Pages

Sunday, 28 April 2024

警惕 SNI 白名单地区隐蔽的大规模“降级攻击”



根据长期的观察,以及多位身处 SNI 白名单地区的群友的反馈,这些地区的 IPv4 TCP 并不封锁 SS、VMess 这类全随机数裸协议,与其它地区的封锁策略形成了鲜明的反差,是一种非常反常的现象。

我们已知对于封锁翻墙流量,SNI 白名单是一种附带伤害极高的方式,我们也知道,其它地区的 GFW 正在轻易识别并封锁全随机数裸协议。那么请大家思考:为什么某些地区并不在乎附带伤害,对 TLS 采用 SNI 白名单这样的强过滤策略,却“完全不管”全随机数裸协议?

只有一种可能:故意留的口子,除此之外没有任何其它合理解释。
我们已知相较于 TLS,全随机数裸协议相当于是把翻墙写在了脸上,更便于识别、掌握情况。且它们普遍缺乏 TLS 的“前向安全”等高级安全特性,非常原始,通过某种方式拿到密码就可以解密以前、以后的所有流量,非常利于监控。所以我认为,这种 SNI 白名单+不封锁全随机数裸协议的组合策略,实质上是在迫使人们从较为安全的 TLS 协议迁移到不够安全的全随机数裸协议,是一场隐蔽的大规模“降级攻击”。

SNI 白名单地区存在的这种非常反常的现象也从侧面证实了,我在多个场合曾提醒过的关于全随机数裸协议的种种风险切实存在,就连 GFW 也明确希望你们使用全随机数裸协议而不是 TLS。目前,这些地区仍可直接使用 REALITY,且它解决了 TLS 令人诟病的 CA 风险。或者,配置 REALITY over SS:https://github.com/XTLS/Xray-core/discussions/1811#discussioncomment-5355075
 
from https://t.me/projectXtls/91
-------
 

@beavailable 看起来你对 GFW 有一些刻板印象,我知道有不少人是这样,正好借此机会纠正、科普一下。

不合理之处1:GFW 要处理的是全国的流量,仅在少数城市实施 SNI 白名单并迫使人们使用随机数裸协议没有太大的用处。

GFW 并不是全国统一的,而是分散在各个地区,类似于边缘计算。且不同地区、不同运营商都有不同的策略,当然也经常试点。

不合理之处2:监控流量可能是 GFW 的一个用处,但我相信 GFW 的主要目的还是阻止访问,而不是监控。

GFW 这个词只是对审查者的一个模糊统称,实际功能、情况非常复杂。我们曾收到某供应商“内鬼”消息称他们开发了监控功能。
客观事实是,中国无法承担完全封锁“翻墙”流量的代价,只能退而求其次选择监控:XTLS/Xray-core#1811 (reply in thread)

但你观察到的现象确实很反常,我的猜测是在少数城市实施 SNI 白名单,确实可以迫使人们使用随机数裸协议,但这可能只是手段,而不是目的。 审查者迫使人们使用随机数裸协议的目的是什么?我认为他们可以因此收集到更多、更准确的翻墙流量信息,这可能有助于审查者开发更精准的封锁技术,从而应用到全国。

这一说法不成立,因为对于全随机数裸协议,GFW 早就有能力精准封锁:https://gfw.report/publications/usenixsecurity23/zh/

顺便评价一下这篇论文:它记载了 GFW 已经精准封锁全随机数裸协议的事实,但是探测出 GFW 的省钱规则、再造 SSR 这条路,我觉得大可不必,早在三年前就说了 v2ray/v2ray-core#2523 (comment) (内容被折叠,需手动展开)。
这篇论文没有明确指出的是,全随机数裸协议这条路确实是已经走到头了,围绕这类协议曾有过大量的攻防研究,围绕“无特征是否就是最大的特征”也曾有过争议,但现在 GFW 已经认定你就是翻墙。依附于 TLS 这样的常见协议切实提高了封锁成本,最近几个月伊朗是想封死所有翻墙,它干扰 UDP,且 TCP 上只留 TLS 这样的常见协议,还是 SNI 白名单,只剩 REALITY 这类协议能用。
最后,我觉得这篇论文不应该接受来自美国政府的资助,这给了“境外势力”说法之口实,况且这些研究即使没有被资助也可以做。

from https://github.com/net4people/bbs/issues/254


 

No comments:

Post a Comment