2010 年代初期,来自斯坦福大学、马萨诸塞大学、Tor 项目和 SRI International 的专家联合团队展示了他们的研究结果 对抗互联网审查制度的方法。
科学家们分析了当时存在的绕过封锁的方法,并提出了自己的方法,称为闪存代理。 今天我们就来说说它的本质和发展历史。
介绍
互联网最初是一个对所有类型数据开放的网络,但随着时间的推移,许多国家开始过滤流量。 一些州禁止特定网站,例如 YouTube 或 Facebook,而另一些州则禁止访问包含某些材料的内容。 包括欧洲在内的不同地区的数十个国家都使用了一种或另一种封锁措施。
使用封锁的地区的用户尝试使用各种代理来绕过它。 此类系统的开发有多个方向;该项目期间使用了其中一项技术 Tor。
通常,用于绕过阻塞的代理系统的开发人员面临三个需要解决的任务:
- 会合协议。 集合点协议允许被封锁国家/地区的用户发送和接收少量信息以与代理建立连接 - 例如,对于 Tor,它使用集合点来分配 Tor 中继(网桥)的 IP 地址。 此类协议用于低速率流量,不太容易被阻止。
- 创建代理。 克服阻塞的系统需要具有经过过滤的互联网的区域之外的代理来将流量从客户端传输到目标资源并返回。 区块组织者可能会通过阻止用户了解代理服务器的 IP 地址并阻止它们来做出响应。 为了对抗这样的 代理服务必须能够不断创建新的代理。 快速创建新代理是研究人员提出的方法的主要本质。
- 伪装。 当客户端收到未阻止代理的地址时,它需要以某种方式隐藏与其通信,以便使用流量分析工具无法阻止会话。 它需要伪装成“常规”流量,例如与在线商店、在线游戏等的数据交换。
在他们的工作中,科学家提出了一种快速创建代理的新方法。
怎么开动这个
关键思想是使用多个网站创建大量代理,其生命周期不超过几分钟。
为此,我们正在创建一个由志愿者拥有的小型网站网络,例如居住在互联网封锁地区之外的用户的主页。 这些站点与用户想要访问的资源没有任何关联。
这样的网站上会安装一个小徽章,这是一个使用 JavaScript 创建的简单界面。 此代码的示例:
<iframe src="//crypto.stanford.edu/flashproxy/embed.html" width="80" height="15" frameborder="0" scrolling="no"></iframe>这就是徽章的样子:
当来自被阻止区域之外的位置的浏览器到达带有徽章的此类站点时,它开始向该区域传输流量并返回。 也就是说,网站访问者的浏览器成为临时代理。 一旦该用户离开该站点,代理就会被销毁,不会留下任何痕迹。
结果,可以获得足以支持Tor隧道的性能。
除了 Tor Relay 和客户端之外,用户还需要三个元素。 所谓服务商,它接收客户端的请求,并将其与代理连接。 使用客户端上的传输插件进行通信(此处 )和 Tor 中继从 WebSocket 切换到纯 TCP。
使用此方案的典型会话如下所示:
- 客户端运行 Tor(一个闪存代理客户端(浏览器插件)),并使用集合点协议向服务商发送注册请求。 该插件开始监听远程连接。
- Flash 代理在线显示并联系协调员并请求与客户端连接。
- 辅助器返回注册,将连接数据传递给闪存代理。
- 代理连接到向其发送数据的客户端。
- 代理连接到传输插件和 Tor 中继,并开始在客户端和中继之间交换数据。
这种架构的独特之处在于,客户端永远不会提前确切地知道他需要连接到哪里。 事实上,传输插件接受虚假目标地址只是为了不违反传输协议的要求。 然后该地址将被忽略,并创建到另一个端点(Tor 中继)的隧道。
结论
Flash 代理项目开发了几年,创建者于 2017 年停止支持它。 项目代码可在 。 Flash 代理已被用于绕过阻止的新工具所取代。 其中之一是基于类似原理构建的 Snowflake 项目。
来源: habr.com