Исследователи проанализировали стратегии блокировки и разработали методы обхода.
Великий китайский файервол (Great Firewall of China (GFW) GFW) разработал новый метод цензуры, блокирующий полностью зашифрованный трафик в режиме реального времени.
Полностью зашифрованные протоколы являются важным элементом решений обхода интернет-цензуры. Такие протоколы, как VMess, Shadowsocks и Obfs4, разработаны таким образом, что каждый байт соединения теоретически неотличим от случайного. Это затрудняет определение и блокировку такого трафика для цензоров.
Начиная с 6 ноября 2021 года, пользователи интернета в Китае сообщали о блокировке своих серверов Shadowsocks и VMess. Блокирование совпало с проведением шестой пленарной сессии 19-го центрального комитета китайской коммунистической партии. Это был первый случай массовой блокировки полностью зашифрованных прокси в режиме реального времени на основе пассивного анализа трафика. Важность полностью зашифрованных протоколов для всей антицензурной экосистемы и загадочное поведение GFW мотивировали исследователей изучить и понять основные механизмы обнаружения и блокировки.
Работая над изучением новой системы GFW для пассивного обнаружения и цензурирования полностью зашифрованного трафика, исследователи выявили, что цензор применяет минимум пять наборов грубых, но эффективных эвристик, для обнаружения паразитного трафика. Эти правила исключения основаны на отпечатках распространенных протоколов, грубом тесте энтропии с использованием доли установленных битов, а также доли, позиции и максимального непрерывного количества символов ASCII в первом полезном TCP нагрузке.
Ввиду закрытого характера GFW, разработанные правила могут быть не полными; тем не менее, эксперты оценили созданные правила на реальном трафике из университета Боулдера (AS104) и предоставили свидетельства того, что созданные правила имеют значительное сходство с правилами GFW. Кроме того, исследователи обнаружили, что алгоритм обнаружения GFW заблокировал бы примерно 0,6% всех легитимных соединений. Возможно, для смягчения избыточной блокировки из-за ложных срабатываний, GFW отслеживает только 26% соединений и только в определенных диапазонах IP-адресов популярных дата-центров.
Исследователи проанализировали связь между новой формой пассивной цензуры и ранее известной системой активного пробирования (active probing system) GFW. Они обнаружили, что такая система полагается на алгоритм анализа трафика, но имеет дополнительные правила, основанные на длине пакетов. В результате, стратегии обхода, способные уклониться от новой блокировки, также уклоняются от обнаружения прокси-серверами GFW и последующим активным пробированием.
На основе понимания новой системы цензуры исследователи разработали различные стратегии обхода. Они поделились результатами исследований и предложениями об обходе с разработчиками популярных антицензурных инструментов, таких как Shadowsocks, V2Ray, Outline, Lantern, Psiphon и Conjure. Эти стратегии обхода были и внедрены с января 2022 года, помогая миллионам пользователей обойти новую форму цензуры. По состоянию на февраль 2023 года, все принятые стратегии обхода остаются эффективными в Китае.
Живой, мертвый или в суперпозиции? Узнайте в нашем канале