solidot | 防火长城如何屏蔽tor网桥

去年10月，一位中国的tor用户递交报告称发现连上美国的tor网桥中继地址后，常常在很短时间内（近乎实时）连接就被切断。tor项目注意到中国正利用刺探加密连接的方式测试新屏蔽手段。team cymru的研究人员对此展开了深入研究，他们在测试中发现可以屏蔽防火墙的探针，让网桥在较长时间内保持开放（大于48小时）。 中国去年12月停止了刺针探测，但研究人员已经收集到了许多有价值的信息。他们发现了两类刺探方法：其一是“垃圾二进制（garbage binary）探针”，用随机的二进制数据刺探加密连接，任何从中国访问境外https 443端口的连接都会在几乎实时的情况下被刺探，暗示防火墙具备了近线路速率深度包检测能力。第二类探针是专门针对tor，当中国的一个tor客户端与美国的网桥中继建立连接，在接下来的15分钟周期（如15分钟后，30分钟后）内一个中国的探针会尝试与tor进行ssl协商和重协商，但目的不是建立tcp连接。研究人员表示好消息是他们已识别出防火墙用于执行刺探的tor握手特征，通过改变发送的数据包防止此类的刺探再次发生；但坏消息是近线路速率深度包检测让防火墙具备了过滤端口的能力。