DPI phát hiện VPN như thế nào: Kỹ thuật và giới hạn của nó

Deep Packet Inspection (DPI) là công nghệ kiểm tra nội dung của gói dữ liệu khi chúng di chuyển qua mạng, cho phép các nhà cung cấp dịch vụ internet (ISP) và các cơ quan chính phủ xác định những gì người dùng đang làm trực tuyến. Đối với mục đích này, DPI đóng vai trò quan trọng trong việc phát hiện lưu lượng VPN—một trong những công cụ chính để ưu tiên, điều tiết hoặc chặn kết nối được mã hóa.

Những quốc gia sử dụng DPI để ưu tiên hoặc chặn VPN không phải là hiện tượng mới. Từ những năm 2010, các nước như Trung Quốc, Nga, Iran, và các quốc gia khác đã triển khai các hệ thống DPI chuyên dụng. Cơ quan An toàn thông tin Roskomnadzor (Nga) từ lâu đã sử dụng DPI để phát hiện và điều tiết lưu lượng VPN. Theo báo cáo của tổ chức Citizen Lab và các nhà nghiên cứu độc lập, Trung Quốc có thể phát hiện các kết nối OpenVPN và một số giao thức VPN khác thông qua các mẫu lưu lượng đặc biệt.

Cách thức DPI phát hiện VPN dựa vào ba phương pháp chính. Thứ nhất là phân tích "bắt tay" (handshake fingerprinting)—quá trình thiết lập kết nối VPN tạo ra những mẫu gói dữ liệu độc đáo mà các hệ thống DPI có thể nhận dạng. Ví dụ, OpenVPN sử dụng một dãy bắt tay TLS cụ thể, trong khi WireGuard sử dụng các gói khởi tạo có độ dài cố định và cấu trúc nhất định. Thứ hai là phân tích thời gian (timing analysis)—DPI có thể theo dõi các khoảng cách thời gian giữa các gói, vì các giao thức VPN khác nhau tạo ra các mẫu thời gian khác biệt. Thứ ba là phân tích kích thước gói (packet size patterns)—hầu hết các giao thức VPN bao gói dữ liệu người dùng vào các gói có kích thước không đổi, mẫu này khác biệt so với lưu lượng HTTP hoặc HTTPS thông thường.

Ngoài DPI, các cơ quan chính phủ sử dụng nhiều kỹ thuật khác để xác định và chặn VPN. Lọc DNS (DNS filtering) gây khó khăn cho việc truy cập các trang web cấu hình VPN. Danh sách đen địa chỉ IP (IP blacklisting) chặn trực tiếp các máy chủ VPN công khai. Kiểm tra SNI (Server Name Indication inspection) có thể phát hiện các chứng chỉ TLS được sử dụng bởi các dịch vụ VPN. Và các can thiệp ở mức BGP—một số quốc gia có khả năng điều khiển các con đường định tuyến mạng toàn cầu để cách ly các khu vực từ các máy chủ VPN ngoài nước.

Theo các báo cáo từ Dự án OONI (Open Observatory of Network Interference), việc phát hiện và chặn VPN đã tăng lên đáng kể. Tổ chức Access Now trong báo cáo "KeepItOn" của họ đã ghi nhận hàng chục sự cố trong đó các chính phủ triển khai DPI để điều tiết hoặc cấm kết nối VPN, đặc biệt là trong các giai đoạn nước ngoài hoặc khủng hoảng chính trị.

Đối mặt với các kỹ thuật phát hiện này, các nhà phát triển công nghệ circumvention đã phát triển các phương pháp che phủ lưu lượng. Obfsproxy làm cho lưu lượng VPN trông như những kết nối HTTPS bình thường. Shadowsocks sử dụng một giao thức mã hóa tùy chỉnh được thiết kế để tránh DPI. Các công cụ như obfs4 (được sử dụng bởi Dự án Tor) và các plugin pluggable transports khác như Snowflake và WebTunnel tạo ra các mẫu lưu lượng giả, khiến các hệ thống DPI khó phân biệt giữa lưu lượng circumvention và lưu lượng hợp pháp. Traffic shaping—điều chỉnh kích thước gói và thời gian gửi—cũng có thể làm giảm độ chính xác của phân tích thời gian.

Các giao thức mới hơn như REALITY (một biến thể của VLESS trong V2Ray) và MASQUE (một tiêu chuẩn IETF đang phát triển) cố gắng che giấu lưu lượng VPN bằng cách làm cho nó giống như những kết nối web tiêu chuẩn hơn nữa. Mã hóa SNI (Encrypted Client Hello/ECH) và DNS qua HTTPS (DoH) giúp ẩn thông tin metadata mà các hệ thống DPI dựa vào.

Tuy nhiên, cần lưu ý rằng các công nghệ phát hiện và che phủ này là một cuộc "chiến tranh vũ trang" liên tục. Những gì có thể hoạt động ngày hôm nay có thể bị phát hiện vào ngày mai khi các hệ thống DPI được cập nhật hoặc khi các cơ quan chính phủ phát triển các kỹ thuật phân tích mới. Không có giải pháp nào là vĩnh viễn hoặc phổ quát—hiệu quả của bất kỳ phương pháp nào phụ thuộc vào bối cảnh mạng cụ thể, khả năng của nhà cung cấp DPI, và các tài nguyên mà cơ quan chính phủ sẵn sàng đầu tư vào các hệ thống phát hiện.