Міф про MTU: чому визначення «типу з'єднання» на BrowserLeaks часто є помилковим

Під час перевірки цифрового відбитка вашого браузера на таких ресурсах, як BrowserLeaks, у розділі TCP/IP відбитка ви можете побачити вкрай деталізований параметр — «Тип з'єднання» (Link Type). Такі написи, як OpenVPN UDP bs64 SHA1 lzo або Probably IPsec or other VPN, здатні викликати паніку. Користувачі одразу хвилюються, чи не протікає їхній проксі та чи не викрили їх системи захисту від шахрайства.

Проте в сучасному реальному інтернеті такі дані найчастіше є повністю хибним спрацьовуванням (false positive). У цій статті ми пояснимо, чому визначення «Типу з'єднання» — це застарілий міф, як насправді влаштований фінгерпринтинг TCP/IP та чому особливості налаштувань мобільних провайдерів спричиняють такі помилкові тривоги.

Як насправді працює TCP/IP-фінгерпринтинг

Для розуміння природи помилкових результатів важливо розібратися в самому процесі. Інструменти на зразок BrowserLeaks не сканують ваш розшифрований трафік. Замість цього вони використовують пасивні утиліти TCP/IP фінгерпринтингу (найвідоміша серед яких — p0f), які аналізують мережеві пакети під час первинного встановлення зв'язку TCP (handshake).

Зокрема, утиліта p0f досліджує такі параметри:

• Maximum Segment Size (MSS - Максимальний розмір сегмента): Найбільший обсяг даних (у байтах), який пристрій готовий прийняти в одному TCP-сегменті.
• Maximum Transmission Unit (MTU - Максимальна одиниця передачі): Найбільший фізичний розмір пакета (у байтах), який мережа може передати без фрагментації. MTU розраховується прямо з MSS (зазвичай MTU = MSS + 40 байт на службові заголовки TCP/IP).
• TTL (Time to Live) та розмір вікна TCP: Системні налаштування за замовчуванням, які вказують на операційну систему пристрою.

Корінь проблеми: застарілі бази даних сигнатур

Сканери зіставляють значення MTU/MSS вашого з'єднання зі своїми статичними базами сигнатур. Ці бази є знімками конфігурацій старих мереж:

• Історичне значення: Роки тому конкретна конфігурація OpenVPN із компресією LZO на звичайному каналі зв'язку стабільно забезпечувала розмір MSS рівно 1368 байт (що відповідає значенню MTU 1408).
• Жорстке правило в БД: База сигнатур p0f назавжди зафіксувала цей зв'язок. Якщо пакет надходить із розміром MSS 1368, база автоматично заявляє: «Це підключення OpenVPN UDP».

Реальність сучасних мереж: динамічні MTU

Сучасний інтернет є динамічним та здебільшого мобільним. Інтернет-провайдери (ISP), особливо оператори стільникових мереж 4G, 5G та оптоволоконних ліній, використовують різноманітні технології інкапсуляції, тунелювання та оптимізації трафіку. Для запобігання фрагментації пакетів під час передачі радіоканалами оператори часто встановлюють специфічні, на перший погляд випадкові значення MTU.

Якщо ваш мобільний провайдер налаштує конфігурацію своєї мережі із MTU, що дає MSS 1368, утиліта p0f сліпо позначить ваше з'єднання як OpenVPN — навіть якщо ви підключені через звичайну стільникову мережу без використання будь-яких VPN або проксі-серверів.

Реальні приклади застарілих здогадок

Погляньмо на реальні приклади відбитків TCP/IP з BrowserLeaks, які показують, як прості стандартні налаштування мережі визначаються як вузькоспеціалізовані типи підключень:

Висновки

Показник «Тип з'єднання» у відбитку TCP/IP не є точним аналізом вашого трафіку; це звичайне припущення на основі застарілих даних про середній розмір MTU. Нестандартний або специфічний тип з'єднання майже завжди свідчить лише про те, як ваш провайдер керує маршрутизацією у своїй мережі, а не про витік вашого реального IP чи збій анонімності.

Коли ви використовуєте високоякісні мобільні SOCKS5-проксі з підтримкою UDP (як-от від ProxyUDP), ваші мережеві пакети повністю інкапсулюються і проходять через справжнє обладнання стільникового зв'язку. Якщо сканер виявляє нетиповий розмір MTU, він зчитує звичайний, автентичний відбиток вишки мобільного оператора, що насправді робить ваше підключення для захисних систем абсолютно ідентичним підключенню реального мобільного клієнта!