主流隧道穿透协议

VPN主流分类

1. 基于PPP（点对点通信协议）：LCP+NCP（IPCP/IPXCP）+PAP/CHAP

1. PPTP（1723）：PPTP认证交互，GRE压缩封装PPP帧
2. L2TP（1721）：L2TP认证交互，L2TPoverUDP封装PPP帧（明文）
3. SSTP（443/不定端口）：SSL/TLS认证交互，SSL/TLS封装PPP帧（加密）

1. 基于IPSec（网络层的安全体系）

IPSec=AH（认证头）+ ESP（封装安全载荷）+IKE（密钥交换协议）

500端口：AH + ESP（网络层加密封装）

4500端口：ESP（overUDP封装用于NAT穿透）

IKE：ISALMP（网络安全体和密钥管理协议）+OAKLEY+SCHEME

1. IPSec_VPN
2. L2TP/IPSec
3. 深信服VPN：ssl/ipsec

1. 基于SSL_VPN（应用层封装协议）

1. OpenVPN：Open认证交互，Open+SSL/TLS认证交互和通信数据封装
2. SSTP：全SSL/TLS
3. 深信服VPN：SSL/IPSec，软件+网关硬件
4. 思科VPN
5. 其他多数当前主流厂家VPN服务

1. 私有协议VPN

1. tinc：overTCP控制交互，overUDP通信传输
2. 各类VPN客户端

1. 协议扩展类VPN（防火墙防封堵）

1. VPN/ICMP
2. VPN/DNS

6、硬件组网配置VPN

1. MPLS_VPN（基于功能的路由器）
2. 深信服/思科网关VPN

 

Tor（https://www.torproject.org/）

Tor浏览器进入tor网络国内封锁通过获取tor网桥节点连入tor网络

主机到节点的流量类型全为overTCP的应用层加密流量数据

 

加密流量与威胁评估

思科ETA（加密流量分析07年版本）三个特征值区分恶意流量和常规流量

TLS握手元数据、链接到加密流的DNS环境流，以及五分钟内来自同一源IP地址的HTTP-环境流的HTTP标头