工作来源

IMC 2021

工作背景

俄罗斯的网络由数千个自治系统和大量的 ISP 组成,并且使用分散的信息控制机制,不同的机构实施不同的审查策略。俄罗斯官方的信息控制机构名为 Roskomnadzor,由它给出各个机构应该阻止的列表,列表中包含超过十万个域名/ IP。不同的机构使用不同的审查方案,有的使用商用硬件级解决方案,有的使用开源过滤软件或者自研软件。

2021 年 3 月,俄罗斯开始在全国范围内限制 Twitter,要求其接受内容删除的要求。2021 年 5 月,俄罗斯再度施压谷歌要求 YouTube 接受内容删除。

整件事的时间线如下所示:

监测发现 TLS Client Hello SNI 中出现与 Twitter 相关的域名(*.twimg.com、 twitter.com、 t.co)时会触发限制。当速率达到 130 kbps 到 150 kbps 时,任意方向的数据包都会被丢弃。

2021 年 3 月 10 日,Roskomnadzor 宣布政府开始采取措施保护俄罗斯公民免受非法内容的干扰和影响。即日起,在俄罗斯全境限制 Twitter 的访问(移动互联网中限制 100%,固网中限制 50%)。2021 年 4 月 5 日,Roskomnadzor 向 Twitter 发出最后通牒,警告其将会在 5 月 15 日被完全限制。迫于压力,Twitter 删除了 91% 的反政府相关内容。五月,固网中的限制被解除,但对移动互联网仍然存在限制。

针对 Twitter 的流量限制在俄罗斯非常常见,如下所示:

在 3 月 11 日至 5 月 19 日期间,对 401 俄罗斯自治系统的 34016 次测量显示 Twitter 的请求速度出现大幅下降。

在八个测量位置里,有七个都限制了 Twitter 的流量:

控制流量的设备与拦截流量的设备是分开的,但控制流量的设备应该是集中控制的。流量控制通过名为 TSPU(technical solution for threat countermeasures,威胁应对技术解决方案)的设备实现,该设备为一个 DPI 硬件。TSPU 由 Roskomnadzor 委托 RDP.RU 专门开发,且受到 Roskomnadzor 的集中控制。

工作设计

流量控制可以通过两种方式实现:① 超过指定速率的数据包予以延迟 ② 超过限额的数据包直接丢弃。流量限制可以针对特定的协议或者用户,也可以限制所有流量。

通过《Identifying traffic differentiation in mobile networks》中发明的“记录&回放”技术进行分析。相同的图片在 Twitter 的服务器上部署一份,在研究人员自己的服务器上部署一份。基本如下所示:

工作评估

流量被限制在大概 130 kbps 到 150 kbps 之间:

流量控制设备通过将超过速率限制的数据包丢弃来实现流量控制,如下所示:

也有一部分是增大延迟减慢速率,如下所示:

流量限制设备同时检查上下行流量,最明显的就是 Client Hello 中的敏感 TLS SNI 即可触发流量限制。

流量限制设备发现无法解析为所支持的协议时,不会对后续所有数据包进行检查,可能是为了节省 DPI 设备的资源。如果发现是有效的 TLS 流量、HTTP 代理流量、SOCK5代理流量或者小于 100 字节的随机数据包,流量限制设备都会检查会话中的 3-15 个数据包。这种方式很可能是针对那些规避技术进行检查的,例如 GoodbyeDPI 与 Zapret 会插入虚假 Client Hello 数据包或者通过未加密的代理路由进行通信。

通过不断实验可以确认,如果屏蔽 TLS_Content_Type、Handshake_Type、Server_Name_Extension 或 Servername_Type 等字段,就不会触发流量限制。这表明流量限制设备并不是对所有数据包进行完整的正则匹配,而是只检查某些 TLS 数据包。与此同时,篡改了 TCP_Length、TLS_Record_Length 或 Handshake_Length 字段后也可以绕过流量限制,这表明流量限制设备并不能重组碎片化的 TLS 数据包。实验了 Alexa 排名前 10 万的域名,只有 t.co 与 twitter.com 被限制流量,另有近 600 个域名被彻底封禁。

必须说明的是,流量控制设备使用的字符串匹配策略并不完善。起初,例如 throttletwitter.com 等 *twitter.com 类域名也在被限制范围内,后来才解除了这种限制。

通过 TTL 测量,确定流量控制设备的位置更靠近用户。这与官方给 ISP 服务商的通知是一致的,官方称 TSPU 设备最好部署在运营商级 NAT 设备前。由于设备部署在靠近用户的一侧而不是国家边境,国内的通信流量也会受到 TSPU 设备的检查。

使用类似的方法测量拦截设备的位置,发现拦截设备与流量控制设备并不在相同的位置。并且,有时候是由流量控制设备来进行直接拦截,不通过拦截设备也可实现拦截。

必须说明的是,这种流量控制并不是双向的。只有从俄罗斯境内向境外的连接才能够触发流量控制,这使得外国的研究人员很难真正了解这一机制。由于流量控制设备本身的限制,对非活动会话的流量控制状态会保持约十分钟,而活动会话的流量控制状态会维持超过两个小时以上。

流量控制状态有可能会根据路由变更和负载均衡策略而改变,并且该流量控制设备其实仍然在不断测试与开发中。

作者提出了几种绕过流量控制设备的方式,这里就不再介绍了,想要了解的去下载原文查看吧。

工作思考

由于是通过主动测量与众包获取数据,所以作者联系了美国监管机构,得知美国对此类数据不予监管,不会对这些人进行逮捕或者罚款,才进行的研究。伦理审查和法律合规问题应该是首先要考虑的事情,每一个研究人员都必须时刻警惕。

作者认为俄罗斯对 Twitter 的审查是该国政府对社交媒体施压的手段,俄罗斯政府除 Twitter 外也要求 Google、YouTube 将反政府的内容予以限制。尽管此类研究不可避免地带有意识形态色彩,但必须强调的是其他非技术角度并不在本文的探讨范围之内,也不代表任何笔者观点。

声明:本文来自威胁棱镜,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。