中国未使用前置代理的 Tor 用户总共不到两千。
5 月前大概是稳定在一千出头的样子。其中绝大部分使用的是 meek 网桥,中国唯一可用的是 meek-azure 网桥,因此可以认为他们都是 meek-azure 网桥用户。一小部分用户使用的是 obfs4 网桥。还有一些用户直连 tor,为什么能够直连我不清楚。
meek-azure 网桥:使用微软 azure 云服务器作为代理,并且利用“域前置”技术伪装成访问微软某项服务的域名。azure 服务器集群使用 ip anycast 技术,任何一个属于 azure 的 ip 最终都可以访问到目标 host
服务器。微软曾公告关闭域前置。如果关闭了“域前置”技术,那么这个伪装将失败,azure 服务器会拒绝访问、断开连接。
5 月头几天用户不明原因飙升到两千,使用的都是 meek-azure 网桥。然后又迅速下降,至5月中旬跌至零。meek-azure 用户消失的原因应该是和 azure 关闭了域前置服务有关。这个关闭的过程不是一蹴而就的,而是每个服务器逐个关闭,因此表现为 meek-azure 用户逐渐减少至零。
5 月中旬,随着 meek-azure 的逐渐关闭,obfs4 网桥用户逐渐增多,成为主流。但是 obfs4 容易被 gfw 通过穷举的办法探测得出从而被封锁,用户需要频繁更换网桥,用户总量始终低于一千。
5 月下旬,meek-azure 网桥未知原因重开。技术原因是微软 azure 云的域前置技术重新开放。obfs4 网桥用户断崖下滑,meek 网桥用户回升到一千左右。
5 月底,meek-azure 网桥又未知原因下线至零。但不见 obfs4 使用量回升,我推测是用户要么放弃了 tor,要么使用了前置代理。
6 月初,meek-azure 网桥又未知原因重开。meek 网桥用户使用量再次回升到一千左右。
两次 meek-azure 网桥的中断,我觉得有可能造成使用该网桥的 Tor 用户的暴露。其特征是:
在 azure 域前置服务关闭的地区,meek-azure 伪装成访问微软网络服务,但因为 sni
与 host
不符,在握手之后立即断开。
如果 gfw 有意观察这种反应,那么有可能得知此连接是 meek-azure 连接。