ISP能区分/识别NAT背后的设备吗？

Question

假设我有一台PC和一部智能手机，两者都连接到我的家庭路由器。

场景1. PC和智能手机在每个设备上都安装了VPN客户端。两个设备使用相同的VPN协议连接到同一个VPN服务器。路由器本身没有配置为使用VPN。

场景2. PC和智能手机没有安装任何VPN客户端。相反，家庭路由器是一个VPN网关，它通过VPN隧道所有流量。

本地被动窃听者(例如ISP)看到传出和传入的通信量，试图告诉当前有多少设备(路由器后面)正在产生通信量。这在每个场景中都是可能的吗？

Answer 1

如果两个设备都有自己的VPN连接，则很可能在ISP级别上检测到这一点。虽然不同的VPN协议之间的细节不同，但是，例如，在IPSec或OpenVPN以及与基于TLS的VPN的独立TCP连接的情况下，应该能够检测到多个内部设备的密钥交换。即使单个设备没有与VPN端点的永久连接(比如在VPN之类的东西上)，并且总是创建一个新的TCP连接，也可能使用一些启发式的基于OS特性、TCP时间戳或类似的方法来检测不同的设备。

如果VPN的起点不是每个客户端系统，而是只有共享路由器，那么计算路由器后面有多少系统要困难得多。可以尝试对VPN流量进行流分析，并从行为(定时、分组方向、数据包大小、流量突发.)中扣除.如果这看起来像一个用户浏览网页，或者它看起来更像多个用户并行。分析的流量越多，捕获的流量的时间越长，这个结果可能就越准确。