快连VPN:速度和安全性最佳的VPN服务
最近,來自新墨西哥大學的研究團隊發現了一個嚴重的安全漏洞,可能會影響蘋果、谷歌以及各大Linux發行版的作業系統。該漏洞允許攻擊者攔截虛擬私人網路(VPN)中的流量,這項發現引發了廣泛關注。
漏洞概述
研究人員指出,攻擊者如果能夠進入一個接入點或鄰近用戶,就能夠判斷連接用戶是否在使用VPN,推測他們正在訪問的網站,並確定正在使用的正確序號和確認號。這使得攻擊者能夠向TCP流中註入資料。
研究人員在部落格中表示:“這為攻擊者在VPN隧道內劫持活動連接提供了所需的一切。”
受影響的VPN技術
據悉,該漏洞影響了多種VPN協議,包括OpenVPN、WireGuard和IKEv2/IPSec 。雖然尚未對Tor進行徹底測試,但研究人員認為Tor不易受到此漏洞的影響,因為它在SOCKS層上運行,並且包含在用戶空間內進行的身份驗證和加密。
研究人員補充說:“使用的VPN技術似乎無關緊要,我們能夠通過加密數據包的大小和發送的數據包數量來進行推斷,即使受害者的響應是加密的。”
目前的應對措施
研究人員已將這項漏洞報告給了Systemd、Google、蘋果、OpenVPN、WireGuard以及多個Linux發行版。由於尚未發布解決方法或補丁,研究人員建議IT管理員採取以下三項緩解措施:
1. 開啟Linux反向路徑過濾
許多Linux發行版在12個月前因新版本的systemd而關閉了反向路徑過濾。大多數經過測試的發行版都存在漏洞,尤其是使用新版本的發行版。然而,研究人員也承認,攻擊同樣適用於IPv6,因此開啟反向路徑過濾並不合理。
2. 過濾虛假IP位址(bogons)
根據維基百科,bogons是指在公共網際網路中包含未在網際網路號碼分配局(IANA)或區域網際網路註冊局(RIR)指派的位址的IP資料包。研究人員指出,某些國家(如伊朗)將保留的私有IP空間用作公共空間的一部分。
3. VPN製造商可加密封包大小與時序
由於封包的大小和數量使攻擊者能夠繞過VPN服務提供的加密,研究人員認為可以對加密的封包添加一定的填充,使其大小相同。同時,允許主機在耗盡挑戰確認限制後以等大小的資料包回應,可以防止攻擊者進行推斷。
業界的聲音
AWS的Colm MacCárthaigh在部落格中指出,他們的產品未受到該漏洞的影響,但他描述該攻擊方法“非常令人印象深刻”,並警告如果與DNS欺騙結合,將會構成更嚴重的威脅。
MacCárthaigh寫道:“加密的DNS查詢和回复可以通過流量分析進行分析,並且回復被'暫停',這使得確保DNS欺騙嘗試成功變得更容易。”
受影響的系統
截至目前,以下系統已被確認受到此類攻擊的影響:
- Ubuntu 19.10 (systemd)
- Fedora (systemd)
- Debian 10.2 (systemd)
- Arch 2019.05 (systemd)
- Manjaro 18.1.1 (systemd)
- Devuan (sysV init)
- MX Linux 19 (Mepis+antiX)
- Void Linux (runit)
- Slackware 14.2 (rc.d)
- Deepin (rc.d)
- FreeBSD (rc.d)
- OpenBSD (rc.d)
結論
隨著VPN技術在網路安全中的重要性日益增強,這項漏洞提醒我們在使用VPN時應保持警覺。建議使用者和企業及時更新系統,並注意相關的安全補丁,以保護自身的網路安全。
