Project Salmon：如何使用具有使用者信任等級的代理程式來有效抵制網路審查

許多國家的政府以某種方式限制公民取得網路上的資訊和服務。 打擊這種審查制度是一項重要而艱鉅的任務。 通常，簡單的解決方案無法擁有高可靠性或長期效率。 更複雜的克服阻塞的方法在可用性、性能低等方面存在缺點，或者不允許將互聯網使用的品質保持在適當的水平。

一群來自伊利諾大學的美國科學家 已開發 一種克服封鎖的新方法，基於代理技術的使用，以及按信任級別對使用者進行細分，以有效識別為審查機構工作的代理。 我們向您介紹這項工作的主要論文。

方法描述

科學家們開發了一種名為 Salmon 的工具，這是一種代理伺服器系統，由來自網路使用不受限制的國家的志願者運行。 為了保護這些伺服器不被審查機構阻止，系統使用特殊的演算法為使用者分配信任等級。

該方法涉及暴露冒充普通用戶的潛在審查代理，以便找出代理伺服器的 IP 位址並阻止它。 而且，反對派 西比爾的攻擊 透過在系統中註冊時提供有效社交網路帳戶的連結或從具有高信任度的用戶獲得建議的要求來執行。

Какэтоработает

審查機構應該是政府控制的機構，有能力控制國內的任何路由器。 還假設審查員的任務是阻止對某些資源的訪問，而不是識別用戶以進一步逮捕。 該系統無法以任何方式阻止事件的發展——國家有很多機會了解公民使用哪些服務。 其中之一是使用蜜罐伺服器來攔截通訊。

也假設國家擁有大量資源，包括人力資源。 審查員可以解決需要數百或數千名全職員工的問題。

還有幾個基本要點：

• 該系統的目的是為居住在線上審查地區的所有用戶提供繞過封鎖的能力（即提供代理伺服器 IP 位址）。
• 網路審查機構和部門的代理人/員工可能會嘗試以一般使用者的身分連接到該系統。
• 審查員可以阻止他知道其地址的任何代理伺服器。
• 在這種情況下，Salmon 系統的組織者了解到審查者以某種方式獲悉了伺服器位址。

所有這些都使我們對克服障礙的系統的三個關鍵組件進行了描述。

1. 系統計算使用者是審查組織代理人的機率。 被發現極有可能是此類代理的用戶將被禁止。
2. 每個使用者都必須贏得一定程度的信任。 效能最快的代理專用於具有最高信任等級的使用者。 此外，這還可以讓您將可靠的、經過時間考驗的用戶與新用戶區分開來，因為他們中最有可能是審查代理。
3. 信任度高的使用者可以邀請新使用者加入系統。 結果就是可信任用戶的社交圖譜。

一切都是合乎邏輯的：審查者通常需要此時此地封鎖代理伺服器；他不會等待很長時間來嘗試「拉高」系統中代理人的帳戶。 此外，很明顯，新用戶最初可能會獲得不同程度的信任 - 例如，專案創建者的朋友和親戚不太可能與審查國家合作。

信任等級：實作細節

不僅使用者之間存在一定程度的信任，代理伺服器之間也存在一定程度的信任。 系統為具有一定等級的使用者指派一個具有相同信任等級的伺服器。 同時，使用者信任等級可以增加也可以減少，對於伺服器而言，信任等級只會增加。

每次審查機構阻止特定使用者正在使用的伺服器時，他們的信任等級都會降低。 如果伺服器長時間不被阻止，信任度就會增加 - 每個新等級所需的時間都會加倍：要從等級 n 移動到 n+1，您需要代理伺服器不間斷執行 2n+1 天。 要達到最高第六級信任需要兩個多月的時間。

必須等待那麼長時間才能找到最好的代理伺服器的位址，這是針對審查者的極其有效的對策。

伺服器的信任等級是使用者指派給它的最低信任等級。 例如，如果系統中的新伺服器分配給用戶，其中最低評級為2，則代理也會收到相同的結果。 如果評級為 3 的人開始使用伺服器，但第二級別的使用者仍保留，則伺服器評級將為 2。如果伺服器的所有使用者都提高了級別，則代理的級別也會提高。 同時，伺服器不能失去其信任等級；相反，如果被阻止，用戶將被罰款。

具有高信任度的用戶會收到兩種類型的獎勵。 首先，伺服器不一樣。 有最低頻寬要求（100 Kbps），但志願者伺服器所有者可以提供更多 - 沒有上限。 Salmon 系統為最高評價的使用者選擇最高效的伺服器。

此外，信任度高的用戶可以更好地免受審查者的攻擊，因為審查者必須等待數月才能找到代理地址。 因此，高風險族群的伺服器被封鎖的可能性比低信任人群低幾倍。

為了將盡可能多的值得用戶連接到最好的代理，Salmon 的創建者開發了一個推薦系統。 評分高（L）的使用者可以邀請好友加入平台。 受邀者的等級為 L-1。

推薦系​​統的工作方式是波浪式的。 第一波被邀請的用戶大約四個月後才有機會邀請他們的朋友。 第二波及後續波次的用戶必須等待 2 個月。

系統模組

該系統由三個部分組成：

• Windows 版 Salmon 用戶端；
• 由志工安裝的伺服器守護程序（Windows 和 Linux 版本）；
• 中央目錄伺服器，儲存所有代理伺服器的資料庫並在使用者之間分配 IP 位址。

系統客戶端應用程式介面

為了使用該系統，人們必須使用 Facebook 帳戶建立一個帳戶。

結論

目前，鮭魚方法尚未廣泛使用，只有伊朗和中國用戶知道的小型試點計畫。 儘管這是一個有趣的項目，但它並沒有完全為志願者提供匿名或保護，而且創建者自己也承認它很容易受到蜜罐服務的攻擊。 儘管如此，具有信任等級的系統的實施看起來像是一個可以繼續進行的有趣實驗。

今天就到這裡，謝謝大家的關注！

有用的鏈接和材料來自 印法蒂卡:

• 實驗：是否有可能減少使用代理的 DoS 攻擊的負面影響
• 研究：使用博弈論創建抗阻塞代理服務
• 對抗審查制度的歷史：麻省理工學院和斯坦福大學科學家創建的閃存代理方法如何工作
• 如何理解代理何時撒謊：使用主動地理定位算法驗證網絡代理的物理位置
• 如何在互聯網上偽裝自己：比較服務器和住宅代理

來源： www.habr.com