Lầm tưởng về MTU: Tại sao phát hiện "Loại liên kết" trên BrowserLeaks thường sai

Khi kiểm tra vân tay trình duyệt trên các trang web như BrowserLeaks, bạn có thể thấy một phân loại rất cụ thể trong phần Dấu vân tay TCP/IP có tên là "Loại liên kết" (Link Type). Nhìn thấy một nhãn hiệu như OpenVPN UDP bs64 SHA1 lzo hoặc Probably IPsec or other VPN có thể khiến bạn lo lắng. Nó ngay lập tức kích hoạt những lo ngại về việc proxy của bạn có đang bị rò rỉ hay danh tính của bạn đang bị lộ trước các hệ thống chống gian lận.

Tuy nhiên, trong thế giới internet thực tế ngày nay, dữ liệu này thường là một phản hồi sai hoàn toàn (false positive). Bài viết này giải thích lý do tại sao phát hiện "Loại liên kết" phần lớn là một sự lầm tưởng lỗi thời, cách thức hoạt động của vân tay TCP/IP và lý do tại sao cấu hình mạng di động lại kích hoạt những cảnh báo giả này.

TCP/IP Fingerprinting thực sự hoạt động như thế nào

Để hiểu lý do tại sao phân loại này thường sai, chúng ta phải hiểu cách nó được tạo ra. Các công cụ như BrowserLeaks không chủ động kiểm tra hoặc chặn lưu lượng truy cập đã giải mã của bạn. Thay vào đó, họ sử dụng các công cụ dấu vân tay TCP/IP thụ động (đáng chú ý nhất là p0f) để xem xét các gói tin mạng được gửi trong quá trình thiết lập kết nối TCP ban đầu (handshake).

Cụ thể, p0f phân tích các thông số như:

• Maximum Segment Size (MSS - Kích thước phân đoạn tối đa): Lượng dữ liệu lớn nhất (tính bằng byte) mà một thiết bị có thể nhận trong một phân đoạn TCP đơn lẻ.
• Maximum Transmission Unit (MTU - Đơn vị truyền tải tối đa): Kích thước gói tin vật lý lớn nhất (tính bằng byte) có thể được truyền qua mạng. MTU được tính trực tiếp từ MSS (thường là MTU = MSS + 40 byte tiêu đề TCP/IP).
• TTL (Time to Live) và Kích thước cửa sổ TCP: Các giá trị mặc định của hệ thống cho thấy hệ điều hành máy chủ.

Nguồn gốc của lầm tưởng: Cơ sở dữ liệu lỗi thời

Các công cụ dấu vân tay so sánh thông số MTU/MSS kết nối của bạn với cơ sở dữ liệu chữ ký tĩnh. Các cơ sở dữ liệu này về cơ bản là ảnh chụp nhanh của các mạng lịch sử cũ:

• Thiết lập trong lịch sử: Nhiều năm trước, một cấu hình OpenVPN cụ thể với nén LZO trên mạng tiêu chuẩn là một trong số ít cấu hình luôn tạo ra MSS chính xác là 1368 byte (tương đương với MTU 1408).
• Ánh xạ tĩnh: Cơ sở dữ liệu p0f đã mã hóa cứng mối quan hệ này. Nếu một gói tin đến với MSS là 1368, cơ sở dữ liệu sẽ tuyên bố một cách mù quáng: "Đây là kết nối OpenVPN UDP".

Thực tế mạng hiện đại: MTU động

Thực tế Internet ngày nay rất năng động và tập trung vào thiết bị di động. Các nhà cung cấp dịch vụ Internet (ISP), đặc biệt là các nhà mạng di động (4G, 5G) và cáp quang sử dụng nhiều công nghệ đóng gói, đường hầm và quản lý dữ liệu để tối ưu hóa cơ sở hạ tầng của họ. Họ thường xuyên thiết lập kích thước MTU tùy chỉnh để ngăn chặn sự phân mảnh gói tin trên các băng tần di động.

Nếu nhà mạng di động hoặc ISP của bạn định cấu hình mạng của họ thành kích thước MTU dẫn đến MSS là 1368, p0f sẽ tự động dán nhãn kết nối của bạn là OpenVPN — ngay cả khi bạn chỉ đang sử dụng kết nối di động sạch, thông thường mà không có bất kỳ VPN hoặc proxy nào.

Ví dụ thực tế về các dự đoán lỗi thời

Hãy xem một số ví dụ thực tế về dấu vân tay TCP/IP của BrowserLeaks cho thấy các cấu hình mạng tiêu chuẩn được gán cho các loại liên kết rất cụ thể như thế nào:

Bài học rút ra

"Loại liên kết" trong dấu vân tay TCP/IP không phải là một phân tích xác định về lưu lượng truy cập của bạn; đó chỉ đơn thuần là một dự đoán dựa trên mức trung bình MTU lỗi thời từ thời kỳ trước. Một loại liên kết không bình thường hoặc rất cụ thể hầu như luôn chỉ là do ISP quản lý định tuyến mạng của họ, không phải là sự rò rỉ trong quyền riêng tư của bạn.

Khi bạn sử dụng các proxy di động SOCKS5 chất lượng cao có hỗ trợ UDP (như các proxy từ ProxyUDP), các gói tin của bạn sẽ được đóng gói hoàn toàn và định tuyến qua phần cứng mạng di động thực tế. Nếu máy quét phát hiện một chữ ký MTU lạ, nó chỉ đơn giản là đang nhìn thấy dấu vết mạng bình thường của nhà mạng di động — điều này thực sự giúp kết nối của bạn trông giống một người dùng di động thực tế và tự nhiên hơn!