如何突破新的GFW基於數據包時延的审查技術?

匿名者

如何突破新的GFW基於數據包時延的审查技術? - 新·品葱
https://pincong.rocks/question/47267

從幾個月前起，某個GFW研究小組發現了GFW在試驗一種新的审查技術。經過幾個月的追踪，已基本搞清楚了。過一兩年就會發paper。

---

這個技術是以非常經濟的方式突破VPN直接定位到網路用戶。

簡單的原理:
首先，GFW要有一個合作網路服務商。假設是品蔥。
然後，用戶在訪問品蔥，品蔥控制回傳每個數據包的時間間隔，以此對數據鏈路插入指紋，GFW會追踪指紋定位到訪問者。

---

對GFW這項新技術，品蔥各位網路專家怎麼看

如果我没猜错的话，这可能是一个基于时间调制的技术，反向代理部分可破。

GFW需要在海外设一个只有翻墙用户能访问的钓鱼网站，然后给这些用户进行登记。由于IP网络有一个叫做“最大包大小”（MTU）的限制，图片一类的大文件必须得拆分为不大于MTU的数据包才能在网络中传输。在将这些数据返回用户的时候，钓鱼网站可以并不像普通网站一样，这些数据包一次性传输。而是类似于打摩尔斯电码般用某种特定的节奏传输，同时将用户的UID嵌入这个特殊的节奏中。

当GFW探测到某个海外IP以这种节奏将数据发送给国内某人时，便可以认为这个海外IP是一个正在访问钓鱼网站的VPN使用的IP地址。同时尝试将这个节奏内嵌的用户UID解析出来，就能断定这个人是钓鱼网站上的某个特定用户。

若想反制的话，反向代理的协议当中可以增加一些随机的延迟和重放，应该能起到混淆作用。但钓鱼网站的自己设定最小延迟没法混淆，长期来看关键还是破解协议，并阻断相应域名比较安全。

其实，这个思路挺好，但最大的障碍不是技术，反而是政治方面的。GFW的钓鱼网站能不能受欢迎自然是成功与否的关键，建一个没人访问的网站只是空耗经费。但假如他们真的建了一个比品葱更受欢迎的反共网站，显然有一种买椟还珠的意味。若是建一个不涉政治的黄网，单抓一帮看虚拟儿童色情的LSP，好像也没什么意义……