Shadowsocks是如何被检测和封锁的


作者: Alice, Bob, Carol, Jan Beznazwy, Amir Houmansadr

Internet Measurement Conference (IMC) 2020

English version: How China Detects and Blocks Shadowsocks

最后修改日期: 2020年10月27日

论文摘要

在这项研究中,我们揭示了中国的防火长城(GFW)是如何检测并封锁Shadowsocks及其变种的。通过网络测量实验,我们发现GFW会根据每个连接中的第一个数据包的长度来识别Shadowsocks流量;然后再向被怀疑是Shadowsocks的服务器分阶段地发送7种不同的主动探测,来验证其怀疑。

我们开发了一个主动探测模拟器,并用它来分析不同的主动探测对不同版本的Shadowsocks的作用,从而猜出不同种的主动探测分别利用了Shadowsocks的哪些弱点。我们还分析了GFW主动探测的指纹,并与之前关于GFW主动探测的研究所发现的指纹比较了异同。分析TCP层的旁道信息,我们还发现:来自上千个不同IP地址的主动探测,其实很有可能是受一小撮中心化结构的集中控制。

根据我们从实验中获得的理解,我们展示了一个成功缓解流量分析的方法。我们还讨论了对抗主动探测所必要的策略。我们向Shadowsocks开发者们负责任地披露了我们的发现和建议,从而已经让Shadowsocks变得更加地难以封锁。

更新

  • 我们在不伤害匿名性的前提下,已于2020年10月7日将论文相关的源代码和数据集开源。这些代码和数据可以支持我们论文的所有主要结论。
  • 如果您有任何的问题,评论或反馈,请使用下方的评论区,或者用这个pad

评论区