Post #1480

GFW如何检测和阻止完全加密的流量？ 规避审查制度的基石之一是完全加密协议，它对有效载荷的每一个字节进行加密，试图让数据包“看起来像什么都没有”。2021年11月初，中国防火长城（GFW）部署了一项全新的审查技术，被动探测数据包，随后实时阻断全加密的流量。GFW的新审查能力影响了一大批流行的审查规避协议，包括但不限于Shadowsocks、VMess和Obfs4。虽然GFW长期以来一直在积极探测此类协议，但这是第一次报告存在纯粹的被动探测机制。 在本文中，我们测量和描述了GFW用于审查完全加密流量的新系统。我们发现，审查者并未直接定义什么是完全加密的流量，而是应用粗糙但有效的启发式方法来豁免那些不太可能是完全加密的流量，然后阻止其余未豁免的流量。这些启发式方法是基于常见协议的指纹、设定比特的比例以及可打印ASCII字符的数量、比例和位置。我们的互联网扫描揭示了GFW检查哪些流量和哪些IP地址。我们在一个大学网络龙头的实时流量上模拟推断出的GFW的检测算法，以评估其全面性和误报率。结果表明，我们推断出的规则很好地覆盖了GFW实际使用的内容。我们估计，如果该机制被广泛应用，作为代价，它有可能阻止大约0.6%的正常互联网流量。 https://www.usenix.org/conference/usenixsecurity23/presentation/wu-mingshi