Eine Multi-Hop-Verbindung gestattet es, Traffic über mehrere VPN-Server über verschiedene Orte zu kaskadieren. Zwar erhöht dies die Latenz (Ping), bietet aber zwei wesentliche Vorteile:
Zum einen kann man die Ein- und Ausgangsserver separat und unabhängig voneinander festlegen. Das ist nützlich, wenn man sich in Ländern befindet, die nur eingeschränkte Verbindungen zu ausländischen IP-Adressen zulassen. Nachdem man eine Verbindung zu einem Server innerhalb des Landes aufbaut, kann man den Traffic dann über eine kaskadierte Verbindung zu einem Server im Ausland weiterleiten. Auf diese Weise kann man landesweite Zensurmaßnahmen (die z.B. in China üblich sind) mit VPN umgehen.
Der zweite Vorteil besteht darin, dass eine Kaskade vor einigen anspruchsvolleren Angriffen schützt und damit die Sicherheit und Anonymität des Nutzers erhöht.
Eine kaskadierte Verbindung erschwert generell Traffic-Korrelation: Wenn man nur einen einzelnen VPN-Server benutzt, so kann der Internet Provider (ISP) (oder ein lauschender Angreifer) sehen, zu welchem Server man verbindet. Wenn ein Lauscher nun auch Zugang zum Rechenzentrum mit dem VPN-Server hat und sich den ausgehenden Traffic ansieht, kann er versuchen, den eingehenden und den ausgehenden Traffic zu korrelieren um so den Nutzer zu identifizieren. Natürlich wird dieser Angriff umso schwieriger, je mehr Nutzer mit dem VPN-Server verbunden sind.
Mit einer kaskadierten Verbindung wird ein solcher Angriff enorm erschwert. Zwar kann man beim ISP immer noch sehen, zu welchem VPN-Server verbunden wird, aber eben nicht, wo der Traffic wieder raus kommt. Dazu wäre es nötig, den Traffic an allen VPN-Servern zu überwachen. Das macht es praktisch nahezu unmöglich, Nutzer über Traffic-Korrelation zu identifizieren.
Auch ist es theoretisch denkbar, dass ein Angreifer physikalischen Zugang zum VPN-Server hat. In diesem Fall kann er womöglich einen Deanonymisierungs-Angriff auf VPN-Nutzer durchführen. Eine kaskadierte Verbindung schützt selbst vor diesem Angriffsvektor: Denn für jeden Hop in der Kaskade wird der Traffic in einer zusätzlichen verschlüsselten Schicht eingekapselt. Dadurch kann der Traffic weder gelesen, noch kann der ausgehende Verkehr mit dem eingehenden korreliert werden.
Der Angreifer würde zwar immer noch sehen, dass der Verkehr zu einem weiteren VPN-Server geschickt wird, aber er kann nicht ermitteln, ob es sich dabei um einen Middle- oder Exit-Node handelt. Um den Traffic erfolgreich abzufangen und entschlüsseln, müsste der Angreifer auf alle VPN-Server in der Kaskade gleichzeitig physikalischen Zugang haben. Das ist praktisch nahezu unmöglich, wenn sich die Server in unterschiedlichen Ländern befinden.
Übrigens: Nicht jeder VPN-Provider, der Kaskaden oder Multi-Hop-Verbindungen bewirbt, liefert auch wirklich eine in mehreren Schichten verschlüsselte Verbindung: Einige Provider leiten einfach den Traffic an einen anderen VPN-Server weiter, ohne diesen nochmal zu verschlüsseln. Das schützt nicht vor den angesprochenen Angriffen, da der Traffic immer noch auf dem Eingangs-Server abgehört werden kann. Im Zweifel sollte man bei seinem VPN-Provider nachfragen, wie genau kaskadierte Verbindungen implementiert sind.