
Можно, при определенных условиях. И достаточно точно.
MSS и MTU
MTU, или Maximum Transmission Unit — максимальное количество данных, которые могут быть переданы в одном пакете. MTU установлен у каждого сетевого адаптера, даже у тех маршрутизаторов, через которые трафик от вас до удаленного сервера идет транзитом. В подавляющем большинстве случаев, в интернете используют MTU 1500, однако бывают заметные исключения, которые, к слову, зачастую подчиняются некоторым правилам.
Когда ваш браузер или любое другое ПО, работающее с сетью, создает TCP-соединение к удаленному серверу, в заголовки пакета помещается значение Maximum Segment Size (MSS), которое сообщает серверу, какого максимального размера сегменты он может передавать в одном пакете. Это значение очень близко́ к MTU, оно сразу дает понять серверу о возможностях вашего интернет-соединения, исключая излишнюю фрагментацию и позволяя утилизировать ваш канал по полной.
Когда вы отправляете пакет, будучи подключенным к VPN по какому-то протоколу (PPTP, L2TP(±IPsec), IPsec IKE), он помещается (инкапсулируется) в еще один пакет, что вносит свои накладные расходы, и большие пакеты, которые были бы отправлены без фрагментации без VPN, теперь придется фрагментировать. Чтобы избежать такой фрагментации, ОС устанавливает на сетевом интерфейсе MTU меньше, чем MTU реального сетевого интерфейса, из-за чего ОС не пытается создавать большие пакеты, которые требовали бы фрагментации.
В случае с PPTP, L2TP(±IPsec), IPsec, как я понимаю, нет каких-то стандартов на MTU туннеля, все устанавливают такие значения, чтобы работало в большинстве случаев, и устанавливаются они на глаз. Как правило, это 1400, что позволяет использовать, скажем, PPTP на каналах с MTU до 1440 без фрагментации (например, когда для доступа в интернет требуется еще один туннель, как часто бывает у российских провайдеров). OpenVPN — пожалуй, самый популярный вариант VPN — напротив, пошел другим путем.
OpenVPN
В целях совместимости со старым или просто кривым софтом, OpenVPN по умолчанию не устанавливает меньшее значение MTU на VPN-интерфейсе, а изменяет значение MSS внутри инкапсулированного TCP-пакета. За это отвечает параметр mssfix, установленный по умолчанию в значение 1450. Он изменяет MSS таким образом, чтобы он полностью утилизировал канал с MTU 1450, т.е. высчитывает свои накладные расходы таким образом, чтобы они проходили через канал с MTU 1450 и более без фрагментации. Вследствие этого, у нас появляется возможность не просто определить пользователей OpenVPN со стандартным mssfix 1450, но и определить их протокол подключения (IPv4, IPv6), протокол транспортного уровня (TCP, UDP), параметры шифрования, сжатия и MAC, т.к. они вносят свои уникальные накладные расходы и отражаются в MSS.
Давайте посмотрим на типичные значения MSS:
Протокол | Размер блока | MAC | Сжатие | MSS |
---|---|---|---|---|
UDP | 64 | SHA1 | — | 1369 |
UDP | 64 | SHA1 | + | 1368 |
TCP | 64 | SHA1 | — | 1367 |
TCP | 64 | SHA1 | + | 1366 |
UDP | 128 | SHA1 | — | 1353 |
UDP | 128 | SHA1 | + | 1352 |
TCP | 128 | SHA1 | — | 1351 |
TCP | 128 | SHA1 | + | 1350 |
UDP | 128 | SHA256 | — | 1341 |
UDP | 128 | SHA256 | + | 1340 |
TCP | 128 | SHA256 | — | 1339 |
TCP | 128 | SHA256 | + | 1338 |
Если используется шифр с размером блока в 64 бита, это, вероятно, Blowfish, если 128 — вероятно, AES.
Для пущей проверки теории было протестировано 2 VPN-сервиса: VyprVPN и ibVPN. Оба сервиса подвержены определению настроек описанным методом.
Если вы не хотите, чтобы вас обнаруживали таким способом, вы можете либо отключить mssfix, установив его в 0 и на сервере, и на клиентах, получив таким образом MSS 1460 (в случае с IPv4), что соответствует MTU 1500 — типичному MTU для обычного проводного соединения, которое есть у подавляющего большинства пользователей. Однако, в этом случае вы получите излишнюю фрагментацию, что ведет к повышению задержек и уменьшению пропускной способности, поэтому может иметь смысл установить MTU в 1400, 1380 или похожее (должно быть кратно 2, а лучше 10), т.к. такие значения часто используются провайдерами, например, мобильного интернета.
Прокси
Способов определения прокси-сервера, если он не добавляет никаких заголовков (вроде X-Forwarded-For), не так-то много. Чем же технически отличается прокси от VPN? В случае с VPN, удаленный сервер получает от вас пакет, которая создала ваша ОС, в неизменном (зачастую) виде. Прокси же, напротив, получает только всю информацию об удаленном сервере (IP, порт, прочие параметры) и данные, создавая пакет на стороне самого прокси, и отправляет его. Разные ОС по-разному создают пакеты, различия можно встретить даже от версии к версии. Мы с большой точностью можем определить ОС создателя пакета, версия нас не слишком интересует.
Как мне кажется, прокси чаще всего запускают на Linux и BSD, а используют чаще под Windows. Пользователи часто не думают о смене User-Agent, который включает используемую ОС, в браузере, а это нам на руку.
p0f
Существует замечательный проект p0f, который отлично впишется под наши нужды. Пассивно прослушивая трафик, он может определить ОС, MTU и браузер, оповестить о несовпадении ОС создателя пакетов и ОС в User-Agent. К тому же, он имеет API. Немного модифицировав его, добавив экспорт MTU через API и обновив сигнатуры, мы можем с определенной точностью детектировать пользователей популярных VPN-протоколов, пользователей прокси и тех пользователей, которые подделывают User-Agent.
WITCH?
Немного подумав, я решил сделать небольшой веб-сервис для реализации своих идей, т.к., по какой-то причине, я не смог найти ничего похожего.
Из этого получился WITCH?, который с легкостью расскажет вам о настройках вашего OpenVPN-соединения (если вы не трогали mssfix, конечно же), попытается определить вашу ОС и сравнить ее с ОС в User-Agent, получит PTR-запись для вашего IP и сравнит ее с набором правил, определяя, используете ли вы интернет-канал, рассчитанный на домашних или серверных пользователей.
First seen = 2015/07/24 17:19:29 Last update = 2015/07/24 18:39:37 Total flows = 7 Detected OS = Linux 3.11 and newer HTTP software = Firefox 10.x or newer (ID seems legit) MTU = 1409 Network link = OpenVPN UDP bs64 SHA1 Language = Russian Distance = 15 Uptime = 1 days 19 hrs 39 min (modulo 165 days) PTR test = Probably home user Fingerprint and OS match. No proxy detected. OpenVPN detected. Block size is 64 bytes long (probably Blowfish), MAC is SHA1.
WITCH? также без проблем определяет пользователей Tor Browser, т.к. он использует одинаковый статичный User-Agent (с Windows) на всех ОС, а exit nodes запущены под Linux и FreeBSD.
- Мобильный интернет от Beeline пропускает все соединения через прокси под Linux. Обнаружилось это, когда человек с Beeline зашел с iPhone на WITCH?, и ОС определилась как Linux. Вероятно, именно через него они меняют HTML-теги, добавляют тулбар с поиском mail.ru и изменяют дизайн сайтов.
- MTU у мобильных устройств может быть буквально какой угодно, но, как правило, заканчивается на 0. Исключение — Yota с 1358. От чего это зависит — непонятно, подозреваю, что и от настроек на стороне оператора, и от телефонного модуля. Одна и та же SIM в разных телефонах использует разные MTU.
- Код, который отвечает за mssfix в OpenVPN, очень медленный. Если у вас есть знания в сетях, C, желание и время, пожалуйста, посмотрите, можно ли его оптимизировать.
Скрытый текст
Не знаю, что на меня нашло полгода назад, но я решил пересмотреть мультсериал W.I.T.C.H., и, не обнаружив нормального релиза, скупил все скупаемое, скачал все скачиваемое и сделал релиз с английским, французским, испанским, нидерландским, итальянским, немецким, русским, норвежским, датским, шведским, финским, чешским, турецким, польским и венгерским языками.