作者: Alice, Bob, Carol, Jan Beznazwy, Amir Houmansadr
Internet Measurement Conference (IMC) 2020
English version: How China Detects and Blocks Shadowsocks
首次发布日期: 2020年10月27日
最后修改日期:
在这项研究中,我们揭示了中国的防火长城(GFW)是如何检测并封锁Shadowsocks及其变种的。通过网络测量实验,我们发现GFW会根据每个连接中的第一个数据包的长度和熵来识别Shadowsocks流量;然后再向被怀疑是Shadowsocks的服务器分阶段地发送7种不同的主动探测,来验证其怀疑。
我们开发了一个主动探测模拟器,并用它来分析不同的主动探测对不同版本的Shadowsocks的作用,从而猜出不同种的主动探测分别利用了Shadowsocks的哪些弱点。我们还分析了GFW主动探测的指纹,并与之前关于GFW主动探测的研究所发现的指纹比较了异同。分析TCP层的旁道信息,我们还发现:来自上千个不同IP地址的主动探测,其实很有可能是受一小撮中心化结构的集中控制。
根据我们从实验中获得的理解,我们展示了一个成功缓解流量分析的方法。我们还讨论了对抗主动探测所必要的策略。我们向Shadowsocks开发者们负责任地披露了我们的发现和建议,从而已经让Shadowsocks变得更加地难以封锁。