20.04.2021

Рекомендации, как оставить «Роскомнадзор» с носом

«Роскомнадзор успешно внедряет новый метод цензуры в попытке пессимизировать российский сегмент социальной сети «Твиттер». Для этого используется механизм замедления трафика до 128 кбит / с.

«Роскомнадзор» испытывает на «Твиттере» новые методы цензуры

“В отличие от блокировки, когда доступ к контенту блокируется, дросселирование направлено на ухудшение качества обслуживания, что делает практически невозможным для пользователей отличить навязанное/преднамеренное дросселирование от нюансных причин, таких как высокая загрузка сервера или перегрузка сети”, — пишут исследователи Censored Planet, платформы измерения цензуры, которая собирает данные в более чем 200 странах.

“С преобладанием технологий «двойного назначения», таких как устройства глубокого контроля пакетов (DPI), дросселирование является простым для реализации властями, но трудным для пользователей, чтобы приписать или обойти.”

Дросселирование началось 10 марта, при этом «Роскомнадзор» нацелился на t.co, домен, используемый для размещения всего контента, совместно используемого на сайте.

В процессе все домены, которые имели строку “t.co” в нем (например, Microsoft.com или reddit.com) тоже пострадали.

Этот шаг привел к широко распространенным проблемам в Интернете, поскольку он сделал затронутые домены фактически непригодными для использования.

Дросселирование также потребляло ресурсы памяти и процессора затронутых серверов, поскольку требовало от них поддерживать соединения гораздо дольше, чем обычно.

В отчете за вторник говорится, что дросселирование осуществляется большим парком “мидлбоксов”, которые российские интернет-провайдеры устанавливают как можно ближе к заказчику. Это оборудование, как рассказал мне исследователь планеты Цензор Леонид Евдокимов, обычно представляет собой сервер с сетевой картой 10 Гбит / с и пользовательским программным обеспечением. Центрально — российская власть направляет провайдерам инструкциями о том, какие домены дросселировать.

Промежуточные пакеты проверяются как запросы, отправленные российскими конечными пользователями, так и ответы, которые возвращает Twitter.

Это означает, что новый метод может иметь возможности, не найденные в старых режимах интернет-цензуры, таких как фильтрация соединений с использованием VPN, Tor и приложений для обхода цензуры.

Промежуточные провайдеры используют глубокую проверку пакетов для извлечения информации, включая SNI.

Сокращенно от “идентификации имени сервера”, SNI-это доменное имя веб-сайта HTTPS, которое отправляется в открытом виде во время обычной интернет-транзакции.

Российские цензоры используют открытый текст для более детальной блокировки и дросселирования сайтов.

Блокировка по IP-адресу, напротив, может иметь непреднамеренные последствия, поскольку она часто блокирует контент, который цензор хочет сохранить на месте.

Одной из контрмер для обхода дросселирования является использование ECH, или зашифрованного ClientHello.

Обновление для протокола безопасности транспортного уровня ECH предотвращает блокировку или дросселирование доменами, так что цензорам приходится прибегать к блокировке на уровне IP.

Активисты антицензуры говорят, что это приводит к тому, что они называют “побочной свободой”, потому что риск блокировки основных услуг часто оставляет цензора не желающим принимать побочный ущерб, возникающий в результате лобовой блокировки по IP-адресу.

Всего рекомендуется семь контрмер:

Сегментация/фрагментация TLS ClientHello (реализована в GoodbyeDPI и zapret)

TLS ClientHello inflation с расширением padding, чтобы сделать его больше 1 пакета (1500 с лишним байт)

Добавление реальных пакетов с поддельным скремблированным пакетом размером не менее 101 байта

Добавление записей приветствия клиента к другим записям TLS, таким как change cipher spec

Удерживая соединение в режиме ожидания и ожидая, пока дроссель сбросит состояние

Добавление конечной точки к SNI

Любой зашифрованный туннель/прокси/VPN

Вполне возможно, что некоторые из контрмер могут быть включены антицензурным программным обеспечением, таким как GoodbyeDPI, Psiphon или Lantern.

Ограничение, однако, заключается в том, что контрмеры используют ошибки в текущей реализации российского регулирования.

Это означает, что продолжающееся перетягивание каната между цензорами и защитниками антицензуры может оказаться затяжным.

Оригинал статьи.

Поделиться
  •  
  • 1
  •  
  • 1
  •  
  •  
  •  
    2
    Поделились

Добавить комментарий

Ваш адрес email не будет опубликован.

Яндекс.Метрика