如何突破新的GFW基於數據包時延的审查技術?


  • 如何突破新的GFW基於數據包時延的审查技術? - 新·品葱
    https://pincong.rocks/question/47267

    從幾個月前起,某個GFW研究小組發現了GFW在試驗一種新的审查技術。經過幾個月的追踪,已基本搞清楚了。過一兩年就會發paper。


    這個技術是以非常經濟的方式突破VPN直接定位到網路用戶。

    簡單的原理:
    首先,GFW要有一個合作網路服務商。假設是品蔥。
    然後,用戶在訪問品蔥,品蔥控制回傳每個數據包的時間間隔,以此對數據鏈路插入指紋,GFW會追踪指紋定位到訪問者。


    對GFW這項新技術,品蔥各位網路專家怎麼看

    如果我没猜错的话,这可能是一个基于时间调制的技术,反向代理部分可破。

    GFW需要在海外设一个只有翻墙用户能访问的钓鱼网站,然后给这些用户进行登记。由于IP网络有一个叫做“最大包大小”(MTU)的限制,图片一类的大文件必须得拆分为不大于MTU的数据包才能在网络中传输。在将这些数据返回用户的时候,钓鱼网站可以并不像普通网站一样,这些数据包一次性传输。而是类似于打摩尔斯电码般用某种特定的节奏传输,同时将用户的UID嵌入这个特殊的节奏中。

    当GFW探测到某个海外IP以这种节奏将数据发送给国内某人时,便可以认为这个海外IP是一个正在访问钓鱼网站的VPN使用的IP地址。同时尝试将这个节奏内嵌的用户UID解析出来,就能断定这个人是钓鱼网站上的某个特定用户。

    若想反制的话,反向代理的协议当中可以增加一些随机的延迟和重放,应该能起到混淆作用。但钓鱼网站的自己设定最小延迟没法混淆,长期来看关键还是破解协议,并阻断相应域名比较安全。

    其实,这个思路挺好,但最大的障碍不是技术,反而是政治方面的。GFW的钓鱼网站能不能受欢迎自然是成功与否的关键,建一个没人访问的网站只是空耗经费。但假如他们真的建了一个比品葱更受欢迎的反共网站,显然有一种买椟还珠的意味。若是建一个不涉政治的黄网,单抓一帮看虚拟儿童色情的LSP,好像也没什么意义……