如何突破新的GFW基於數據包時延的审查技術?
從幾個月前起,某個GFW研究小組發現了GFW在試驗一種新的审查技術。經過幾個月的追踪,已基本搞清楚了。過一兩年就會發paper。
-----
這個技術是以非常經濟的方式突破VPN直接定位到網路用戶。
簡單的原理:
首先,GFW要有一個合作網路服務商。假設是品蔥。
然後,用戶在訪問品蔥,品蔥控制回傳每個數據包的時間間隔,以此對數據鏈路插入指紋,GFW會追踪指紋定位到訪問者。
------
對GFW這項新技術,品蔥各位網路專家怎麼看
-----
這個技術是以非常經濟的方式突破VPN直接定位到網路用戶。
簡單的原理:
首先,GFW要有一個合作網路服務商。假設是品蔥。
然後,用戶在訪問品蔥,品蔥控制回傳每個數據包的時間間隔,以此對數據鏈路插入指紋,GFW會追踪指紋定位到訪問者。
------
對GFW這項新技術,品蔥各位網路專家怎麼看
如果我没猜错的话,这可能是一个基于时间调制的技术,反向代理部分可破。
GFW需要在海外设一个只有翻墙用户能访问的钓鱼网站,然后给这些用户进行登记。由于IP网络有一个叫做“最大包大小”(MTU)的限制,图片一类的大文件必须得拆分为不大于MTU的数据包才能在网络中传输。在将这些数据返回用户的时候,钓鱼网站可以并不像普通网站一样,这些数据包一次性传输。而是类似于打摩尔斯电码般用某种特定的节奏传输,同时将用户的UID嵌入这个特殊的节奏中。
当GFW探测到某个海外IP以这种节奏将数据发送给国内某人时,便可以认为这个海外IP是一个正在访问钓鱼网站的VPN使用的IP地址。同时尝试将这个节奏内嵌的用户UID解析出来,就能断定这个人是钓鱼网站上的某个特定用户。
若想反制的话,反向代理的协议当中可以增加一些随机的延迟和重放,应该能起到混淆作用。但钓鱼网站的自己设定最小延迟没法混淆,长期来看关键还是破解协议,并阻断相应域名比较安全。
其实,这个思路挺好,但最大的障碍不是技术,反而是政治方面的。GFW的钓鱼网站能不能受欢迎自然是成功与否的关键,建一个没人访问的网站只是空耗经费。但假如他们真的建了一个比品葱更受欢迎的反共网站,显然有一种买椟还珠的意味。若是建一个不涉政治的黄网,单抓一帮看虚拟儿童色情的LSP,好像也没什么意义……
GFW需要在海外设一个只有翻墙用户能访问的钓鱼网站,然后给这些用户进行登记。由于IP网络有一个叫做“最大包大小”(MTU)的限制,图片一类的大文件必须得拆分为不大于MTU的数据包才能在网络中传输。在将这些数据返回用户的时候,钓鱼网站可以并不像普通网站一样,这些数据包一次性传输。而是类似于打摩尔斯电码般用某种特定的节奏传输,同时将用户的UID嵌入这个特殊的节奏中。
当GFW探测到某个海外IP以这种节奏将数据发送给国内某人时,便可以认为这个海外IP是一个正在访问钓鱼网站的VPN使用的IP地址。同时尝试将这个节奏内嵌的用户UID解析出来,就能断定这个人是钓鱼网站上的某个特定用户。
若想反制的话,反向代理的协议当中可以增加一些随机的延迟和重放,应该能起到混淆作用。但钓鱼网站的自己设定最小延迟没法混淆,长期来看关键还是破解协议,并阻断相应域名比较安全。
其实,这个思路挺好,但最大的障碍不是技术,反而是政治方面的。GFW的钓鱼网站能不能受欢迎自然是成功与否的关键,建一个没人访问的网站只是空耗经费。但假如他们真的建了一个比品葱更受欢迎的反共网站,显然有一种买椟还珠的意味。若是建一个不涉政治的黄网,单抓一帮看虚拟儿童色情的LSP,好像也没什么意义……
这破玩意发文章要用一年?
品葱是网络服务商?
原始出处发一下,我看看哪个研究小组连website和ISP都分不清。
品葱是网络服务商?
原始出处发一下,我看看哪个研究小组连website和ISP都分不清。
看上去这样做的确是可以
不过要做到网络层编程控制传输层这样打破了分层协议的封装性(等于修改标准),实现代价会很高
尚且不论实际运行的高昂计算开销
谷歌前CEO施密特说我们民主国家的技术标准自带防集权的某些特性(中国不得不用所以能折腾的范围在别人的控制之下)
发发论文可以, 靠这个吓不住pincong的(这里计算机数学博士一大推)
不过要做到网络层编程控制传输层这样打破了分层协议的封装性(等于修改标准),实现代价会很高
尚且不论实际运行的高昂计算开销
谷歌前CEO施密特说我们民主国家的技术标准自带防集权的某些特性(中国不得不用所以能折腾的范围在别人的控制之下)
发发论文可以, 靠这个吓不住pincong的(这里计算机数学博士一大推)
GFW什么时候从不让上外网,变成定位上外网的人了?这两个当然是一回事,但是特意强调定位,让人怀疑楼主别有用心。请添加来源。
VPN干扰成本太高了,需要建立大量合法VPN的白名单,根本就不可行。因为如果没有白名单,会误杀自家或者外企的VPN。如果有白名单,直接实行白名单就完了,还干扰什么呢。
要说不干扰,只是记录下来秋后算账,那也太低估这后面的人力成本了。
VPN干扰成本太高了,需要建立大量合法VPN的白名单,根本就不可行。因为如果没有白名单,会误杀自家或者外企的VPN。如果有白名单,直接实行白名单就完了,还干扰什么呢。
要说不干扰,只是记录下来秋后算账,那也太低估这后面的人力成本了。
要问怎么看先把论文/研究报告出处给出来, 自然会去看原文
以此對數據鏈路插入指紋 啥意思。看不懂 数据链还有指纹?
有这个小组更详细的研究说明吗?
按照目前你说的,是改变rtt? 不过按直觉多倍发包可破
按照目前你说的,是改变rtt? 不过按直觉多倍发包可破
还真有高人,不过觉得不大可行。干嘛不直接让钓鱼网站把用户信息直接发给您得了。
好,就算您就是要玩高级的。按照您的方案,就是不增加数据包的情况下传输额外的信息,信息用数据包到达GFW的时间间隔来编码。可是到达GFW时间间隔可不是完全由发送方确定的。其次,解码是个有状态过程,您状态放哪里,GFW不会只有一个router吧?
好,就算您就是要玩高级的。按照您的方案,就是不增加数据包的情况下传输额外的信息,信息用数据包到达GFW的时间间隔来编码。可是到达GFW时间间隔可不是完全由发送方确定的。其次,解码是个有状态过程,您状态放哪里,GFW不会只有一个router吧?
听起来是个好办法,不过我觉得成功率不大。
我是小白,就稍微了解点翻墙手段而已。
首先最大的难点就是网站的问题,开黄网抓LSP?还是自建一个政治网站反而让反贼聚集起来?(共产党最怕的就是人们组织起来)
其次,如果是在品葱什么的网站上投放恶意代码,那也不可能不留一点马脚,服务器端就解决了。而且这么做还不如直接用Webrtc攻击,让客户端绕过代理获取公网IP,你可以访问 https://browserleaks.com/webrtc 了解一下这种攻击,顺便看看自己的翻墙手段是否安全。
第三点,就是中国连接国外的网络环境奇差无比,丢包啥的很频繁,自带随机干扰,我觉得抓这些人无异于大海捞针,而且上网的人那么多,如何一个个抓,维稳经费从哪来?
假如共匪真的不惜一切代价了,那应该也好避免,
首先你到国外VPS是用了V2RAY的,表面上伪装成HTTP流量,开启MUX功能,同时并发连接,这种包就容易被分散开发,也加大了追查难度,同时并发连接更稳定一点(比如中国电信有一套限速策略模板,就是对一个通向国外的TCP链接限速Qos的,如果流量大了。定时更换端口发起连接能绕过,上网体验不至于太糟)
而且我觉得都到这种程度了直接看你的VPS IP再结合墙内连接这个IP的时间来缩小范围更简单点,有钱的话多买几台服务器做跳板,让入口和出口IP不同(比如在墙内看到我连接7.53.6.15,而我的出口ip是11.19.89.64,切记不要弄一个段的比如7.53.6.16这种),这样的话就增加了追查难度,戴个Tor也能起到类似效果。
不过即使是这种招数,也是编程随想那种级别的人才能享受到的,普通人泄露无非是手机不干净被捉奸、是VPN不干净、在墙外主动自爆家门,通向国外的连接那么多,能一个个查过来就见鬼了。
我是小白,就稍微了解点翻墙手段而已。
首先最大的难点就是网站的问题,开黄网抓LSP?还是自建一个政治网站反而让反贼聚集起来?(共产党最怕的就是人们组织起来)
其次,如果是在品葱什么的网站上投放恶意代码,那也不可能不留一点马脚,服务器端就解决了。而且这么做还不如直接用Webrtc攻击,让客户端绕过代理获取公网IP,你可以访问 https://browserleaks.com/webrtc 了解一下这种攻击,顺便看看自己的翻墙手段是否安全。
第三点,就是中国连接国外的网络环境奇差无比,丢包啥的很频繁,自带随机干扰,我觉得抓这些人无异于大海捞针,而且上网的人那么多,如何一个个抓,维稳经费从哪来?
假如共匪真的不惜一切代价了,那应该也好避免,
首先你到国外VPS是用了V2RAY的,表面上伪装成HTTP流量,开启MUX功能,同时并发连接,这种包就容易被分散开发,也加大了追查难度,同时并发连接更稳定一点(比如中国电信有一套限速策略模板,就是对一个通向国外的TCP链接限速Qos的,如果流量大了。定时更换端口发起连接能绕过,上网体验不至于太糟)
而且我觉得都到这种程度了直接看你的VPS IP再结合墙内连接这个IP的时间来缩小范围更简单点,有钱的话多买几台服务器做跳板,让入口和出口IP不同(比如在墙内看到我连接7.53.6.15,而我的出口ip是11.19.89.64,切记不要弄一个段的比如7.53.6.16这种),这样的话就增加了追查难度,戴个Tor也能起到类似效果。
不过即使是这种招数,也是编程随想那种级别的人才能享受到的,普通人泄露无非是手机不干净被捉奸、是VPN不干净、在墙外主动自爆家门,通向国外的连接那么多,能一个个查过来就见鬼了。