Wykrywanie użycia VPN

VPN (Virtual Private Network) pozwala na ukrycie prawdziwego adresu IP użytkownika. Wireshark może pomóc w wykryciu jego użycia poprzez analizę specyficznych protokołów i nietypowych wzorców ruchu.

Przykładowe techniki wykrywania VPN:

• Analiza ruchu do znanych serwerów VPN:
  ip.dst == 198.51.100.0/24 or ip.dst == 203.0.113.0/24
• Identyfikacja protokołów VPN (OpenVPN, IPsec, WireGuard):
  udp.port == 1194 or esp
• Wykrywanie tunelowania ruchu przez HTTPS lub DNS:
  tls.handshake.extensions_server_name contains "vpn"