快连VPN:速度和安全性最佳的VPN服务
最近,来自新墨西哥大学的研究团队发现了一项严重的安全漏洞,可能会影响苹果、谷歌以及各大Linux发行版的操作系统。该漏洞允许攻击者拦截虚拟私人网络(VPN)中的流量,这一发现引发了广泛关注。
漏洞概述
研究人员指出,攻击者如果能够进入一个接入点或邻近用户,就能够判断连接用户是否在使用VPN,推测他们正在访问的网站,并确定正在使用的正确序列号和确认号。这使得攻击者能够向TCP流中注入数据。
研究人员在博客中表示:“这为攻击者在VPN隧道内劫持活动连接提供了所需的一切。”
受影响的VPN技术
据悉,该漏洞影响了多种VPN协议,包括OpenVPN、WireGuard和IKEv2/IPSec。虽然尚未对Tor进行彻底测试,但研究人员认为Tor不易受到此漏洞的影响,因为它在SOCKS层上运行,并且包含在用户空间内进行的身份验证和加密。
研究人员补充道:“使用的VPN技术似乎无关紧要,我们能够通过加密数据包的大小和发送的数据包数量来进行推断,即使受害者的响应是加密的。”
目前的应对措施
研究人员已将这一漏洞报告给了Systemd、谷歌、苹果、OpenVPN、WireGuard以及多个Linux发行版。由于尚未发布解决方法或补丁,研究人员建议IT管理员采取以下三项缓解措施:
1. 开启Linux反向路径过滤
许多Linux发行版在12个月前因新版本的systemd而关闭了反向路径过滤。大多数经过测试的发行版都存在漏洞,尤其是使用新版本的发行版。然而,研究人员也承认,攻击同样适用于IPv6,因此开启反向路径过滤并不合理。
2. 过滤虚假IP地址(bogons)
根据维基百科,bogons是指在公共互联网中包含未在互联网号码分配局(IANA)或区域互联网注册局(RIR)分配的地址的IP数据包。研究人员指出,某些国家(如伊朗)将保留的私有IP空间用作公共空间的一部分。
3. VPN制造商可加密数据包大小和时序
由于数据包的大小和数量使攻击者能够绕过VPN服务提供的加密,研究人员认为可以对加密的数据包添加一定的填充,使其大小相同。同时,允许主机在耗尽挑战确认限制后以等大小的数据包进行响应,可以防止攻击者进行推断。
行业内的声音
AWS的Colm MacCárthaigh在博客中指出,他们的产品未受到该漏洞的影响,但他描述该攻击方法“非常令人印象深刻”,并警告如果与DNS欺骗结合,将会构成更严重的威胁。
MacCárthaigh写道:“加密的DNS查询和回复可以通过流量分析进行分析,并且回复被‘暂停’,这使得确保DNS欺骗尝试成功变得更容易。”
受影响的系统
截至目前,以下系统已被确认受到此类攻击的影响:
- Ubuntu 19.10 (systemd)
- Fedora (systemd)
- Debian 10.2 (systemd)
- Arch 2019.05 (systemd)
- Manjaro 18.1.1 (systemd)
- Devuan (sysV init)
- MX Linux 19 (Mepis+antiX)
- Void Linux (runit)
- Slackware 14.2 (rc.d)
- Deepin (rc.d)
- FreeBSD (rc.d)
- OpenBSD (rc.d)
结论
随着VPN技术在网络安全中的重要性日益增强,这一漏洞提醒我们在使用VPN时应保持警惕。建议用户和企业及时更新系统,并关注相关的安全补丁,以保护自身的网络安全。
