Hai varios anos, un grupo internacional de científicos das universidades de Massachusetts, Pensilvania e Múnic, Alemaña investigación sobre a eficacia dos proxies tradicionais como ferramenta contra a censura. Como resultado, os científicos propuxeron un novo método para evitar o bloqueo, baseado na teoría de xogos. Elaboramos unha tradución adaptada dos principais puntos deste traballo.
Introdución
O enfoque das populares ferramentas de desvío de bloques como Tor baséase na distribución privada e selectiva de enderezos IP proxy entre clientes de rexións suxeitas a bloqueo. Como resultado, os clientes deben permanecer sen ser detectados por organizacións ou autoridades que impoñan bloqueos. No caso de Tor, estes distribuidores de proxy chámanse pontes.
O principal problema deste tipo de servizos é un ataque de persoas internas. Os axentes de bloqueo poden usar os propios proxies para descubrir os seus enderezos e bloquealos. Para minimizar a probabilidade de cálculos de proxy, as ferramentas de anulación de bloques usan varios mecanismos de asignación de enderezos.
Neste caso, utilízase o chamado enfoque heurístico ad hoc, que se pode evitar. Para solucionar este problema, os científicos decidiron presentar a loita entre os servizos implicados no bloqueo e os servizos para evitalos como un xogo. Usando a teoría de xogos, desenvolveron estratexias de comportamento óptimas para cada unha das partes; en particular, isto permitiu desenvolver un mecanismo de distribución de proxy.
Como funcionan os sistemas tradicionais de derivación de bloqueo
As ferramentas de desvío de bloques como Tor, Lantern e Psiphon usan unha serie de proxies fóra da rexión con restricións que se usan para desviar o tráfico dos usuarios desas rexións e entregalo aos recursos bloqueados.
Se os censores coñecen o enderezo IP deste proxy, por exemplo, despois de que o usan eles mesmos, pode ser facilmente incluído na lista negra e bloqueado. Polo tanto, en realidade, os enderezos IP destes proxies nunca se revelan e aos usuarios asígnaselles un ou outro proxy mediante varios mecanismos. Por exemplo, Tor ten un sistema de ponte.
É dicir, a tarefa principal é proporcionar aos usuarios acceso aos recursos bloqueados e minimizar a probabilidade de que se divulgue o enderezo de proxy.
Resolver este problema na práctica non é tan sinxelo: é moi difícil distinguir con precisión aos usuarios comúns dos censores que se enmascaran. Os mecanismos heurísticos utilízanse para ocultar información. Por exemplo, Tor limita o número de enderezos IP ponte dispoñibles para os clientes a tres por solicitude.
Isto non impediu que as autoridades chinesas identificaran todas as pontes de Tor en pouco tempo. A introdución de restricións adicionais afectará seriamente a usabilidade do sistema de bypass de bloques, é dicir, algúns usuarios non poderán acceder ao proxy.
Como a teoría de xogos resolve este problema
O método descrito no traballo baséase no chamado "xogo de admisións á universidade". Ademais, asúmese que os axentes censuradores de Internet poden comunicarse entre si en tempo real e usar tácticas complexas, por exemplo, non bloquear proxies inmediatamente ou facelo ao instante dependendo de varias condicións.
Como funciona a admisión á universidade?
Digamos que temos n estudantes e m universidades. Cada estudante fai a súa propia lista de preferencias entre as institucións educativas en función de determinados criterios (é dicir, só se clasifican as universidades ás que se presentaron documentos). Por outra banda, os colexios tamén clasifican os estudantes que enviaron documentos en función das súas propias preferencias.
En primeiro lugar, a facultade corta aos que non cumpran os criterios de selección: non serán aceptados aínda que haxa escaseza. A continuación, os candidatos son seleccionados mediante un algoritmo que ten en conta os parámetros necesarios.
É posible que haxa "admisións inestables", por exemplo, se hai dous estudantes 1 e 2 que foron aceptados nos colexios a e b respectivamente, pero ao segundo estudante quere estudar na universidade a. No caso do experimento descrito, só se tiveron en conta as conexións estables entre obxectos.
Algoritmo de aceptación retardada
Como xa se dixo, hai un certo número de estudantes aos que a facultade non aceptará baixo ningún concepto. Polo tanto, o algoritmo de aceptación diferida asume que estes estudantes non poden solicitar a devandita institución. Neste caso, todos os estudantes tentan entrar nas universidades que máis lles gustan.
Unha institución con capacidade de q estudantes coloca na lista de espera a q persoa mellor clasificada en función dos seus criterios, ou todas se o número de solicitantes é inferior ao número de prazas dispoñibles. O resto son rexeitados e estes estudantes solicitan a seguinte universidade da súa lista de preferencias. Esta facultade tamén selecciona os q estudantes mellor clasificados entre os que solicitaron de inmediato e os que non foron aceptados na primeira facultade. Ademais, de novo un certo número de persoas non pasan.
O procedemento remata se cada alumno está na lista de espera dalgún colexio ou foi rexeitado de todos os centros educativos nos que podería matricularse. Como resultado, os colexios finalmente admiten a todos das súas listas de espera.
Que ten que ver o proxy con iso?
Por analoxía cos estudantes e universidades, os científicos asignaron un proxy específico a cada cliente. O resultado foi un xogo chamado xogo de asignación de proxy. Os clientes, incluídos os posibles axentes censores, actúan como estudantes que queren coñecer o enderezo dos proxies, que desempeñan o papel de universidades: teñen un ancho de banda finito coñecido de antemán.
No modelo descrito hai n usuarios (clientes) A =
{a1, a2, …, an}, que solicitan acceso ao proxy para evitar o bloqueo. Así, ai é o identificador do cliente "total". Entre estes n usuarios, m son axentes censores, denotados como J = {j1, j2, ..., jm}, o resto son usuarios comúns. Todos os axentes m están controlados por unha autoridade central e reciben instrucións desta.
Tamén se supón que existe un conxunto de proxies P = {p1, p2, ..., pl}. Despois de cada solicitude, o cliente recibe información (enderezo IP) sobre k proxies do obxecto distribuidor. O tempo divídese en intervalos-etapas, designados como t (o xogo comeza en t=0).
Cada cliente usa a función de puntuación para avaliar o proxy. Os científicos utilizaron a función 
para marcar a puntuación que o usuario ai asignou ao proxy px na fase t. Do mesmo xeito, cada proxy usa unha función para avaliar os clientes. É dicir é a puntuación que o proxy px asignou ao cliente ai na fase t.
É importante lembrar que todo o xogo é virtual, é dicir, o propio "distribuidor" xoga en nome do proxy e dos clientes. Para iso, non precisa coñecer o tipo de cliente nin as súas preferencias en canto aos proxies. En cada etapa hai un xogo, e tamén se utiliza un algoritmo de aceptación retardada.
Descubrimentos
Segundo os resultados da simulación, o método que utiliza a teoría de xogos mostrou unha maior eficiencia en comparación cos sistemas de derivación de bloqueo coñecidos.
Comparación co servizo VPN rBridge
Ao mesmo tempo, os científicos identificaron varios puntos importantes que poden afectar a calidade do funcionamento destes sistemas:
- Independentemente da estratexia dos censores, o sistema de superación do bloqueo debe actualizarse constantemente con novos proxies, se non, a súa eficacia diminuirá.
- Se os censores teñen recursos significativos, poden aumentar a eficiencia do bloqueo engadindo axentes distribuídos xeograficamente para atopar proxies.
- A velocidade á que se engaden novos proxies é fundamental para a eficacia do sistema para superar o bloqueo.
Ligazóns útiles e materiais de :
Fonte: www.habr.com