研究人员揭开中国屏蔽Tor的诡计

原文:http://igfw.net/archives/8721

2011年10月4日,一位中国Tor用户在Tor bug tracker上报告说,未公开网桥在连上数分钟之后就被切断。此前防火墙屏蔽Tor主要是通过IP地址黑名单和HTTP头过滤。Team Cymru的研究人员研究后发现,中国防火墙的深度包检测设备已能识别Tor指纹,它会尝试用探针与秘密网桥进行连接,成功连上会就将其加入黑名单。现在,瑞典Karlstad大学的两位研究人员通过模拟测试,揭示了最新的防火墙诡计,并提供了应对之策。报告(PDF)发表在预印本网站上。

研究人员在新加坡亚马逊EC2云服务器和瑞典Karlstad校园网中建立了秘密网桥,Tor客户端则使用中国的SOCKS代理服务器和一个VPS。他们 发现,防火墙在搜索到Tor流量后,会使用来自中国电信和中国联通IP池中的随机IP地址扫描主机,连上就加以屏蔽。防火墙最常用的IP地址是 202.108.181.70,Whois记录显示该地址属于Beijing Guanda Technology Co.Ltd,但研究人员推测这家公司对扫描活动并不知情,它的地址被防火墙冒用了。防火墙的扫描活动持续3分钟,间隔15分钟,类似[0; 3],[15; 18],[30; 33]和[45; 48]。在测试中,他们发现了令人迷惑的扫描长时间中止现象,如1月25日到1月28日(中国春节),3月8日17:30到3月9日 10:00,3月14日10:30到3月16日4:30。长时间的中断可能是因为假期,而短时间的中断可能属于系统的计划维护窗口。对于如何应对中国的 Tor流量识别,研究人员认为obfsproxy能打败防火墙,不过目前公开的obfsproxy网桥已经被中国加入到黑名单,秘密obfsproxy网 桥未受影响。此外,包分割工具也可以隐藏Tor流量。

原文http://internet.solidot.org/article.pl?sid=12/04/04/1058222

obfsproxy:模糊SSL或TLS加密流量的代理工具:http://igfw.net/archives/7572

iGFW博客获德国之声博客大赛"最佳中文博客公众奖"提名 欢迎网友为本博客投票!:http://igfw.net/archives/8681

发表评论