公司新闻

分裂隧道会泄漏流量吗?

分裂隧道会泄漏流量吗?

分割隧道可能泄漏流量吗?

2021年9月8日 功能

在我们的分割隧道系列文章接近尾声之际,在第四部分中我们将深入探讨分割隧道解决方案中泄漏发生的地方。

使用VPN时,流量泄漏发生在数据在隧道的错误一侧发送,更确切地说是隧道之外。对于分割隧道来说,“错误一侧”变得更加有趣。如果某个应用程序被排除在隧道之外,而该应用的流量却进入了VPN隧道,则会出现泄漏。

泄漏发生地点 Windows 示例

在设计我们自己的分割隧道实施过程中,我们研究了其他VPN解决方案,并发现泄漏通常在特定的点发生。让我们具体看看这些点,特别关注Windows平台的分割隧道实现。

Windows 特别有趣,因为它被广泛使用且系统内建支援流量分割。然而,内建的支援完全未解决泄漏问题,因此完全依赖VPN提供商来阻止泄漏的发生。

将正在运行的应用程序从包含改为排除

如果一个正在运行的应用程序被动态更新以排除,且现有的隧道内连接得以继续运行,则该应用程序现在同时存在于隧道的两侧。当你在这个应用程序中输入数据时,无法保证通信会发送到隧道的哪一侧。

分裂隧道会泄漏流量吗?

将正在运行的应用程序从排除改为包含

这与上述情况类似,不过这个正在运行的应用程序被更新为包含。

如果排除应用的子进程未自动排除

我们必须假设任何子进程与其父进程共享上下文,因为它们实际上是如此。未能排除子进程将导致上下文同时存在于隧道的两侧。参见第一点为何这是个问题。

由于启动应用程序评估分割前可能存在的竞争条件

在一个简单的分割隧道实现中,运行的应用被分为两类:排除的应用和所有其他应用。然而,如果一个启动中的应用预设在第二类,后来又提升到第一类,则在这个应用可以自由地在隧道内进行通信的短暂时刻内,总是会有安全隐患。

如果IPv6在分割逻辑中不被支持

预设的网络逻辑会将排除应用的IPv6流量发送到隧道内,使该应用程序存在于隧道的两侧。

如果对本地回环的连接错误地考虑在分割逻辑中

这是一个简单的编程错误,容易避免。在不幸的情况下,这可能会导致本地网络上的私有服务或守护进程被意外地访问。

蜜糖商店奈飞

如何使用Mullvad的分割隧道功能?

该功能目前在Windows、Android和Linux版本的Mullvad VPN应用中提供。

你可以在 设定 gt 高级 gt 分割隧道 中找到此设置。具体平台的详细信息可以在我们的 分割隧道指南 中找到。

接下来的内容

这篇文章是有关分割隧道的五部分系列文章中的一篇,均由Mullvad的开发者撰写。敬请期待最后一篇文章,它将讨论 安全分割隧道的基础。

如果你错过了之前的文章,我们邀请你随意浏览:

什么是分割隧道?分割隧道何时有用?分割隧道的限制分割隧道可能泄漏流量吗?这篇文章安全分割隧道的基础

为了普遍的隐私权,Mullvad VPN