研究人员揭开中国屏蔽Tor的诡计

2012年4月6日 | 分类: 翻墙相关 | 标签: , , ,

2011年10月4日,一位中国Tor用户在Tor bug tracker上报告说,未公开网桥在连上数分钟之后就被切断。此前防火墙屏蔽Tor主要是通过IP地址黑名单和HTTP头过滤。Team Cymru的研究人员研究后发现,中国防火墙的深度包检测设备已能识别Tor指纹,它会尝试用探针与秘密网桥进行连接,成功连上会就将其加入黑名单。现在,瑞典Karlstad大学的两位研究人员通过模拟测试,揭示了最新的防火墙诡计,并提供了应对之策。报告(PDF)发表在预印本网站上。

研究人员在新加坡亚马逊EC2云服务器和瑞典Karlstad校园网中建立了秘密网桥,Tor客户端则使用中国的SOCKS代理服务器和一个VPS。他们 发现,防火墙在搜索到Tor流量后,会使用来自中国电信和中国联通IP池中的随机IP地址扫描主机,连上就加以屏蔽。防火墙最常用的IP地址是 202.108.181.70,Whois记录显示该地址属于Beijing Guanda Technology Co.Ltd,但研究人员推测这家公司对扫描活动并不知情,它的地址被防火墙冒用了。防火墙的扫描活动持续3分钟,间隔15分钟,类似[0; 3],[15; 18],[30; 33]和[45; 48]。在测试中,他们发现了令人迷惑的扫描长时间中止现象,如1月25日到1月28日(中国春节),3月8日17:30到3月9日 10:00,3月14日10:30到3月16日4:30。长时间的中断可能是因为假期,而短时间的中断可能属于系统的计划维护窗口。对于如何应对中国的 Tor流量识别,研究人员认为obfsproxy能打败防火墙,不过目前公开的obfsproxy网桥已经被中国加入到黑名单,秘密obfsproxy网 桥未受影响。此外,包分割工具也可以隐藏Tor流量。

原文http://internet.solidot.org/article.pl?sid=12/04/04/1058222

obfsproxy:模糊SSL或TLS加密流量的代理工具:http://igfw.net/archives/7572

iGFW博客获德国之声博客大赛“最佳中文博客公众奖”提名 欢迎网友为本博客投票!:http://igfw.net/archives/8681

  1. anchonggen
    2012年5月22日12:09

    最近发现直接用tor连接也能连接成功

  2. Mr.Koala
    2012年4月13日10:34

      以前 Tor 都是从 VPN 走,纯粹为了切 IP 方便。今天重装 Tor 留了个开机启动,没有 VPN 的条件下居然顺利地连上了,且确实能用。我是应该高兴?悲哀?或是警觉?(电信的网)

  3. 封反动
    2012年4月8日12:34

    @Mr.Koala it will be more complicated if they dare 更激进
    China mainland is surely the biggest VPN market,dare it make “白名单to vpn” or even all other encrypted tunnels?

    • 方校长老妈
      2012年4月8日14:36

      是的, 就算他们敢那么做, 白名单也会是很长的一串 … 白名单太长, 从某种角度来说,也就失去了意义。
      比如,到时候,谷歌的IP到底上不上白名单?

      • Mr.Koala
        2012年4月8日14:57

        Google?这个美帝的XX工具估计上不了……
        我们可以想象白名单体制巨大的商业价值会诱惑很多人。Google 神马肯定先倒霉啊。

  4. 石头
    2012年4月8日08:47

    以前用tor+网桥,连得好好的,现在怎么弄也连不上,只能通过第三方才行,他奶奶的GFW越来越强大了,不过矛总比盾要高一筹。

  5. Mr.Koala
    2012年4月7日16:53

      有趣的是超过 12 小时无“有害”行为会解封。

      本来想搜索那个“Beijing Guanda Technology Co.Ltd”,结果发现这篇文章的一堆转载,看来传播地挺广。估计过几天 GFW 又该与时俱进一下了。

      话说如果大家都拆包(分割指纹),以后 GFW 不得不组包扫描,于是增大了工作量;过几天网民觉得不对,又采用了某种更复杂的伪装手段,于是 GFW 又想办法还原,再次增大工作量;如此往复,最终会落到什么样的局面?是多出一堆四千万项目,还是直接转化为更激进的形式(比如白名单)?

    @Tor Fans
      任何公开的反封锁措施都不安全。

    • 方校长老妈
      2012年4月8日14:30

      就算是实行白名单, 那么这个白名单也会很长, 那么多金融机构需要加密连接到海外,那么多ZF机构(包括某些情报部门)也需要 …这个名单不会简短, 也就有了“空隙”; 有了空隙,自然就有利用的空间
      当然,最彻底的办法还是掐断光缆 …

      我认为,只要能顺利地翻墙就OK, 这个世界上不存在绝对的安全, 如果能灵活地把几种翻墙手段组合起来运用, 玩玩双重加密代理甚至是多重加密代理, 安全还是有一定保障的。 GFW不是万能的, 它不可能控制和监视世界范围内所有的计算机。

  6. Tor Fans
    2012年4月7日14:02

    据我所知 所谓深度包检测是需要很庞大的计算资源的, 尤其是国家级的GFW …
    这些巨型机 拿来做科研好不好? GFW如果能真正有效地打击网络犯罪 维护网络安全 也算是发挥了正面作用; 可惜,把这么多资源用于对TOR等所谓翻墙软件的围追堵截,控制新闻、言论,阻碍信息的自由流通,真的是腐朽反动至极。

  7. Tor Fans
    2012年4月7日13:11

    这么看来,单独使用TOR已经不安全了, 即使能顺利登录TOR网络也不行。
    既然GFW能探测到TOR的数据流量,也即TOR的所谓“指纹”,并且能顺藤摸瓜地扫描tor网桥的IP,最终封杀之; 那么GFW也能够发现使用TOR的用户IP,并进行分析…
    反制措施的关键, 就是伪装TOR的数据“指纹”, 也就是说TOR跟其他程序一起合用是必须的。

    GFW对付TOR的手段,跟封杀自由门、无界的完全一样。 分析数据特征, 根据这种特征(指纹)追踪IP地址,然后进行拦截 …

  8. 京ICP证010391号
    2012年4月7日00:06

    tor的精神才是communism