[논문 리뷰] How China Is Blocking Tor
이 논문은 중국의 대화벽(GFC)이 디퍼런스 패킷 인spect(DPI)와 주기적 스캐닝을 통해 동적으로 Tor 브리지에 접근을 차단하는 방식을 조사한다. GFC는 고유한 TLS 시퍼 리스트를 통해 Tor 트래픽을 식별하고, 브리지를 분석하여 몇 분 내로 차단함을 드러낸다. 저자들은 실용적인 회피 기법—특히 클라이언트 및 서버 측 패킷 분할 기법—을 제안한다. 이 기법들은 전체 패킷 재구성을 방지함으로써 탐지 회피를 가능하게 하며, 분할 기법이 사용자 간 협력 없이도 효과적으로 스캐닝을 회피함을 입증한다.
Not only the free web is victim to China's excessive censorship, but also the Tor anonymity network: the Great Firewall of China prevents thousands of potential Tor users from accessing the network. In this paper, we investigate how the blocking mechanism is implemented, we conjecture how China's Tor blocking infrastructure is designed and we propose countermeasures. Our work bolsters the understanding of China's censorship capabilities and thus paves the way towards more effective evasion techniques.
연구 동기 및 목표
- 중국의 대화벽(GFC)이 정적 IP 블랙리스트를 넘어서 동적으로 Tor 브리지를 어떻게 차단하는지 이해하는 것.
- GFC의 주기적 스캐닝이 Tor 브리지를 대상으로 하는 인프라 및 메커니즘을 조사하는 것.
- 중국 내 Tor 사용자가 검열을 우회할 수 있도록 실용적인 대응 기법을 개발하고 평가하는 것.
- 패킷 분할 및 브리지 인증과 같은 기존의 회피 기법의 실현 가능성과 한계를 평가하는 것.
제안 방법
- 싱가포르 및 스웨덴에 위치한 Tor 브리지에서 실험을 수행하였으며, 중국 내에 위치한 클라이언트 및 모니터링 도구를 활용해 실제 환경을 시뮬레이션하였다.
- 고유한 도구(예: brdgrd)를 사용해 TCP 윈도우 크기를 조작하고 서버 측 패킷 분할을 강제 적용하여 탐지 회피를 시도하였다.
- fragroute를 활용해 TLS 핸드셰이크 트래픽을 16바이트의 작은 세그먼트로 분할하여 GFC의 DPI 시스템이 전체 패킷 재구성을 방지하도록 하였다.
- 트래이서outes, 스캐너 IP 지문, TLS 시퍼 리스트 패턴을 포함한 원시 네트워크 데이터를 수집하고 분석하였다.
- 시간이 지남에 따라 브리지 가용성과 스캐닝 행동을 모니터링하여 주기적 스캐닝의 효과를 평가하였다.
- 성공적인 인증 이후에만 온라인 상태를 숨길 수 있도록 브리지 인증 메커니즘을 제안하였다.
실험 결과
연구 질문
- RQ1중국의 대화벽은 단순한 IP 블랙리스트를 초월해 Tor 브리지를 어떻게 탐지하고 차단하는가?
- RQ2TLS 클라이언트 헬로 시퍼 리스트는 GFC가 Tor 트래픽을 식별하는 데 어떤 역할을 하는가?
- RQ3신규로 실행된 Tor 브리지는 왜 이렇게 빨리 차단되는가? 그리고 이에 책임이 있는 스캐닝 메커니즘은 무엇인가?
- RQ4패킷 분할 기법은 GFC의 디퍼런스 패킷 인spect 및 주기적 스캐닝을 효과적으로 회피할 수 있는가?
- RQ5검열 회피를 위한 클라이언트 측과 서버 측 분할 간의 실용적 한계와 상충 요소는 무엇인가?
주요 결과
- GFC는 고유한 TLS 시퍼 리스트를 기반으로 디퍼런스 패킷 인спект를 통해 Tor 트래픽을 탐지하며, 이는 Tor 클라이언트를 식별하는 신뢰할 수 있는 지문이다.
- Tor 브리지에 대한 주기적 스캐닝은 15분 간격으로 이루어지며, 가짜로 위장된 중국 IP 주소들에 의해 수행되는데, 이는 위조된 주소일 수 있다.
- 브리지는 가동된 지 몇 분 내로 차단되므로, 매우 자동화되고 반응성이 높은 차단 인프라를 갖추고 있음을 시사한다.
- 패킷 분할—특히 TCP 윈도우 크기를 조작해 서버 측에서 강제로 적용한 분할—은 전체 패킷 재구성을 방지함으로써 탐지 회피에 성공한다.
- 클라이언트 측 분할은 프로토콜 오버헤드가 높고 패킷 손실 시 부작용이 커 실용적이지 않다.
- GFC는 패킷 재구성을 수행하지 않아, 분할 기법이 실질적인 회피 수단이 되며, 이는 모든 사용자 간 협력이 필요로 할 때에만 최고의 효과를 발휘한다.
더 나은 연구,지금 바로 시작하세요
연구 설계부터 논문 작성까지, 연구 시간을 획기적으로 줄여보세요.
카드 등록 없음 · 무료 플랜 제공
이 리뷰는 AI가 만들고, 인간 에디터가 검토했습니다.