分裂隧道会泄漏流量吗?
2021年9月8日 功能
在我们的分割隧道系列文章接近尾声之际,在第四部分中我们将深入探讨分割隧道解决方案中泄漏发生的地方。
使用VPN时,流量泄漏发生在数据在隧道的错误一侧发送,更确切地说是隧道之外。对于分割隧道来说,“错误一侧”变得更加有趣。如果某个应用程序被排除在隧道之外,而该应用的流量却进入了VPN隧道,则会出现泄漏。
在设计我们自己的分割隧道实施过程中,我们研究了其他VPN解决方案,并发现泄漏通常在特定的点发生。让我们具体看看这些点,特别关注Windows平台的分割隧道实现。
Windows 特别有趣,因为它被广泛使用且系统内建支援流量分割。然而,内建的支援完全未解决泄漏问题,因此完全依赖VPN提供商来阻止泄漏的发生。
如果一个正在运行的应用程序被动态更新以排除,且现有的隧道内连接得以继续运行,则该应用程序现在同时存在于隧道的两侧。当你在这个应用程序中输入数据时,无法保证通信会发送到隧道的哪一侧。
这与上述情况类似,不过这个正在运行的应用程序被更新为包含。
我们必须假设任何子进程与其父进程共享上下文,因为它们实际上是如此。未能排除子进程将导致上下文同时存在于隧道的两侧。参见第一点为何这是个问题。
在一个简单的分割隧道实现中,运行的应用被分为两类:排除的应用和所有其他应用。然而,如果一个启动中的应用预设在第二类,后来又提升到第一类,则在这个应用可以自由地在隧道内进行通信的短暂时刻内,总是会有安全隐患。
预设的网络逻辑会将排除应用的IPv6流量发送到隧道内,使该应用程序存在于隧道的两侧。
这是一个简单的编程错误,容易避免。在不幸的情况下,这可能会导致本地网络上的私有服务或守护进程被意外地访问。
蜜糖商店奈飞该功能目前在Windows、Android和Linux版本的Mullvad VPN应用中提供。
你可以在 设定 gt 高级 gt 分割隧道 中找到此设置。具体平台的详细信息可以在我们的 分割隧道指南 中找到。
这篇文章是有关分割隧道的五部分系列文章中的一篇,均由Mullvad的开发者撰写。敬请期待最后一篇文章,它将讨论 安全分割隧道的基础。
如果你错过了之前的文章,我们邀请你随意浏览:
什么是分割隧道?分割隧道何时有用?分割隧道的限制分割隧道可能泄漏流量吗?这篇文章安全分割隧道的基础为了普遍的隐私权,Mullvad VPN