研究人员揭开中国屏蔽Tor的诡计
2011年10月4日,一位中国Tor用户在Tor bug tracker上报告说,未公开网桥在连上数分钟之后就被切断。此前防火墙屏蔽Tor主要是通过IP地址黑名单和HTTP头过滤。Team Cymru的研究人员研究后发现,中国防火墙的深度包检测设备已能识别Tor指纹,它会尝试用探针与秘密网桥进行连接,成功连上会就将其加入黑名单。现在,瑞典Karlstad大学的两位研究人员通过模拟测试,揭示了最新的防火墙诡计,并提供了应对之策。报告(PDF)发表在预印本网站上。
研究人员在新加坡亚马逊EC2云服务器和瑞典Karlstad校园网中建立了秘密网桥,Tor客户端则使用中国的SOCKS代理服务器和一个VPS。他们 发现,防火墙在搜索到Tor流量后,会使用来自中国电信和中国联通IP池中的随机IP地址扫描主机,连上就加以屏蔽。防火墙最常用的IP地址是 202.108.181.70,Whois记录显示该地址属于Beijing Guanda Technology Co.Ltd,但研究人员推测这家公司对扫描活动并不知情,它的地址被防火墙冒用了。防火墙的扫描活动持续3分钟,间隔15分钟,类似[0; 3],[15; 18],[30; 33]和[45; 48]。在测试中,他们发现了令人迷惑的扫描长时间中止现象,如1月25日到1月28日(中国春节),3月8日17:30到3月9日 10:00,3月14日10:30到3月16日4:30。长时间的中断可能是因为假期,而短时间的中断可能属于系统的计划维护窗口。对于如何应对中国的 Tor流量识别,研究人员认为obfsproxy能打败防火墙,不过目前公开的obfsproxy网桥已经被中国加入到黑名单,秘密obfsproxy网 桥未受影响。此外,包分割工具也可以隐藏Tor流量。
原文:http://internet.solidot.org/article.pl?sid=12/04/04/1058222
obfsproxy:模糊SSL或TLS加密流量的代理工具:http://igfw.net/archives/7572
iGFW博客获德国之声博客大赛“最佳中文博客公众奖”提名 欢迎网友为本博客投票!:http://igfw.net/archives/8681
最近发现直接用tor连接也能连接成功
以前 Tor 都是从 VPN 走,纯粹为了切 IP 方便。今天重装 Tor 留了个开机启动,没有 VPN 的条件下居然顺利地连上了,且确实能用。我是应该高兴?悲哀?或是警觉?(电信的网)
@Mr.Koala it will be more complicated if they dare 更激进
China mainland is surely the biggest VPN market,dare it make “白名单to vpn” or even all other encrypted tunnels?
是的, 就算他们敢那么做, 白名单也会是很长的一串 … 白名单太长, 从某种角度来说,也就失去了意义。
比如,到时候,谷歌的IP到底上不上白名单?
Google?这个美帝的XX工具估计上不了……
我们可以想象白名单体制巨大的商业价值会诱惑很多人。Google 神马肯定先倒霉啊。
以前用tor+网桥,连得好好的,现在怎么弄也连不上,只能通过第三方才行,他奶奶的GFW越来越强大了,不过矛总比盾要高一筹。
有趣的是超过 12 小时无“有害”行为会解封。
本来想搜索那个“Beijing Guanda Technology Co.Ltd”,结果发现这篇文章的一堆转载,看来传播地挺广。估计过几天 GFW 又该与时俱进一下了。
话说如果大家都拆包(分割指纹),以后 GFW 不得不组包扫描,于是增大了工作量;过几天网民觉得不对,又采用了某种更复杂的伪装手段,于是 GFW 又想办法还原,再次增大工作量;如此往复,最终会落到什么样的局面?是多出一堆四千万项目,还是直接转化为更激进的形式(比如白名单)?
@Tor Fans
任何公开的反封锁措施都不安全。
就算是实行白名单, 那么这个白名单也会很长, 那么多金融机构需要加密连接到海外,那么多ZF机构(包括某些情报部门)也需要 …这个名单不会简短, 也就有了“空隙”; 有了空隙,自然就有利用的空间
当然,最彻底的办法还是掐断光缆 …
我认为,只要能顺利地翻墙就OK, 这个世界上不存在绝对的安全, 如果能灵活地把几种翻墙手段组合起来运用, 玩玩双重加密代理甚至是多重加密代理, 安全还是有一定保障的。 GFW不是万能的, 它不可能控制和监视世界范围内所有的计算机。
据我所知 所谓深度包检测是需要很庞大的计算资源的, 尤其是国家级的GFW …
这些巨型机 拿来做科研好不好? GFW如果能真正有效地打击网络犯罪 维护网络安全 也算是发挥了正面作用; 可惜,把这么多资源用于对TOR等所谓翻墙软件的围追堵截,控制新闻、言论,阻碍信息的自由流通,真的是腐朽反动至极。
这么看来,单独使用TOR已经不安全了, 即使能顺利登录TOR网络也不行。
既然GFW能探测到TOR的数据流量,也即TOR的所谓“指纹”,并且能顺藤摸瓜地扫描tor网桥的IP,最终封杀之; 那么GFW也能够发现使用TOR的用户IP,并进行分析…
反制措施的关键, 就是伪装TOR的数据“指纹”, 也就是说TOR跟其他程序一起合用是必须的。
GFW对付TOR的手段,跟封杀自由门、无界的完全一样。 分析数据特征, 根据这种特征(指纹)追踪IP地址,然后进行拦截 …
tor的精神才是communism