原文标题:The Discriminative Power of Cross-layer RTTs in Fingerprinting Proxy Traffic
原文作者:Diwen Xue, Robert Stanley, Piyush Kumar and Roya Ensafi
原文链接:https://www.ndss-symposium.org/ndss-paper/the-discriminative-power-of-cross-layer-rtts-in-fingerprinting-proxy-traffic/
发表会议:NDSS, 2025
笔记作者:孙汉林@安全学术圈
主编:黄诚@安全学术圈
编辑:张贝宁@安全学术圈
1、引言
当今的代理流量混淆技术通常分为两大类:一种是模拟化,通过将流量模拟为被审查机构允许的协议从而绕过流量审查,如模拟HTTPS的WebTunnel、模拟WebRTC的Snowflake等;另一种是随机化,通过随机化流量去除违规特征,变成审查机构不认识的协议,以绕过流量审查,如Obfs4、Shadowsocks等。
通常情况下,针对不同的代理流量混淆技术应采取不同的识别方案,而本文利用传输层与应用层之间的往返时延(Round-Trip Time,RTT)的差异,创建协议无关性流量指纹,以实现对混淆代理流量的无差别攻击。这里的RTT差异具体体现在:传输层中,流量是以“客户端—代理—服务器”的模式进行交互的,客户端测量到的是客户端与代理之间的RTT;而应用层中,由于流量是端到端加密的,客户端测量到的则是客户端与服务端之间的RTT。具体如下图所示,这种代理流量的特性从根本上消除了协议差异。
2、跨层RTT差异
本文的重点放在传输层混淆代理协议,如VMess、Trojan、shadowsocks等,它们都类似传统的SOCKS代理,保留了应用层端到端的特性,仅仅在此基础上添加了一些混淆技术。一些基于中间人攻击(Man-in-the-Middle,MITM)的代理协议,破坏了应用层端到端的特性,则不在本文研究范围内。
使用代理协议将打破传输层和应用层通讯终止地点的一致性,传输层将在代理服务器处终止,而应用层则会延长至服务器处,这种差异会随着通讯三方的物理地址差异增大而进一步放大。如下图为HTTPS与VLESS-TLS两种协议通讯流程的差异。
这种基于跨层RTT差异的代理协议指纹检测方法并不依赖于客户端的位置或是客户端与代理之间的距离,只要攻击者位于客户端和代理之间即可,因此客户端相对攻击者的位置无关紧要,具体如下图所示。
本方案的关键在于代理服务器与服务端之间必须有足够远的物理距离,以确保有较明显的跨层RTT差异。
3、RTT计算方法
本文利用客户端请求与服务器响应之间的时间关联,通过统计分析寻找两者最可能的延迟关系。具体步骤包括:(1)提取TCP载荷包的时间信息;(2)使用滑动窗口捕捉多个请求—响应对,如下图a;(3)按方向构建出站和入站的数据包时间序列,如下图b,并将出站序列逐步延迟,与入站序列进行互相关计算;(4)找到互相关值最大的延迟点,如下图c,作为当前窗口内的最可能应用层RTT估计值。
该方法适用于端到端加密场景,能在无法直接读取内容的情况下推测出时序特征。
4、检测框架
本文提出了一种基于顺序假设检验(Sequential Hypothesis Testing, SHT)的算法框架,用于区分直接连接流量与代理流量。核心思想是:代理流量由于传输层和应用层会话的终止点不一致,从而跨层RTT差异会比直接连接流量大。
该算法通过设定阈值T,并连续观测多个流量请求—响应对,计算其在“直接连接”与“代理连接”两种假设下的似然比,实时更新判别值。一旦累积似然比超过设定阈值,就判断该流量为代理流量。
5、实验结果
表头格式:
代理(Proxy)位置:ATL(美国亚特兰大)、SIN(新加坡)、AMS(阿姆斯特丹)
客户端(Client)位置:DTW(底特律)、HKG(香港)、TYO(东京)、CEK(俄罗斯车里雅宾斯克)、ARN(斯德哥尔摩)
数值格式:
前者(例如0.207)是每条连接的识别率
后者(例如0.819)是每个网站访问的识别率
两者都是在固定误报率(FPR)为0.01的情况下测得的
测试场景:
DNS解析在代理端进行,网站列表为CrUX Global 5K
DNS解析在客户端本地进行,网站列表为CrUX Global 5K
DNS解析在代理端进行,网站列表为CrUX Regional 5K
表格数据显示,网站级别的识别率明显高于连接级别。此外,采用本地DNS解析时检测率普遍更高。在不同客户端与代理服务器组合下,检测效果虽有波动,但整体趋势一致。
安全学术圈招募队友-ing
有兴趣加入学术圈的请联系 secdr#qq.com
声明:本文来自安全学术圈,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
