Tuyên bố vị trí VPN không khớp với quốc gia thoát lưu lượng thực tế

 (ipinfo.io)
11 điểm bởi GN⁺ 2025-12-14 | 2 bình luận | Chia sẻ qua WhatsApp
  • Kết quả phân tích 20 VPN lớn cho thấy 17 dịch vụ có điểm thoát lưu lượng thực tế khác với quốc gia được tuyên bố, và nhiều dịch vụ dùng chung cùng một trung tâm dữ liệu tại Mỹ hoặc châu Âu
  • Kết quả đo hơn 150.000 IP thoát VPN cho thấy 38 quốc gia là ‘chỉ tồn tại dưới dạng ảo’, tức lưu lượng thực tế không đi ra từ các quốc gia đó
  • Chỉ Mullvad, IVPN, Windscribe là khớp giữa tuyên bố và vị trí thực tế ở mọi quốc gia; các dịch vụ còn lại có mức độ sai lệch đáng kể
  • ‘Vị trí ảo’ là cấu trúc trong đó VPN hiển thị một quốc gia cụ thể nhưng lưu lượng thực tế lại đi ra từ khu vực khác, chẳng hạn như Miami hoặc London
  • Khoảng cách giữa số quốc gia mà VPN tuyên bố hỗ trợ và vị trí vật lý thực tế dẫn tới vấn đề về tính minh bạch và độ tin cậy, và IPinfo sử dụng cách tiếp cận dữ liệu đo đạc thực tế dựa trên ProbeNet để giải quyết điều này

Kết quả điều tra quy mô lớn về sai lệch vị trí VPN

  • IPinfo đã phân tích 20 VPN phổ biến và xác nhận 17 dịch vụ khác với quốc gia thoát lưu lượng thực tế
    • Một số VPN tuyên bố hỗ trợ hơn 100 quốc gia, nhưng trên thực tế lại chia sẻ một số ít trung tâm dữ liệu ở Mỹ và châu Âu
  • Tổng cộng 150.000 IP thoát được đo theo chuẩn của 137 quốc gia
    • 38 quốc gia chỉ tồn tại dưới dạng ảo, tức không có VPN nào có lưu lượng thực tế đi ra từ quốc gia đó
    • Chỉ 3 VPN có thể xác minh thực tế tất cả các vị trí đã tuyên bố
    • Phát hiện khoảng 8.000 lỗi định vị IP trong các bộ dữ liệu hiện có
  • Kết quả đo từ ProbeNet cho thấy phần lớn VPN có số quốc gia thực tế ít hơn số đã tuyên bố

Kết quả đo thực tế theo từng VPN

  • So sánh số quốc gia mà từng VPN tuyên bố với số quốc gia thực tế đã được đo
    • Mullvad, IVPN, Windscribe hoàn toàn khớp với tỷ lệ sai lệch 0%
    • NordVPN, ExpressVPN, CyberGhost và các dịch vụ khác có hơn một nửa số vị trí là ảo hoặc không thể đo được
  • Số quốc gia mà VPN tuyên bố càng nhiều thì tỷ lệ sai lệch càng cao, và các tuyên bố kiểu ‘100+ quốc gia’ khó có thể tin cậy

Ý nghĩa của vị trí ảo (Virtual Location)

  • Ngay cả khi VPN hiển thị “Bahamas” hoặc “Somalia”, lưu lượng thực tế vẫn có thể đi ra từ Miami, Mỹ hoặc London, Anh
    • Thông tin đăng ký IP cũng có thể hiển thị là “Country X” dựa trên dữ liệu tự khai báo, nhưng đo đạc mạng thực tế lại cho thấy đó là quốc gia khác
  • ProbeNet của IPinfo xác nhận vị trí dựa trên RTT thực tế (độ trễ khứ hồi) thông qua hơn 1.200 điểm đo trên toàn cầu
  • Trong toàn bộ dữ liệu, 97 quốc gia là ảo hoặc không thể đo được, trong đó 38 quốc gia chỉ tồn tại hoàn toàn dưới dạng vị trí ảo

Nghiên cứu trường hợp: Bahamas và Somalia

  • Bahamas: NordVPN, ExpressVPN, PIA, FastVPN, IPVanish đều được đo thấy lưu lượng đi ra từ Mỹ
    • RTT theo mốc Miami là 0,15~0,42ms, cho thấy đây thực chất là máy chủ đặt tại Mỹ
  • Somalia: NordVPN và ProtonVPN hiển thị là “Mogadishu”, nhưng lưu lượng thực tế được đo từ Nice, PhápLondon, Anh
    • RTT 0,33~0,37ms xác nhận đó là máy chủ ở châu Âu

Sai sót trong các bộ dữ liệu IP hiện có

  • Các nhà cung cấp dữ liệu IP hiện có sử dụng thông tin dựa trên tự khai báo, nên giữ nguyên các vị trí sai của VPN
  • Kết quả so sánh 736 IP thoát VPN giữa phép đo của ProbeNet và các bộ dữ liệu hiện có cho thấy:
    • Sai số trên 1.000km là 83%, trên 5.000km là 28%, trên 8.000km là 12%
    • Sai số trung vị khoảng 3.100km
  • ProbeNet cho thấy RTT trung bình 0,27ms, với 90% dưới 1ms, xác nhận mức độ gần với vị trí vật lý thực tế

Vấn đề niềm tin và lý do kỹ thuật

  • Các lý do kỹ thuật để dùng vị trí ảo
    • Tránh rủi ro quy định và giám sát, khác biệt về chất lượng hạ tầng, giảm chi phí và cải thiện hiệu năng
  • Tuy nhiên, vấn đề niềm tin phát sinh ở các điểm sau
    • Thiếu công khai rõ ràng: không hiển thị theo kiểu “Virtual Bahamas (hosted in US)”
    • Vấn đề về quy mô: hàng chục quốc gia chỉ tồn tại dưới dạng vị trí ảo
    • Sự phụ thuộc vào dữ liệu: báo chí, NGO, hệ thống bảo mật... có nguy cơ tin vào thông tin vị trí sai

Hàm ý đối với người dùng

  • Cần xem ‘100+ quốc gia’ là con số mang tính marketing
    • Trong 17 VPN, có 97 quốc gia không thực sự tồn tại về mặt thực tế
  • Cần kiểm tra cách VPN hiển thị vị trí: có dùng máy chủ ảo hay không, có công khai vị trí hosting thực tế hay không
  • Khi sử dụng dữ liệu IP, cần xác minh nguồn: thay vì chỉ nhìn vào chỉ số độ chính xác, cần kiểm tra xem đó có phải dữ liệu dựa trên đo đạc thực tế hay không
  • Đây không hẳn là vấn đề của bản thân việc dùng VPN, mà là sự nhấn mạnh vào tính minh bạch và tầm quan trọng của dữ liệu dựa trên bằng chứng

Cách tiếp cận dựa trên đo đạc của IPinfo

  • Các nhà cung cấp dữ liệu IP truyền thống phụ thuộc vào thông tin đăng ký RIR và dữ liệu tự khai báo
  • IPinfo áp dụng phương pháp đo đạc thực tế dựa trên ProbeNet
    1. Vận hành hơn 1.200 PoP (điểm đo)
    2. Xác định vị trí địa chỉ IPv4 và IPv6 bằng đo thời gian thực dựa trên RTT
    3. Suy ra vị trí dựa trên thông tin địa lý có cơ sở bằng chứng, phản ánh cách Internet thực sự vận hành
  • Cách tiếp cận này nhằm giảm lỗi do tự khai báo và đảm bảo độ chính xác lấy dữ liệu đo đạc làm trung tâm

Phương pháp điều tra

  • Thu thập hơn 6 triệu điểm dữ liệu từ website, tệp cấu hình, API... của 20 nhà cung cấp VPN
  • Kết nối trực tiếp tới từng vị trí VPN để đo IP thoát và RTT
  • So sánh quốc gia mà VPN tuyên bố với quốc gia thực tế mà ProbeNet đo được
  • Chỉ đưa vào phân tích những vị trí được tuyên bố rõ ràng; loại trừ các trường hợp mơ hồ hoặc không thể đo
  • Kết quả cho thấy ngay cả theo tiêu chuẩn bảo thủ cũng có tỷ lệ sai lệch cao, và nếu áp dụng tiêu chí lỏng hơn thì tỷ lệ này có thể còn cao hơn

Bài viết liên quan

2 bình luận

 
princox 2025-12-15

Ôi, hóa ra cũng có kiểu lừa như vậy để kinh doanh nữa sao..;;; Vấn đề nhiều thật đấy.
 
GN⁺ 2025-12-14
Ý kiến trên Hacker News

  • Tôi là đồng sáng lập của WonderProxy. Dịch vụ của chúng tôi không phải VPN tiêu dùng mà dành cho kiểm thử ứng dụng, nên không có trong danh sách
    Chúng tôi hoạt động tại hơn 100 quốc gia, và đây thực sự là một cơn đau đầu. Những ngày đầu, nhiều nhà cung cấp tuyên bố ở Mexico hay Nam Mỹ nhưng thực tế lại đặt tại Texas
    Có lúc chúng tôi định tự mang máy chủ sang Peru, nhưng rồi biết rằng sẽ phải nộp thuế thu nhập Peru cho khoản tiền kiếm được tại địa phương nên đã bỏ cuộc
    Có khách hàng phàn nàn vì đối thủ cung cấp máy chủ tại Trung Đông, nhưng khi điều tra thì hóa ra nó chỉ cách máy chủ ở Đức chưa đến 1ms

  • Tôi biết vài người làm ở Mullvad, và họ thật sự rất nghiêm túc với bảo mật và quyền riêng tư. Vì vậy kết quả lần này không làm tôi ngạc nhiên

    • Ngay cả sau GFW của Trung Quốc, Mullvad, Windscribe và IVPN vẫn hoạt động, còn những VPN nổi tiếng hơn thì không. Đúng là trong VPN cũng có loại VPN thật sự
    • Ngay cả trước khi đọc bài báo, tôi đã chắc chắn Mullvad sẽ vượt qua bài kiểm tra
    • Tôi càng dùng Mullvad càng thấy thích hơn. Các VPN khác thường tệ dần theo thời gian, còn cái này thì ngược lại. Tôi đặc biệt thích việc có thể giữ tính ẩn danh bằng thanh toán bằng ví tiền mã hóa
    • Windscribe và iVPN cũng được đánh giá tốt, nhưng bài viết này đang chỉ ra tiếp thị sai sự thật của ngành VPN. VPN không giúp tăng cường bảo mật quá nhiều, nhưng hữu ích để vượt kiểm duyệt hay mở khóa giới hạn khu vực. Tôi nghĩ các mạng chuyên dụng như Psiphon, Lantern và Tor còn mạnh hơn

  • Tôi là công dân của một nước nhưng cư trú ở nước khác nên dùng VPN rất thường xuyên. Ngay cả truy cập các trang web chính phủ cũng không thể nếu không có VPN
    Trang web của cơ quan thống kê trả về 404 nếu truy cập bằng IP nước ngoài, nhưng bật VPN lên thì hoạt động bình thường. Xem chương trình bầu cử cũng cần VPN
    Khai thuế thì VPN lại bị chặn nên phải tắt đi, nhưng IP cư trú ở nước ngoài thì vẫn được phép
    Nếu có VPN dùng IP dân cư thì tôi sẵn sàng trả 30 euro mỗi tháng. Nhưng phần lớn đều khó mà tin được

    • Nếu để lại một AppleTV đã cài Tailscale cho bạn bè hay người thân, bạn có thể dùng nó làm exit node để truy cập. Tôi cũng làm vậy
    • Tôi cũng ở hoàn cảnh tương tự nên đã tự làm TunnelBuddy(https://tunnnelbuddy.net). Nó dựa trên WebRTC, chỉ cần bạn của bạn chia sẻ mật khẩu một lần là bạn có thể dùng Internet như thể đang truy cập từ nhà họ
    • Nếu có bạn bè ở nước đó thì cắm một Raspberry Pi phía sau modem cũng là một cách
    • IP dân cư không tính phí theo tháng mà tính theo GB, nên rất đắt. Thường là hơn 2 USD cho mỗi 1GB
    • Cũng có thể dùng SIM chuyển vùng của chính quốc gia đó để truy cập các trang web chính phủ

  • Thật thú vị khi có thể suy đoán vị trí máy chủ thực bằng độ trễ (latency). Nhưng nếu VPN cố ý thêm 100~300ms độ trễ thì chẳng phải có thể đánh lừa được sao?
    Ví dụ, 74.118.126.204 được nói là IP Somalia, nhưng ipinfo.io lại nhận diện là London. Có thể so sánh curl ipinfo.io/74.118.126.204/json với curl ipwhois.app/json/74.118.126.204

    • Tôi nghĩ thời gian ping bị ảnh hưởng bởi số hop và chất lượng kết nối nhiều hơn là tốc độ ánh sáng
    • Cũng như có thể suy đoán hash mật khẩu bằng thời gian phản hồi của máy chủ, nhiễu cuối cùng vẫn chỉ là nhiễu mà thôi
    • IPinfo gửi ping đồng thời từ nhiều khu vực và tính vị trí bằng đa định vị (multilateration). Họ nói đang vận hành hơn 600 máy chủ probe (nguồn)
    • Dù có thêm độ trễ vào mọi gói tin thì cuối cùng London vẫn sẽ cho độ trễ thấp nhất
    • Nếu gửi ping từ nhiều quốc gia thì có thể dùng tam giác hóa để xác định vị trí thực

  • Hầu hết nhà cung cấp VPN thực ra có công khai đó là “vị trí ảo (virtual location)”. Vì vậy khó có thể xem là hoàn toàn dối trá
    Cách nên xác định tiêu chí hiển thị vị trí địa lý của VPN là một vấn đề khá thú vị. Nên hiển thị vị trí máy chủ thật, hay nên hiển thị quốc gia mà người dùng đã chọn?
    Tôi thấy cách sau hữu ích hơn. Vì nó cho biết khách hàng muốn ‘ở đâu’
    (Tham khảo thêm, tôi đang vận hành một dịch vụ cạnh tranh, và bên tôi cũng hiển thị vị trí mà VPN báo cáo nhưng ghi rõ đó là VPN)

  • Sau khi chuyển sang ProtonMail, tôi đã thử dùng ProtonVPN, nhưng cứ bật VPN là một nửa số trang web không hoạt động. Ngay cả Hacker News cũng chặn VPN
    Các trang web dường như ngày càng dễ xác định endpoint VPN hơn, nên tôi tò mò không biết sau này VPN sẽ ngăn chuyện này bằng cách nào

    • Apple từng có thể gây áp lực để các trang web cho phép truy cập thông qua Private Relay. Nếu VPN trở nên phổ biến, cuối cùng các trang web cũng sẽ buộc phải chấp nhận
    • Nếu ngày càng nhiều người dùng VPN và Tor, các trang web sẽ khó chặn hơn. Một thế giới mà ai cũng dùng Tor sẽ là lý tưởng. Khi mọi người trông giống nhau, sẽ không thể phân biệt đối xử
    • Reddit sẽ shadow ban nếu bạn bật VPN. Không có thông báo gì cả, nên nếu không ai phản hồi bình luận của bạn thì phải mở hồ sơ ở chế độ riêng tư để tự kiểm tra
    • Tor cũng vậy. Có tính ẩn danh, nhưng đồng thời lại trở thành một sự hiện diện dễ bị chú ý
    • Nếu việc dùng VPN tăng lên, các trang web rốt cuộc sẽ là bên thiệt hại. Đặc biệt là người dùng di động thường để VPN bật mọi lúc
      Nếu trang web chặn VPN, người dùng sẽ thấy bất tiện và rời đi.
      Giả lập user-agent di động có thể giúp ích. Dấu vân tay SSL và HTTP cũng nên khớp với thiết bị di động
      Tốt nhất nên tránh VPN có gói miễn phí. VPN trả phí thường có danh tiếng IP tốt hơn

  • Tôi không rõ chính xác bài kiểm tra lần này đã làm gì. Việc thiếu vài VPN lớn cũng khá lạ
    Tôi dùng AirVPN vì phù hợp với mục đích sử dụng và mức giá của tôi
    Có nhiều lý do để dùng VPN — quyền riêng tư, ẩn danh (không khuyến khích), mở khóa giới hạn khu vực, torrent, vượt kiểm duyệt (GFC), v.v.
    Lý do cuối cùng là khó nhất
    Tham khảo: VPN Services Overview

    • Bài kiểm tra là để xác minh vị trí thực của nút thoát của VPN. Nhiều công ty chỉ thay đổi thông tin WHOIS của IP trong khi máy chủ thật lại ở một quốc gia khác

  • Để tránh tường lửa cấp quốc gia thì vị trí exit node là quan trọng, nhưng chính ngành GeoIP mới là vấn đề
    Sẽ tốt hơn nếu ISP hỗ trợ người dùng tránh chặn theo khu vực thông qua RFC8805

    • Khi CGNAT ngày càng phổ biến, có thể sẽ cần thông tin vị trí ở cấp cổng. Ví dụ: cổng 10000~20000 là New York, 20000~30000 là Boston
    • Nghe như lời của một người chưa từng trải qua trừng phạt OFAC. Doanh nghiệp của tôi sẽ lập tức chấm dứt nếu vi phạm lệnh trừng phạt.
      Thông tin IP địa lý là công cụ cốt lõi để tránh rủi ro kiểu này
    • Sẽ hay nếu có thể xử lý thông tin này giống như bản ghi PTR của DNS

  • Tôi nghĩ chỉ dựa vào RTT (thời gian khứ hồi) để suy ra kiến thức về mạng backbone là hơi quá sức.
    Lưu lượng không phải lúc nào cũng được định tuyến hiệu quả, và đường truyền còn thay đổi theo lưu lượng. Tôi muốn nghe ý kiến khác

    • Không cần giả định việc định tuyến là hiệu quả. Nếu RTT từ London nhỏ hơn 1ms, thì về mặt vật lý không thể ở ngoài Vương quốc Anh
      Theo giới hạn tốc độ ánh sáng, RTT 0,4ms tương ứng tối đa khoảng cách 120km. Nhờ vậy có thể chắc chắn máy chủ không nằm ở quốc gia mà nó tuyên bố
    • Tính theo tốc độ ánh sáng, RTT dưới 0,5ms có nghĩa là quốc gia được đo là chính xác. Trong cáp quang tốc độ còn chậm hơn do chiết suất, nên sai số còn nhỏ hơn
    • Về câu “có thể tôi đã bỏ sót chi tiết gì đó” — đúng vậy, có vẻ bạn đã bỏ sót vật lý. Nếu ping dưới mili giây từ London thì đó không thể là Mauritius