Skip to main content
QUICK REVIEW

[論文レビュー] How China Is Blocking Tor

Philipp Winter, Stefan Lindskog|arXiv (Cornell University)|Apr 2, 2012
Internet Traffic Analysis and Secure E-voting参考文献 9被引用数 24
ひとこと要約

本稿では、中国のグレートファイアウォール(GFC)がディープパケットインスペクション(DPI)とアクティブスキャンを用いて、動的にTorブリッジをブロックする仕組みを調査している。GFCは、固有のTLS暗号スイートリストを介してTorトラフィックを識別し、数分以内にブリッジをブロックしている。著者らは、完全なパケット再構成を防ぐことで検出を回避するクライアント側およびサーバー側のパケット断片化という実用的な回避技術を提案しており、断片化がユーザーの協調を要せず、スキャンを効果的に回避できることを示している。

ABSTRACT

Not only the free web is victim to China's excessive censorship, but also the Tor anonymity network: the Great Firewall of China prevents thousands of potential Tor users from accessing the network. In this paper, we investigate how the blocking mechanism is implemented, we conjecture how China's Tor blocking infrastructure is designed and we propose countermeasures. Our work bolsters the understanding of China's censorship capabilities and thus paves the way towards more effective evasion techniques.

研究の動機と目的

  • 中国のグレートファイアウォール(GFC)が静的IPブラックリスト化を超えて、動的にTorブリッジをブロックする仕組みを理解すること。
  • GFCのアクティブスキャンがTorブリッジに対してどのように行われるか、そのインfra構造とメカニズムを調査すること。
  • 中国におけるTorユーザーが検閲を回避できる実用的な対策を開発・評価すること。
  • パケット断片化やブリッジ認証といった既存の回避技術の実現可能性と限界を評価すること。

提案手法

  • シンガポールおよびスウェーデンにホストされたTorブリッジを用いた実験を実施し、中国に位置するクライアントおよびモニタリングツールを用いて、実世界の状況を再現した。
  • カスタムツール(例:brdgrd)を用いてTCPウィンドウサイズを操作し、サーバー側のパケット断片化を強制することで検出を回避した。
  • fragrouteを用いてTLSハンドシェイクトラフィックを16バイトの小さなセグメントに断片化し、GFCのDPIシステムが完全なパケット再構成を行えないようにした。
  • トレースルーティング、スキャナのIPファINGERプリント、TLS暗号スイートリストのパターンを含む、生のネットワークデータを収集・分析した。
  • 時間経過に伴うブリッジの可用性とスキャン行動のモニタリングを通じて、アクティブスキャンの有効性を評価した。
  • 認証が成功した後のみオンラインステータスを隠すことができるブリッジ認証メカニズムを提案した。

実験結果

リサーチクエスチョン

  • RQ1中国のグレートファイアウォールは、単純なIPブラックリスト化を超えて、どのようにTorブリッジを検出・ブロックしているのか?
  • RQ2TLSクライアントHelloの暗号スイートリストが、GFCがTorトラフィックを識別するのに果たす役割は何か?
  • RQ3新規に起動されたTorブリッジがなぜすみやかにブロックされるのか、その背後にあるスキャンメカニズムは何か?
  • RQ4パケット断片化技術は、GFCのディープパケットインスペクションおよびアクティブスキャンを効果的に回避できるか?
  • RQ5検閲回避におけるクライアント側とサーバー側の断片化の実用的限界とトレードオフは何か?

主な発見

  • GFCは、固有のTLS暗号スイートリストに基づいて、ディープパケットインスペクションを用いてTorトラフィックを検出しており、これはTorクライアントを識別する信頼性の高いフィンガープリントである。
  • Torブリッジのアクティブスキャンは15分ごとに実施されており、一見ランダムな中国のIPアドレスから行われるが、これらはスプーフィングされている可能性がある。
  • ブリッジは起動後数分以内にブロックされるため、非常に自動的かつ反応の速いブロッキングインfraが稼働していることが示された。
  • パケット断片化、特にTCPウィンドウサイズの操作によるサーバー側での断片化が、完全なパケット再構成を防ぐことで検出を効果的に回避できた。
  • クライアント側の断片化は、高いプロトコルオーバーヘッドとパケットロスによる副作用のリスクのため、実用的でない。
  • GFCはパケット再構成を行わないため、断片化は実用的な回避技術であるが、完全に効果を発揮するにはすべてのユーザーが協調する必要がある。

より良い研究を、今すぐ始めましょう

論文設計から論文執筆まで、研究時間を劇的に削減しましょう。

クレジットカード登録不要

このレビューはAIが作成し、人間の編集者が確認しました。