Onderzoek: het creëren van een blokresistente proxyservice met behulp van speltheorie

Enkele jaren geleden stelde een internationale groep wetenschappers van de universiteiten van Massachusetts, Pennsylvania en München, Duitsland, een onderzoek samen gehouden onderzoek naar de effectiviteit van traditionele proxy’s als anti-censuurinstrument. Als gevolg hiervan stelden wetenschappers een nieuwe methode voor om blokkeringen te omzeilen, gebaseerd op de speltheorie. We hebben een aangepaste vertaling van de hoofdpunten van dit werk voorbereid.

Introductie

De aanpak van populaire block-bypass-tools zoals Tor is gebaseerd op de private en selectieve distributie van proxy-IP-adressen onder clients uit regio's die onderhevig zijn aan blokkering. Als gevolg hiervan moeten cliënten onopgemerkt blijven door organisaties of autoriteiten die blokkades opleggen. In het geval van Tor worden deze proxy-distributeurs bruggen genoemd.

Het belangrijkste probleem met dergelijke diensten is een aanval door insiders. Blokkeeragenten kunnen zelf proxy's gebruiken om hun adressen te achterhalen en deze te blokkeren. Om de kans op proxyberekeningen te minimaliseren, gebruiken blok-bypass-tools verschillende mechanismen voor adrestoewijzing.

In dit geval wordt gebruik gemaakt van de zogenaamde ad hoc heuristische benadering, die kan worden omzeild. Om dit probleem op te lossen, besloten wetenschappers de strijd tussen diensten die betrokken zijn bij het blokkeren en diensten om deze te omzeilen als een spel te presenteren. Met behulp van de speltheorie ontwikkelden ze optimale gedragsstrategieën voor elk van de partijen. Dit maakte het met name mogelijk een proxy-distributiemechanisme te ontwikkelen.

Hoe traditionele sluis-bypass-systemen werken

Block bypass-tools zoals Tor, Lantern en Psiphon gebruiken een reeks proxy's buiten de regio met beperkingen die worden gebruikt om gebruikersverkeer uit die regio's om te leiden en naar geblokkeerde bronnen te sturen.

Als censors kennis krijgen van het IP-adres van een dergelijke proxy – bijvoorbeeld nadat ze deze zelf hebben gebruikt – kan deze gemakkelijk op de zwarte lijst worden gezet en worden geblokkeerd. Daarom worden de IP-adressen van dergelijke proxy's in werkelijkheid nooit openbaar gemaakt en krijgen gebruikers via verschillende mechanismen de ene of de andere proxy toegewezen. Tor heeft bijvoorbeeld een brugsysteem.

Dat wil zeggen, de belangrijkste taak is om gebruikers toegang te bieden tot geblokkeerde bronnen en de kans op openbaarmaking van proxyadressen te minimaliseren.

Het oplossen van dit probleem in de praktijk is niet zo eenvoudig - het is erg moeilijk om gewone gebruikers nauwkeurig te onderscheiden van censors die zich voor hen vermommen. Heuristische mechanismen worden gebruikt om informatie te verbergen. Tor beperkt bijvoorbeeld het aantal bridge-IP-adressen dat beschikbaar is voor clients tot drie per verzoek.

Dit weerhield de Chinese autoriteiten er niet van om in korte tijd alle Tor-bruggen te identificeren. De introductie van aanvullende beperkingen zal de bruikbaarheid van het blok-bypass-systeem ernstig beïnvloeden, dat wil zeggen dat sommige gebruikers geen toegang zullen hebben tot de proxy.

Hoe speltheorie dit probleem oplost

De in het werk beschreven methode is gebaseerd op het zogenaamde ‘college Admissions Game’. Bovendien wordt aangenomen dat internetcensuuragenten in realtime met elkaar kunnen communiceren en complexe tactieken kunnen gebruiken - bijvoorbeeld door proxy's niet onmiddellijk te blokkeren of dit onmiddellijk te doen, afhankelijk van verschillende omstandigheden.

Hoe werkt toelating tot de universiteit?

Laten we zeggen dat we n studenten en m hogescholen hebben. Elke student maakt zijn eigen lijst met voorkeuren onder onderwijsinstellingen op basis van bepaalde criteria (dat wil zeggen dat alleen hogescholen waaraan documenten zijn ingediend, worden gerangschikt). Aan de andere kant rangschikken hogescholen ook studenten die documenten hebben ingediend op basis van hun eigen voorkeuren.

Allereerst sluit het college degenen af ​​die niet aan de selectiecriteria voldoen - zij zullen niet worden geaccepteerd, zelfs als er een tekort is. Vervolgens worden aanvragers geselecteerd met behulp van een algoritme dat rekening houdt met de noodzakelijke parameters.

Het is mogelijk dat er sprake is van "onstabiele toelating" - bijvoorbeeld als er twee studenten 1 en 2 zijn die respectievelijk zijn toegelaten tot hogescholen a en b, maar de tweede student graag aan universiteit a wil studeren. In het geval van het beschreven experiment werd alleen rekening gehouden met stabiele verbindingen tussen objecten.

Vertraagd acceptatiealgoritme

Zoals reeds vermeld, is er een bepaald aantal studenten dat de hogeschool onder geen enkele omstandigheid zal accepteren. Daarom gaat het algoritme voor uitgestelde acceptatie ervan uit dat deze studenten niet bij die instelling mogen solliciteren. In dit geval proberen alle studenten toegang te krijgen tot de hogescholen die ze het leukst vinden.

Een instelling met een capaciteit van q studenten zet de q hoogst gerangschikte persoon op een wachtlijst op basis van haar criteria, of allemaal als het aantal aanvragers kleiner is dan het aantal beschikbare plaatsen. De rest wordt afgewezen en deze studenten melden zich aan bij de volgende universiteit op hun voorkeurslijst. Dit college selecteert ook de q hoogst gerangschikte studenten uit degenen die zich meteen hebben aangemeld en degenen die niet zijn toegelaten tot het eerste college. Ook komt er weer een bepaald aantal mensen niet langs.

De procedure eindigt als elke student op de wachtlijst van een hogeschool staat of is afgewezen bij alle onderwijsinstellingen waar hij zich zou kunnen inschrijven. Als gevolg hiervan laten hogescholen eindelijk iedereen van hun wachtlijsten toe.

Wat heeft proxy ermee te maken?

Naar analogie met studenten en hogescholen hebben wetenschappers aan elke cliënt een specifieke proxy toegewezen. Het resultaat was een spel genaamd proxy-toewijzingsspel. Klanten, inclusief mogelijke censuuragenten, fungeren als studenten die het adres willen weten van proxy's, die de rol spelen van hogescholen - ze hebben vooraf een bekende eindige bandbreedte.

In het beschreven model zijn er n gebruikers (cliënten) A =
{a1, a2, …, an}, die toegang tot de proxy vragen om de blokkering te omzeilen. Aldus is ai de identificatie van de “totale” klant. Onder deze n gebruikers zijn m censuuragenten, aangeduid als J = {j1, j2, ..., jm}, de rest zijn gewone gebruikers. Alle m agenten worden aangestuurd door een centrale autoriteit en krijgen van deze autoriteit instructies.

Er wordt ook aangenomen dat er een reeks proxy's is P = {p1, p2, ..., pl}. Na elk verzoek ontvangt de client informatie (IP-adres) over k proxy's van het distributeurobject. De tijd is verdeeld in intervallen-fasen, aangeduid als t (het spel begint op t=0).

Elke client gebruikt de scorefunctie om de proxy te evalueren. Wetenschappers gebruikten de functie om de score te markeren die gebruiker ai in fase t aan proxy px heeft toegekend. Op dezelfde manier gebruikt elke proxy een functie om clients te evalueren. Dat is is de score die proxy px in stadium t aan cliënt ai heeft toegekend.

Het is belangrijk om te onthouden dat het hele spel virtueel is, dat wil zeggen dat de "distributeur" het zelf speelt namens de proxy en klanten. Om dit te doen, hoeft hij het type klant of hun voorkeuren met betrekking tot volmachten niet te kennen. In elke fase is er een spel en wordt ook een algoritme voor vertraagde acceptatie gebruikt.

Bevindingen

Volgens de simulatieresultaten vertoonde de methode met behulp van de speltheorie een hogere efficiëntie vergeleken met bekende sluis-bypass-systemen.

Vergelijking met rBridge VPN-service

Tegelijkertijd hebben wetenschappers verschillende belangrijke punten geïdentificeerd die de kwaliteit van de werking van dergelijke systemen kunnen beïnvloeden:

• Ongeacht de strategie van de censuur moet het systeem voor het overwinnen van blokkering voortdurend worden bijgewerkt met nieuwe proxy’s, anders zal de effectiviteit ervan afnemen.
• Als censors over aanzienlijke middelen beschikken, kunnen ze de blokkeringsefficiëntie vergroten door geografisch verspreide agenten toe te voegen om proxy's te vinden.
• De snelheid waarmee nieuwe proxy's worden toegevoegd, is van cruciaal belang voor de effectiviteit van het systeem om blokkeringen te overwinnen.

Nuttige links en materialen van infatica:

• De geschiedenis van de strijd tegen censuur: hoe de flash proxy-methode, gemaakt door wetenschappers van MIT en Stanford, werkt
• Hoe te begrijpen wanneer proxy's liegen: verificatie van fysieke locaties van netwerkproxy's met behulp van het actieve geolocatie-algoritme
• Hoe u zich kunt vermommen op internet: server- en residentiële proxy's vergelijken

Bron: www.habr.com