DaveC
@davecode
Sat, Apr 29, 2023 12:23 AM
Sat, Apr 29, 2023 12:44 AM
36
18
中国的防火长城是如何检测和封锁完全加密流量的
Ref
2021年11月初,中國的防火長城(GFW)部署了一種新的審查技術,這種技術可以實時地被動檢測並阻斷全加密流量。GFW這一新添的審查能力影響到一大批流行的翻牆協議,包括但不限於Shadowsocks、VMess和Obfs4。雖然中國長期以來一直採用主動探測來識別此類協議,但這次是第一次有關於採用純被動檢測來識別全加密流量的報告。面對這一新的現象,反審查社區不禁要問檢測是如何做到的。
DaveC
@davecode
Sat, Apr 29, 2023 12:48 AM
在這篇論文中,我們測量並描述了GFW用於審查完全加密流量的新系統。我們發現,審查者並沒有直接定義什麼是完全加密流量,而是應用粗糙但高效的啓發式規則來豁免那些不太可能是完全加密的流量;然後它阻止其餘未被豁免的流量。
這些啓發式規則基於常見協議的指紋、1比特的佔比以及可打印的ASCII字符的數量、比例和位置。我們對互聯網進行掃描,並揭示了GFW都檢查哪些流量和哪些IP地址。
我們在一個大學網絡的實時流量上模擬我們推斷出的GFW的檢測算法,以評估其全面性和誤報率。
結果表明,我們推斷出的檢測規則很好地覆蓋了GFW實際使用的檢測規則。 我們估計,如果這一檢測算法被廣泛地應用,它將有可能誤傷大約0.6%的非翻牆互聯網流量。
DaveC
@davecode
Sat, Apr 29, 2023 12:51 AM
---未來只有剩下專線(合法申請/主動被查)。MPLS VPN連到國外。
其他的加密/未定義翻牆都會無差別的阻擋。
開發新的 over SSL/TLS 能解決嗎?
載入新的回覆
Ref
2021年11月初,中國的防火長城(GFW)部署了一種新的審查技術,這種技術可以實時地被動檢測並阻斷全加密流量。GFW這一新添的審查能力影響到一大批流行的翻牆協議,包括但不限於Shadowsocks、VMess和Obfs4。雖然中國長期以來一直採用主動探測來識別此類協議,但這次是第一次有關於採用純被動檢測來識別全加密流量的報告。面對這一新的現象,反審查社區不禁要問檢測是如何做到的。
這些啓發式規則基於常見協議的指紋、1比特的佔比以及可打印的ASCII字符的數量、比例和位置。我們對互聯網進行掃描,並揭示了GFW都檢查哪些流量和哪些IP地址。
我們在一個大學網絡的實時流量上模擬我們推斷出的GFW的檢測算法,以評估其全面性和誤報率。
結果表明,我們推斷出的檢測規則很好地覆蓋了GFW實際使用的檢測規則。 我們估計,如果這一檢測算法被廣泛地應用,它將有可能誤傷大約0.6%的非翻牆互聯網流量。
其他的加密/未定義翻牆都會無差別的阻擋。
開發新的 over SSL/TLS 能解決嗎?