如果他们真有这个技术,如何防范?
相关资料:
内部爆料★2021年5月25日1楼218单元 我司与晶哥有技术外包合作。据我所知,前几年就有南京公司在研发运营商级别的翻墙流量检测的系统(与GFW有所区别),据说可以通过AI进行深度包检测,探测出前置代理下的tor流量,准确度95%以上。 但碍于资金、部门沟通效率,这项技术前几年一直没有大规模部署,晶哥无法直接操控运营商的机房,只能通过运营商的API接口去检索数据。直到今年初,多部委联合行动,运营商开始在一线城市的骨干网络部署此系统。目前全国范围内,使用前置代理+tor的不超过几千人,背景调查一番,很容易的筛选到了嫌疑人。为了不打草惊蛇,晶哥等待了三个月,终于趁博主出差时拿下,伪造成失踪人口,正进行秘密审讯。至于是否拿到了加密keyfile,我级别太低,暂时还不知道。
饭丝
这个在另一个帖子里有讨论,总体结论是这种说法不可信。我直接搬运大佬的回答:
Surge #143477
1. 前置代理协议可以有很多,Shadowsocks、Vmess、HTTP、OpenVPN、IKEv2等,同时使用这些协议翻墙的人保守估计也有几十万到百万。
2. 可以使用多个前置代理,比如VPN套HTTP作为Tor的前置代理。
3. 前置代理不一定都走Tor的流量。前置代理首先是加密流量,DPI充其量也只能检测包的特征。代理的流量混合Tor和别的流量,又如何检测?
4. 破解AES等加密协议,目前的算力无解。
5. 编程随想可能采用类似自由门的免费匿名服务作为前置代理,从不使用实名制VPN。
~~在没有量子计算机的时代,在几十万上百万个,混合的加密翻墙流量中,深度包检测出Tor的流量特征,还在没有攻破Google服务器的前提下,识别到了某个人。~~
结论非常荒谬。
那家合作公司这么牛的技术,足以让数学与信息技术科学翻开新的一页,改变人类的历史了。
但他有一点说的不错。Tor在墙内不是主流翻墙方式,Tor官方的统计数据,墙内日活量也就几千左右,确实可以筛选甄别。所以不要在墙内直接使用Tor,包括经过Meek网桥中转。共匪目前可能没办法解密Tor的流量,但是GFW可以识别Tor的流量特征。**墙内使用Tor一定要结合前置代理,前置代理也要是可靠的。**
----------------------------------------
你的前置代理因为某些原因变慢了,换个时间上网、节点和代理工具可以解决。不是Tor的问题。
----------------------------------------
论文是meek网桥的识别,解密Tor流量还是不可能的。因为墙内Tor用户日活数很低,识别出Tor流量之后在运营商那里蹲守容易排查。如果在欧美国家,Tor日活达到百万级别的,排查几乎是不可能的事。
所以我建议墙内用户不应直接使用Tor翻墙,包括通过网桥。量子计算机问世之前,识别VPN+Tor的流量的可能性无限接近于0。
thphd #143556
技术角度,上面Surge网友已经提过了,所谓前置代理+tor流量识别,暂时是做不到的。如果前置+tor可识别,就意味着前置代理本身也可与非翻墙流量区别开,换句话说各位的梯子应该全都瞬间爆炸才对。
而且前置是个umbrella term,我用wireguard套v2ray也叫前置,你用AI能检测出来里面有tor,图灵奖拿稳
这个“外包公司职工”,虽然级别低,但是从技术路线到跨省抓人到秘密审讯都知道,看来六扇门办事透明度这几年有显著提高:)
总的来说,这段文字并没有提到任何大家之前不了解的、可验证的内幕,作为随想的读者之一,让我写我也可以写出来这么一段。既然没有增加任何新的知识,暂且当成文学创作。
请问前置代理具体是指什么?
判断是否是Tor流量并不是筛选墙内用户的必要条件, 避免被抓关键在于将发帖时间与墙内在线时间隔离
类似这个帖子里说的:https://be4.herokuapp.com/topic/269/反社工网络论坛行为纪律/5
而且识别Tor流量的话不一定从被加密的数据流本身入手, 而是从时间特征入手(不是日常时间单位,而是类似ns这种详细的单位), 最简单的Tor本身公开的统计, 复杂的可能设立蜜罐, 甚至0day漏洞入侵ISP监视分析(就像他们说的美国监听全世界一样), 总之只要能将墙内数据包的时间和Tor网络的各种变化对应联系起来就能确定.
当然以上假设编程随想真的不用VPS随机高延迟转发, 只依靠双重代理(翻墙代理+Tor)保证安全(这也是大多数人能达到的最高隐匿程度), 用VPS随机高延迟转发或运行(包括博文,页面源码,评论,BTSync等)应该安全性高很多, 毕竟这样可以真正避免时间关联, 但缺点就像编程随想博客里说的那些他为啥不用VPS的理由.
