virtuele serverlocaties


VPN-services promoten zichzelf doorgaans voor online beveiliging en anonimiteit en toegang tot geografisch geblokkeerde inhoud. En ze scheppen meestal op over het niet bijhouden van logboeken, hoge downloadsnelheid en diversiteit aan serverlocaties. Locatiediversiteit is niet alleen een opscheppunt. Dat wil zeggen, om de snelheid te maximaliseren, kiest u de dichtstbijzijnde server die niet geografisch is geblokkeerd. Dus met veel locaties is de kans groter dat een willekeurige willekeurige gebruiker een nabijgelegen snelle server zal vinden.

Soms bevindt de dichtstbijzijnde server die niet geografisch is geblokkeerd zich echter nog steeds op een ander continent. Daarom bieden sommige VPN-services ook virtuele locaties om betere prestaties te bieden. Dat wil zeggen, servers die zich niet bevinden waar ze lijken (meer daarover hieronder). Een server kan bijvoorbeeld een Amerikaans IP-adres hebben en dus toegang bieden tot alleen Amerikaanse inhoud. Maar het bevindt zich in de buurt van de gebruiker, of op een tussenliggende locatie, met een goede connectiviteit met zowel de gebruiker als de inhoudserver.

Er zijn nog andere redenen om u zorgen te maken over waar VPN-servers zich bevinden. Sommigen willen bijvoorbeeld geen servers gebruiken die zich in gevaarlijke landen bevinden, uit angst dat ze kunnen worden aangetast. En daarom geven ze de voorkeur aan virtuele locaties, die gewenste IP-adressen bieden zonder fysieke blootstelling. Ook zijn bij virtuele locaties fysieke serverlocaties enigszins verborgen.

Verschillende gebruikers hebben echter verschillende ideeën over welke landen gevaarlijk zijn. Sommige gebruikers beschouwen de VS en hun naaste bondgenoten als gevaarlijk (zie Five Eyes), nadat ze NSA-spullen hebben gezien die Snowden heeft uitgebracht. Maar anderen geven de voorkeur aan Amerikaanse servers, omdat er geen wettelijke verplichting is om logboeken bij te houden.

Een ander voor de hand liggend probleem is geld. Voor het bedienen van een bepaald gebruikersbestand kost het aantoonbaar minder algemeen om servers met een hoge capaciteit op een paar locaties te gebruiken in plaats van servers met een lage capaciteit (of zelfs VPS) op veel locaties. Hoewel servers met een hoge capaciteit meer kosten dan servers met een lage capaciteit, wordt capaciteit versus prijs niet lineair geschaald. Eén probleem is de vaste OS-overhead. Een andere is vaste hosting overhead, die de prijs beïnvloedt.

Er is ook het feit dat met behulp van virtuele locaties VPN-services groter en populairder kunnen lijken dan ze in werkelijkheid zijn. Zelfs het leasen van de servers met de laagste capaciteit die datacenters bieden, is het onwaarschijnlijk dat kleine VPN-services er honderden kunnen betalen. Maar door virtuele locaties te gebruiken, kunnen ze het vervalsen. En dat werkt zowel voor nieuwe VPN-services die groeien, als voor gevestigde die een contract afsluiten.

Bottom line, er zijn voor- en nadelen aan virtuele locaties. Voor zowel VPN-services als gebruikers. Maar het belangrijkste punt is dat gebruikers verdienen het om te weten waar VPN-servers zich bevinden. En als er virtuele locaties zijn, moeten deze nauwkeurig worden bekendgemaakt.

Algemener, vertrouwen is een grote zorg bij het gebruik van VPN-services, met name met behoud van logbestanden. Gebruikers kunnen de downloadsnelheid meten, ze kunnen de toegang tot geo-geblokkeerde inhoud verifiëren, maar ze hebben geen inzicht in het bewaren van logboeken - behalve wanneer VPN-gebruikers kapot gaan. En het komt er ofwel uit dat stammen werden geproduceerd of dat er geen te produceren waren.

Hoewel zowel HideMyAss als VyprVPN hun gebruik van virtuele locaties onthullen, is er nog steeds een ernstig gebrek aan transparantie. Ik heb dat gevonden locaties voor meer dan de helft van HideMyAss en VyprVPN IPv4-adressen zijn vrijwel zeker virtueel, en noch inhoudelijk het aantal of de identiteit van virtuele locaties onthult.

En het is niet alleen dat virtuele locaties niet worden onthuld. Het lijkt er ook op dat velen van hen een paar werkelijke locaties delen. Ik vind bijvoorbeeld dat 30% van de IPv4-adressen van VyprVPN zich in of nabij Nuland, NL bevinden. En dat 11% van hen zich in of nabij Singapore bevindt, SG. Geen van hen wordt bekendgemaakt als virtuele locaties.

Dat is ook het geval voor HideMyAss. Ik vind dat 12% van zijn IPv4 die niet als virtuele locaties wordt bekendgemaakt zich in of nabij Nuland, NL bevindt. Ook dat 13% van hen zich in of nabij Praag, CZ bevindt; en dat 9% zich in of nabij Vancouver, CA bevindt.

Colocatie is ook een probleem voor onthulde virtuele locaties. Bijvoorbeeld, 59% van IPv4 voor de onthulde virtuele locaties van Surfshark bevindt zich in of nabij Nuland, NL. Ook bevindt 23% van IPv4 voor de onthulde virtuele locaties van PureVPN zich in of nabij Nuland, NL; en 22% zijn in of nabij Los Angeles, VS. De belangrijk verschil, is echter dat Surfshark en PureVPN hebben bekendgemaakt deze virtuele locaties, zodat gebruikers kunnen kiezen.

Zoals ze zeggen: 'Lieg een keer tegen me, schaam je. Lieg twee keer tegen me, schaam me. '

Als VPN's niet eerlijk zijn over hun servers, waar liegen ze dan nog over??

Serverlocaties ontdekken

Je zou kunnen denken dat het eenvoudig is om serverlocaties te ontdekken. Er zijn openbare gegevens over servereigendom (whois) en over veronderstelde geografische locaties van IP-adressen (verschillende databases, beschikbaar via "wat is mijn IP?"). Het blijkt echter dat die gepubliceerde geografische locaties komen niet noodzakelijk overeen met werkelijke serverlocaties. Ze worden inderdaad nergens voor gebruikt! Ik zal daar hieronder meer over zeggen.

Dus nee, het is niet eenvoudig. Door services te gebruiken die primair bedoeld zijn om de bereikbaarheid van de webserver te bewaken, kunnen we VPN-servers van sondes op verschillende locaties pingen. Het ping-hulpprogramma meet de vertraging (round-trip latentie) tussen het verzenden van testpakketten naar een ander apparaat via het netwerk en het ontvangen van antwoorden. Het rapporteert eenvoudige statistieken (laatste waarde, minimum, maximum en gemiddelde) en pakketverlies. Intermitterende transmissievertragingen kunnen de latentie verhogen, dus de minimum round-trip tijd ("minrtt") is de meest betrouwbare maat voor de round-trip latentie.

Door dit project te doen, Ik heb meer dan 250.000 ping-metingen verzameld. Dat was nodig om voor elk IPv4-adres van een server een ping-probe te vinden met minrtt onder 100 msec, en idealiter onder 10 msec. Maar daarover later meer.

Je zou kunnen denken dat de sonde met de kleinste minrtt het dichtst bij de server staat. Er is echter aanzienlijke onzekerheid, omdat veel factoren de latentie van site tot site beïnvloeden en de geografische afstand niet noodzakelijk de belangrijkste is. In het bijzonder is het aantal betrokken routers belangrijker dan afstand. En dus is het trianguleren van locaties met behulp van ping minrtt volledig onwerkbaar.

Hoewel we niet op betrouwbare wijze precies kunnen ontdekken waar servers zich bevinden, we kunnen testen of geclaimde locaties fysiek aannemelijk zijn.Dat komt omdat ping minrtt maar liefst twee keer zo groot kan zijn als het product van de grote cirkelafstand tussen sonde en server en de snelheid van het licht. Alle andere factoren die van invloed zijn op de latentie bij heen en terug reizen, kunnen deze alleen maar vergroten. Geen van hen kan het verminderen voor een gegeven geografische afstand. Zo Als de berekende maximale signaaloverdrachtssnelheid hoger is dan de snelheid van het licht, moet er een fout zijn op de locatie van de server, de locatie van de sonde of beide.

Hoe virtuele serverlocaties mogelijk zijn

De details zijn ingewikkeld en vallen buiten het bestek van dit bericht. Maar eigenlijk zijn er drie niveaus van informatie over servers en waar deze zich bevinden. En ze worden afgehandeld door verschillende organisaties, die geen consistentie afdwingen.

De hoofdzaak is dat een VPN-provider kan gebrek aan coördinatie tussen internetorganisaties misbruiken om de ware locaties van zijn servers te verbergen. Dat wil zeggen, een VPN-provider kan IP-adressen leasen die eigendom zijn van verschillende ISP's, nominaal verspreid over de hele wereld. Maar het kan ze wel aankondigen via de ISP's die internettoegang bieden voor zijn servers. Dus verkeer gaat rechtstreeks naar hen, ongeacht de nominale locaties van die IP-adressen.

Autonome systemen (meestal ISP's) verkrijgen IP-adressen van Regional Internet Registries (RIR's). En de registraties specificeren geografische locaties. Wanneer bedrijven hun servers configureren, stellen ze accounts in bij een of meer ISP's en leasen ze IP-adressen van hen.

Onafhankelijk registreren bedrijven domeinnamen met verschillende domeinnaamregisters. Ze bieden organisatorische en contactinformatie. En ze specificeren ook nameservers, die hun domeinnamen toewijzen aan IP-adressen die hun ISP's aan hen hebben gedelegeerd. De hiërarchie Domain Name System (DNS) verzamelt die informatie van nameservers en maakt deze algemeen beschikbaar.

OK, zodat uw machine het IP-adres voor een bepaalde domeinnaam ontdekt en een verbinding tot stand brengt. Uw internetprovider moet dus weten hoe deze te bereiken. De nominale geografische locatie helpt niet. De internetprovider moet het beste pad kennen, van router naar router, via internet. Het begint met het ontdekken van het autonome systeemnummer (ASN) van de ISP die verkeer voor dat IP-adres afhandelt. Vervolgens vraagt ​​het ISP om aanwijzingen en krijgt het een border gateway-protocol (BGP) advertentie, die het kortste router-naar-router pad specificeert.

Maar hier is de vangst. Wanneer een bedrijf internetconnectiviteit regelt met zijn lokale ISP, kan het IP-adressen aankondigen dat het van andere ISP's is verhuurd, als die andere ISP's hiermee instemmen. En dan adverteert zijn ISP de kortste router-naar-router paden naar de servers van het bedrijf. Dus de ISP's die de IP-adressen bezitten, zijn niet betrokken bij het routeren van verkeer.

Toepassingsgebied en belangrijkste bevindingen

Ik keek naar OpenVPN-servers voor acht van de populairste VPN-services, waarvan sommige duizenden servers claimen, op honderden locaties.

  • ExpressVPN: "3.000 VPN-servers", "160 locaties", "94 landen"
  • HideMyAss: "We hebben 1000+ VPN-servers op 280+ locaties in 190+ landen over de hele wereld"
  • NordVPN: "Kies uit meer dan 5.100 NordVPN-servers in 59 landen en geniet van de snelste VPN-ervaring."
  • Perfecte privacy: "... in 26 landen", "Cascade van meerdere VPN-servers", "Geen verkeerslimiet"
  • PureVPN: "Ons wereldwijde netwerk van meer dan 2000 strategisch geplaatste servers helpt u elke beperking te overwinnen."
  • Surfshark: “1.040+ servers in 61+ landen. … Strikt no-logs-beleid ”
  • VPN.ac: "Betaalbaar", "Zeer snel en betrouwbaar", "Meerdere landen: 21 (VPN) ..."
  • VyprVPN: "meer dan 70 landen over de hele wereld", "meer dan 200.000 IP-adressen"

Ik vertrouwde alleen op locatie-informatie verstrekt door VPN-services, op hun websites en in OpenVPN-configuratiebestanden. Zes van de acht VPN-services maken locaties op stadsniveau bekend voor 98% -100% van de IPv4-adressen van de server. Maar ExpressVPN onthult locaties op stadsniveau voor slechts 65,0% van de server IPv4, en NordVPN onthult geen locaties op stadsniveau.

Vier van de acht VPN-services maken bekend tenminste wat virtuele locaties: ExpressVPN, HideMyAss, PureVPN en Surfshark. Hoewel die onthullingen juist lijken, zal dit bericht voor zover ze gaan focus op server IPv4 die niet worden onthuld als virtuele locaties. Terwijl VyprVPN onthult dat het virtuele locaties gebruikt, het zegt niet welke locaties virtueel zijn.

Het komt voor dat vijf van de acht VPN-services hebben alle of bijna al hun virtuele locaties bekendgemaakt:

  1. ExpressVPN
  2. NordVPN
  3. Perfecte privacy
  4. Surfshark
  5. VPN.ac

Drie daarvan (NordVPN, Perfect Privacy en VPN.ac) geven geen virtuele locaties vrij en ik zie voor geen enkel substantieel bewijs. Voor alle vijf VPN-services is locatie-plausibiliteit (aandeel server IPv4-adressen met schijnbare ping-snelheid onder 80% lightspeed) groter dan 95% voor naar verluidt niet-virtuele locaties. Met andere woorden, deze vijf VPN-services hebben alle of bijna alle virtuele locaties bekendgemaakt.

Echter, de plausibiliteit van locaties voor PureVPN is slechts 81% voor locaties die niet als virtueel zijn bekendgemaakt. Maar het is op zijn minst betwistbaar dat de fouten onopzettelijk zijn.

Omgekeerd, VyprVPN en HideMyAss zitten volledig in een andere competitie. Voor hen, minder dan de helft van naar verluidt niet-virtuele locaties is fysiek aannemelijk. Gebruikmakend van 80% tot 100% lightspeed als de snelheid van de ping-snelheid, is slechts 48% -51% van HideMyAss IPv4 fysiek aannemelijk. En slechts 41% -48% van VyprVPN IPv4 is fysiek aannemelijk.

Dat is samengevat in de volgende tabel. Het laat zien: 1) totale IPv4-adressen die ik voor elke VPN-service heb gevonden; 2) percentage bekendgemaakt als virtuele locaties; en 3) percentage locaties dat niet als virtueel is bekendgemaakt met een schijnbare ping-snelheid van meer dan 80% van de lichtsnelheid (waardoor ze fysiek ongeloofwaardig zijn).

VPN-service Totaal IPv4 vrijgegeven virtueel (%) ongeloofwaardig (%)
VyprVPN 73 0% 59%
HideMyAss 917 5% 52%
PureVPN 268 49% 19%
ExpressVPN 392 16% 5%
Surfshark 798 7% 4%
VPN.ac 117 0% 4%
Perfecte privacy 58 0% 2%
NordVPN 6138 0% 1%

Histogrammen van ping snelheid ten opzichte van de snelheid van licht tonen deze verschillen meer kwantitatief.

VPN-virtuele serverlocaties

Gevoeligheid voor Cutoff voor Ping Velocity

We weten dat de ping-snelheid niet groter kan zijn dan de snelheid van het licht in een vacuüm. En we weten dat radiolinks door de lucht bijna net zo snel zijn en dat de limiet in draad en vezel in de orde van 70% lichtsnelheid ligt. Hoewel we de mix van linktypen niet kennen, is het waarschijnlijk voornamelijk vezel voor lange afstanden, magnetron voor tussenliggende afstanden en vezel of draad voor korte afstanden.

Als een gevoeligheidstest heb ik gekeken naar de manier waarop de keuze van de ping-snelheidsbeperking de plausibiliteitsbeoordelingen van locaties beïnvloedt. In de onderstaande grafiek kunt u zien dat de belangrijkste resultaten niet worden beïnvloed door de keuze van de ping-snelheidssluiting. De acht VPN-services vallen in drie groepen: nauwkeurig over virtuele locaties (ExpressVPN, NordVPN, Perfect Privacy, Surfshark en VPN.ac); minder precies (PureVPN); en onnauwkeurig (HideMyAss en VyprVPN).

locatie plausibiliteit versus ping

Gevoeligheid voor nauwkeurigheid van openbaarmaking van locaties

Hoewel vrijwel alle NordVPN-locaties fysiek aannemelijk zijn, wordt geen enkele locatie op stadsniveau bekendgemaakt. Voor grote landen is dat helemaal niet juist. Wanneer de laagste minrtt-sonde zich in hetzelfde land bevindt als de VPN-server, moet men ervan uitgaan dat deze zich in dezelfde stad bevindt, dus de afstand is nul. En anders moet men de afstand schatten van de sonde tot de dichtstbijzijnde grens van het VPN-serverland. Dat is ook een probleem voor 35% van de IPV4-adressen van de ExpressVPN-server.

Echter, verschillen in locatienauwkeurigheid hebben geen wezenlijke invloed op de belangrijkste resultaten.

Ik heb het probleem op twee manieren onderzocht. Ten eerste negeerde ik eenvoudig stadsinformatie voor VPN-servers. En ten tweede gebruikte ik locatie-informatie van regionale internetregisters (RIR's) om de aangeboden stadsinformatie aan te vullen. Het gebruik van stadsinformatie van RIR's verminderde locatie-plausibiliteit tot 94% voor NordVPN, maar had weinig effect voor ExpressVPN. Omgekeerd verhoogde het negeren van stadsinformatie de locatie-plausibiliteit tot 100% voor Surfshark, Perfect Privacy en VPN.ac, maar had weinig effect voor ExpressVPN. Voor PureVPN verhoogde het negeren van stadsinformatie de locatie-plausibiliteit van 81% tot 88%.

Leugens versus statistieken: VPN virtuele serverlocaties

Virtuele locaties verschijnen geclusterd

Onthulde virtuele locaties en fysiek onwaarschijnlijke locaties (die aantoonbaar niet-vrijgegeven virtuele locaties zijn) worden blijkbaar vaak in colocatie geplaatst. Dit is het gemakkelijkst te zien in spreidingsplots van gerapporteerde probe-server-afstand versus waargenomen minrtt. IPv4 voor fysiek aannemelijke locaties valt onder een lijn bij 80% lichtsnelheid, en in het algemeen in het bereik van 30% -50% lichtsnelheid. In deze spreidingsplots gebruik ik log (minrtt) als de X-as om het lage bereik te spreiden, wat het meest interessant is. En dus verschijnen de lichtsnelheidscurven als exponentieel, in plaats van als lineair.

Het is niet verwonderlijk dat virtuele locaties zijn geclusterd, omdat er niet zoveel datacenters (DC's) zijn met connectiviteit met Internet Exchange Points (IXP's) en dus met meerdere netwerken. Ook zijn IXP's zelf vaak geclusterd en worden ze geassocieerd met een paar nabijgelegen DC's en colocatiefaciliteiten.

Voor PureVPN-locaties die niet als virtueel worden bekendgemaakt, zijn de meeste fysiek ongeloofwaardige IPv4 blijkbaar samengevoegd met bekendgemaakte virtuele locaties. Dat wil zeggen, ze vallen in kolommen nabij bepaalde minrtt-waarden, met een breed bereik van gerapporteerde probe-server-afstand. Elke kolom bevat gegevens voor slechts één sondelocatie.

Leugens versus statistieken: VPN virtuele serverlocaties

Analoge kolommen zijn zichtbaar in de Surfshark-gegevens voor onthulde virtuele locaties.

Leugens versus statistieken: VPN virtuele serverlocaties

Net als bij virtuele locaties die worden onthuld door PureVPN en Surfshark, vallen de meeste fysiek ongeloofwaardige HideMyAss IPv4 ook in kolommen in de buurt van bepaalde minrtt-waarden, waarbij elke kolom gegevens bevat voor slechts één sondelocatie.

Leugens versus statistieken: VPN virtuele serverlocaties

Analoge kolommen zijn duidelijk voor fysiek ongeloofwaardige VyprVPN-locaties.

Leugens versus statistieken: VPN virtuele serverlocaties

Het is niet altijd zo duidelijk in de grafieken hoeveel IPv4 er in elk schijnbaar cluster verschijnen. Omdat er veel overlap is. Ik identificeerde tien schijnbare clusters, met elk honderden tot duizenden IPv4.

VPN ServiceProbe Cityminrtt (msec) IPv4-telling
HideMyAss Nuland 8.51 47
HideMyAss Nuland 9.54 62
HideMyAss Praag 4.96 114
HideMyAss Vancouver 6.57 225
PureVPN Los Angeles 1.11 146
PureVPN Nuland 3.22 30
Surfshark Nuland 5.36 34
VyprVPN Nuland 2.19 14
VyprVPN Nuland 3.16 8
VyprVPN Singapore 2.23 8

Voor de andere zes VPN-services zijn er weinig IPv4 boven de 50% lightspeed-lijn en dergelijke kolommen zijn niet evident. Voor ExpressVPN zijn er een paar fysiek ongeloofwaardige IPv4, maar ze staan ​​niet in kolommen.

Leugens versus statistieken: VPN virtuele serverlocaties

Zo ook voor NordVPN.

Leugens versus statistieken: VPN virtuele serverlocaties

Er zijn geen fysiek ongeloofwaardige IPv4 voor perfecte privacy.

Leugens versus statistieken: VPN virtuele serverlocaties

En slechts een paar voor VPN.ac, met geen enkele in kolommen.

Leugens versus statistieken: VPN virtuele serverlocaties

Ik vind bijvoorbeeld deze schijnbare clusters voor virtuele locaties die worden onthuld door PureVPN en Surfshark. De kolom "Werkelijke locatie" komt overeen met de ping-sonde met de laagste minrtt. De kolom 'Delen' toont het aandeel van onthulde virtuele locaties.

VPN-service Werkelijke locatieNumberShare
PureVPN Los Angeles, VS. 29 22%
PureVPN Nuland, NL 30 23%
Surfshark Nuland, NL 34 59%

Ik vind ook ogenschijnlijke clusters voor locaties die niet zijn verborgen als virtueel door HideMyAss en VyprVPN. Hier toont de kolom 'Delen' het procentuele aandeel van alle locaties.

VPN-service Werkelijke locatieNumberShare
HideMyAss Nuland, NL 109 12%
HideMyAss Praag, NL 114 13%
HideMyAss Vancouver, CA 77 9%
VyprVPN Nuland, NL 22 30%
VyprVPN Singapore, SG 8 11%

methoden

Perfect Privacy maakt verbinding met zijn servers via IPv4-adres. Maar de andere zeven gebruiken hostnamen. Voor hen heb ik DNS-lookups uitgevoerd met behulp van het Linux-hosthulpprogramma om overeenkomstige IPv4-adressen te krijgen. Veel hostnamen worden omgezet in meerdere IPv4-adressen, en die kunnen verschillende servers vertegenwoordigen, die zich in verschillende datacenters bevinden. En dus, om de consistentie te waarborgen, verzamelde ik ping-gegevens via IPv4 in plaats van op hostnaam.

Deze tabel bevat informatie over IPv4-adressen. De kolom "Tekstclaim" is gebaseerd op de citaten van de website aan het begin van de sectie "Bereik en belangrijkste bevindingen". De meeste VPN-services vermelden geen nummers van IP-adressen van servers. Gezien het feit, gaat de IPv4-telling hier uit van ten minste één IPv4-adres per server of locatie.

De twee kolommen onder "Van servergegevens" zijn gebaseerd op serverlijsten, namen van OpenVPN-configuratiebestanden en / of serverhostnamen. De kolom "Virtueel" toont IPv4 voor locaties die als virtueel zijn geopenbaard en de kolom "Overig" toont de rest.

Maar daar kunnen meerdere servers achter elke IPv4 zijn voor taakverdeling. Daarom zijn verschillen tussen deze cijfers en citaten van VPN-websites niet noodzakelijk problematisch.

De kolom "Plausibel" onder "Van ping-gegevens" toont het percentage IPv4 voor naar verluidt niet-virtuele locaties die fysiek aannemelijk zijn, op basis van de ping-gegevens die ik heb verzameld, met 80% -90% lightspeed als de snelheid van de ping-snelheid.

Tekstuele claimVan servergegevensVan ping-gegevens
VPN-service IPv4 virtueel anders Aannemelijk
ExpressVPN >3000 63 329 95%
HideMyAss >1000 44 873 48% -49%
NordVPN >5100 0 6203 100%
Perfecte privacy >26 0 58 98%
PureVPN >2000 131 138 81%
Surfshark >1040 58 740 97%
VPN.ac >21 0 117 96% -97%
VyprVPN >200.000 0 73 41% -44%

Voor HideMyAss, NordVPN, Perfect Privacy en VPN.ac vind ik een aantal IPv4-adressen en locaties die min of meer consistent zijn met claims op hun websites. Voor Surfshark vind ik aanzienlijk minder IPv4-adressen dan verwacht, als elke server ten minste één IPv4-adres heeft.

Maar voor ExpressVPN en PureVPN vind ik slechts 13% van de verwachte IPv4-adressen. En voor VyprVPN, slechts 0,04% van de verwachte IPv4-adressen. Met gepubliceerde hostnamen heb ik in de loop van ongeveer een week meerdere DNS-zoekopdrachten uitgevoerd voor alle drie. Ik deed dat ook voor HideMyAss. Dat leverde een langzaam verschuivende set IPv4-adressen op voor ExpressVPN, PureVPN en HideMyAss, maar er was geen wezenlijke verandering in het aantal adressen. En voor VyprVPN kreeg ik consequent dezelfde 73 IPv4-adressen.

Dit is hier echter niet de focus. Ik noem het alleen om zo duidelijk mogelijk te zijn over welke IP-adressen ik resultaten rapporteer. Omdat ik duidelijk niets kan zeggen over IP-adressen die ik niet heb getest.

Er zijn veel redenen waarom ik sommige IP-adressen niet zou hebben gedetecteerd en getest. Ik gebruik een alleen-IPv4-uplink en zie dus geen IPv6-adressen. Er kunnen ook tal van servers achter elk openbaar IPv4-adres zijn voor taakverdeling. En er kunnen talloze IP-adressen zijn die gebruikers niet kunnen zien, omdat ze indirect worden gebruikt als exits, om censuur te ontwijken en toegang te krijgen tot geo-beperkte inhoud.

Voor elke VPN-server IPv4 heb ik een poging gedaan om een ​​sonde te vinden met minrtt onder 100 msec, en waar mogelijk onder 10 msec. Ik gebruikte drie ping-testdiensten: Ping.pe, CA App Synthetic Monitor (CASM) en MapLatency. Aanvankelijk gebruikte ik headless Chrome om gegevens van Ping.pe te verzamelen voor elke IPv4. Dat leverde meestal gegevens op voor 20-25 sondes voor elke IPv4, afhankelijk van welke sondes omhoog waren en welke de IPv4 die getest werd konden bereiken. De meeste IPv4 waren onbereikbaar voor de 13 Ping.pe-sondes op het Chinese vasteland.

Ik analyseerde de Ping.pe-gegevens en selecteerde IPv4 waarbij de laagste minrtt groter was dan 10 msec. Ik verzamelde vervolgens gegevens voor die IPv4 van CASM en MapLatency, toegang tot hun API's met behulp van Chrome zonder hoofd. Meer dan 60 "monitoringstations" zijn beschikbaar via de CASM API. De MapLatency API biedt toegang tot duizenden sondes die op pc's, mobiele Android-apparaten en DD-WRT-routers wereldwijd worden uitgevoerd. Gezien het feit dat het pingen van elke IPv4 van elke sonde duur en tijdrovend zou zijn geweest. En ook overbodig. Dus voor elke IPv4 selecteerde ik nabijgelegen probes.

Bij het selecteren van de te gebruiken ping-sondes vertrouwde ik op beide geclaimde locaties (van VPN-servicewebsites, namen van OpenVPN-configuratiebestanden en serverhostnamen) en RIPE-gegevens gerapporteerd in de Ping.pe-tests. Gemiddeld verzamelde ik ongeveer 30 ping-metingen in totaal voor elke IPv4. Voor die IPv4 waar de initiële Ping.pe-run een minrtt onder 10 msec opleverde, waren er maar 20 metingen. En voor die IPv4 zonder lage minrtt in de Ping.pe-gegevens, die meestal niet in de grote steden waren, waren er maar liefst 50 metingen. Ik identificeerde probes met minrtt onder 10 msec voor 74% -96% van de IPv4 in de verschillende VPN-servicegegevens.

VPN Serviceminrtt < 10 msec (%)
ExpressVPN 89%
HideMyAss 78%
NordVPN 86%
Perfecte privacy 76%
PureVPN 74%
Surfshark 75%
VPN.ac 96%
VyprVPN 75%

Om te controleren op verkeerd geplaatste ping-sondes, heb ik alle ping-gegevens voor sondes geëxtraheerd die een ongeloofwaardige locatie voor een IPv4 aangaven in mijn analyse van minimale minrtt-gegevens voor ExpressVPN, HideMyAss, NordVPN en PureVPN. In kaart brengen server-probe afstand versus minrtt, veel van de gegevens liggen ruim boven de 50% lichtsnelheid lijn.

Leugens versus statistieken: VPN virtuele serverlocaties

Als ik de IPv4 echter op ongeloofwaardige locaties laat vallen, vallen de gegevens meestal onder de lichtsnelheid van 50%. Dus de sondes waarop ik vertrouw om onwaarschijnlijke IPv4-locaties te identificeren, hebben zelf geen onwaarschijnlijke locaties.

Leugens versus statistieken: VPN virtuele serverlocaties

Meer bewijs voor het clusteren van virtuele locaties

In spreidingsdiagrammen van gerapporteerde afstand versus waargenomen minimale minrtt, vallen de meeste fysiek ongeloofwaardige IPv4 in kolommen nabij bepaalde minrtt-waarden, waarbij elke kolom gegevens bevat voor slechts één sondelocatie. Dat geldt ook voor virtuele locaties die worden onthuld door PureVPN en Surfshark. Als de IPv4 in elke kolom daadwerkelijk is geplaatst, moeten ze ook worden geclusterd voor andere sondes, en niet alleen voor de sonde met minimale minrtt.

Ik keek naar vier schijnbare clusters met minimum minrtt voor sondes in Nuland, NL: HideMyAss en VyprVPN-clusters op niet-vrijgegeven virtuele locaties, en PureVPN- en Surfshark-clusters op openbaar gemaakte virtuele locaties. Ik haalde gegevens voor elke set van IPv4 uit de volledige ping minrtt-gegevensset en bracht de server-probe-afstand in kaart versus minrtt.

Voor PureVPN is hetzelfde IPv4-cluster min of meer evident voor sondes in tal van steden, in Europa, Noord-Amerika, Azië en Australië. Scatter neemt toe voor verder afgelegen sondes in Europa, maar is minder voor de meeste sondes in Noord-Amerika. Tokyo en Sydney zijn zo ver weg van de virtuele locaties dat het cluster instort.

Leugens versus statistieken: VPN virtuele serverlocaties

Het resultaat voor Surfshark is vergelijkbaar, maar er is minder verspreiding in Europa en minder instorting van clusters in Tokio en Sydney.

Leugens versus statistieken: VPN virtuele serverlocaties

Dat is ook het geval voor verborgen geheime virtuele locaties van HideMyAss. Hoewel er nog veel meer zijn, blijft het cluster over het algemeen goed gedefinieerd.

Leugens versus statistieken: VPN virtuele serverlocaties

De resultaten voor niet-vrijgegeven virtuele locaties van VyprVPN lijken veel op die voor virtuele PureVPN-locaties, maar met een veel grotere afstandsverschuiving.

Leugens versus statistieken: VPN virtuele serverlocaties

Het lijkt erop dat de IPv4 in elk schijnbaar cluster feitelijk colocated is. Hoewel er enige verspreiding is, tonen veel verschillende sondes dezelfde sets IPv4 in kolommen. En de minrtt voor elk cluster neemt meestal toe met de afstand.

Ervan uitgaande dat elk van die vier schijnbare clusters feitelijk in Nuland zijn gevestigd, krijg ik een veel eenvoudiger plot van server-probe-afstand versus minrtt.

Leugens versus statistieken: VPN virtuele serverlocaties

Resultaten voor sondes in de verschillende regio's zijn gescheiden. Voor Europa is er een groep van 1-30 msec: Nuland, NL; Bochum, DE; Parijs, FR; Neurenberg, DE; en Milaan, IT. Dan is er een gat over de Atlantische Oceaan, met blijkbaar veel snellere transmissie. Ik gok dat trans-Atlantische kabels niet veel routers hebben. Vervolgens zijn er groepen voor Oost- en West-Noord-Amerika, met snellere overdracht dan Europa, maar langzamer dan over de Atlantische Oceaan. Dat weerspiegelt waarschijnlijk ook de routerdichtheid. Ten slotte zijn er sprongen naar Azië en Australië.

Het feit dat de afstanden voor Azië slechts iets groter zijn dan die voor het westen van Noord-Amerika, is in eerste instantie verrassend. Omdat de breedte van de Stille Oceaan ruim 10.000 km is. Maar de minimale grote cirkelafstand tussen Nuland en Azië is slechts 6.000-8.000 km, vanuit Nuland oostwaarts. Desondanks ging het verkeer, om welke reden dan ook, duidelijk naar het westen vanuit Nuland en door Noord-Amerika.

Conclusie

Om het kort te houden, hier is een overzicht van mijn werk voor dit artikel en de algemene bevindingen.

  • Ik verzamelde meer dan 250.000 ping-metingen voor OpenVPN-servers van acht van de populairste VPN-services.
  • Er zijn voor- en nadelen aan virtuele locaties. Maar toch verdienen gebruikers het om te weten waar VPN-servers zich bevinden. En als er virtuele locaties zijn, moeten deze nauwkeurig worden bekendgemaakt.
  • VPN-providers kunnen gebruikmaken van gebrek aan coördinatie tussen internetorganisaties om echte locaties van hun servers te verbergen.
  • Hoewel het niet eenvoudig is om servers betrouwbaar te geoloceren, kunnen we testen of geclaimde locaties fysiek plausibel zijn. Dat wil zeggen, als de berekende maximale signaaloverdrachtssnelheid hoger is dan de lichtsnelheid, en locaties van ping-sondes nauwkeurig bekend zijn, moet er een fout zijn in de locatie van de server. En serverlocaties die fysiek niet aannemelijk zijn, moeten onjuist zijn. Of met andere woorden, virtueel.
  • Drie van die VPN's (NordVPN, Perfect Privacy en VPN.ac) maken geen virtuele locaties bekend en ik vind geen substantieel bewijs voor.
  • Vier van de acht VPN-services (ExpressVPN, HideMyAss, PureVPN en Surfshark) onthullen ten minste enkele virtuele locaties.
  • VyprVPN onthult vaag dat het virtuele locaties gebruikt (in een blogpost van 2017), maar zegt niets over hun nummer of identiteit
  • Virtuele locaties lijken in enkele steden te zijn geclusterd.
  • In totaal hebben vijf van de acht VPN-services (ExpressVPN, NordVPN, Perfect Privacy, Surfshark en VPN.ac) blijkbaar alle of bijna al hun virtuele locaties bekendgemaakt.
  • Meer dan (59%) van de onthulde virtuele locaties van Surfshark lijkt in of nabij Nuland, NL te zijn.
  • Hoewel PureVPN onthult dat 49% van zijn locaties virtueel is, is nog eens 10% virtueel.
  • Bijna de helft (45%) van de onthulde virtuele locaties van PureVPN lijkt in of nabij twee steden te zijn (Los Angeles, VS en Nuland, NL).
  • HideMyAss onthult dat 5% van zijn locaties virtueel is, maar nog eens 48% is blijkbaar virtueel.
  • VyprVPN onthult specifiek geen virtuele locaties, maar 59% is blijkbaar virtueel.
  • De meeste niet-ontdekte virtuele locaties van VyprVPN (41% van de 59%) lijken in of nabij twee steden te zijn (Nuland, NL en Singapore, SG).
James Rivington Administrator
Sorry! The Author has not filled his profile.
follow me