Download_Link
New member
Фактически с самого начала протестов по политическим причинам в Беларуси, у пользователей возникли проблемы с доступом в всемирную паутину. Независимый проект OONI, отслеживающий проявления интернет-цензуры (Слежки) по всему миру, регулярнои находил многочисленные шатдауны как локально в столице, так и на территории всей республики. Кроме этого, клиенты многих провайдеров отмечали, что невозможно подключиться к сети Tor даже с использованием мостов!. Вместе с тем в архитектуре Tor предусмотрены весьма изощренные инструменты для обхода цензуры, способные противостоять технически сложным попыткам блокировок. О них и пойдет речь.
Ситуация с блокировками Tor и интернета в Беларуси далеко не уникальная: до этого с аналогичными проблемами. Несмотря на то что при подключении к мостам obfs3 и obfs4 используется обфусцированный трафик, местным властям каким-то образом удавалось успешно отфильтровать его и блокировать подобные соединения. Установить связь получалось только с использованием подключаемого транспорта meek либо при помощи традиционного VPN. Так каким же образом работают в Tor средства для борьбы с цензурой и насколько они эффективны?
Поговорим об анонимности
Если верить словам сооснователя Tor Project Роджера Динглдайна (Roger Dingledine), прозвучавшим на конференции DEF CON в 2019 году, к сети Tor ежедневно подключается от 2 до 8 миллионов пользователей. Это внушительная аудитория, равная по численности населению небольшой страны. Все эти люди не просто желают посещать какие-то сайты в даркнете или заблокированные правительством ресурсы, они хотят оставаться при этом анонимными.
К сожалению, далеко не каждый осознает, что шифрование не равно анонимности. Трафик шифруется при соединении с большинством использующих HTTPS сайтов, но практически любая третья сторона может легко отследить, к каким именно ресурсам ты отправляешь запросы и когда именно ты это делаешь. Использование VPN способно слегка осложнить жизнь «большому брату», но дотошный исследователь в состоянии построить граф твоих интересов и социальных связей на основе открытых данных. Кроме того, ты никогда не можешь быть полностью уверен в том, что твой VPN-провайдер не сливает данные налево.
Поэтому под «анонимностью» обычно понимают, что пользователю удается скрыть от третьих лиц:
Как блокируют Tor?
По утверждениям Роджера Динглдайна, существует четыре базовых способа заблокировать Tor. Первый выглядит очевидным: всего имеется девять публичных каталогов входных узлов Tor-сети, и, если закрыть доступ к этим каталогам, юзеры не смогут установить соединение.
Второй метод — выгрузить список из порядка 7000 relay nodes Tor-сети, отвечающих за перенаправление трафика, и заблокировать их все по IP-адресам.
Третий, не очень надежный, но действенный способ — отслеживать характерные, то есть применить fingerprinting. По этим косвенным признакам, характерным для передаваемых в Tor-сети данных, можно настроить фильтрацию трафика. Примерно так действовало правительство Ирана во время протестов в 2009 году. Для глубокой инспекции трафика иранские власти использовали. Пакеты Tor по ряду признаков были похожи на пакеты SSL, и иранцы с помощью специально закупленного для этих целей оборудования просто снизили пропускную с
пособность для шифрованного SSL-трафика в своих сетях, временно сделав невозможным использование Tor на территории страны.
Наконец, четвертый способ — перекрыть доступ к ресурсам, с которых конечные пользователи могут скачать необходимый для подключения софт. Сочетание этих четырех методик может дать отличный — с точки зрения спецслужб и правительств — результат. Но чем ответили на это разработчики Tor?
Наводим мосты
Первым рубежом борьбы с сетевой цензурой стал так называемый подключаемый транспорт, первой разновидностью которого были мосты obfs3 и obfs4. Идея заключается в следующем: поскольку «плохие парни» могут получить полный список открытых relay nodes и заблокировать доступ к самим этим узлам или их публичным каталогам, в Tor-сети были созданы тысячи мостов, список адресов которых отсутствует в публичном доступе.
Чтобы подключиться к Tor через мост, нужно перейти на сайт, выбрать тип транспорта и указать, поддерживает ли твоя сеть IPv6, ввести капчу, получить адрес моста, а затем указать его в настройках Tor Browser. Можно пойти более простым путем — в тех же настройках подключения запросить адрес моста с сайта Torproject (снова придется ввести капчу). Если сайт Torproject.org заблокирован, можно отправить письмо с пустой темой на адрес, написав в теле сообщения строкуget transport obfs4. Важный момент: письмо нужно отправлять исключительно сили, иначе оно будет проигнорировано. В ответ специально обученный бот пришлет тебе адреса мостов, которые ты сможешь прописать в настройках Tor Browser.
Настройка моста в Tor Browser
По большому счету мосты Tor используют интерфейс SOCKS Proxy и по своей архитектуре похожи на китайский проект, направленный на борьбу с цензурой. Мосты Tor работают как обфускаторы, которые маскируют трафик в Tor-сети, делая его похожим на обычный HTTP или поток случайных байтов, что затрудняет фильтрацию. Транспорт obfs3 оказался неустойчив к активному зондированию (Active Probing) — методу поиска адресов мостов в сети с целью их блокировки, поэтому ему на смену пришел более совершенный obfs4.
Правительства научились блокировать подобные соединения. Для большей эффективности активное зондирование может применяться совместно с глубоким анализом трафика.
Например, с использованием DPI правительство мониторит все соединения, похожие на Tor. Обнаружив «подозрительный» узел, правительственный хост сам пытается установить с ним связь через протокол Tor. Если узел поддерживает этот протокол и отвечает, что является мостом, его тут же блокируют, а его IP-адрес заносят в черный список. В Китае такая фильтрация делается на магистральном уровне, из-за чего блокировки работают достаточно эффективно.
Сам Роджер Динглдайн называл мосты «дерьмовой гонкой вооружений», поскольку правительственные цензоры научились фильтровать трафик описанным выше методом. Разработчики Tor в ответ выкатывали патчи, видоизменяющие данные в пакетах и устраняющие признаки, по которым выполнялась фильтрация, либо меняли поведение мостов. В свою очередь, правительства редактировали настройки фильтров, и все начиналось заново. Так было в Иране в период массовых протестов, в Египте времен арабской весны, в Тунисе во время революции 2010–2011 годов. Прямо сейчас что-то подобное происходит в Беларуси.
Иными словами, при должной настойчивости правительство может заблокировать доступные мосты в определенном регионе, и тогда пользователь при очередной попытке подключения рискует увидеть примерно такую картину.
Все мосты разведены, отправляйтесь вплавь
Для обхода подобных блокировок разработчики Tor придумали meek.
Meek
В Tor имеется еще один подключаемый транспорт под названием, который может сработать в случае, если мосты заблокированы. Его принцип действия тоже чем-то напоминает прокси, но в качестве промежуточного звена для передачи трафика используются облачные серверы Amazon, Content delivery network, Google, CloudFront или Microsoft Azure. Расчет делается на то, что вводящее цензуру правительство, если оно в своем уме, никогда полностью не заблокирует CDN, AWS, Azure и им подобные сервисы, поскольку эти облака использует огромное количество различных интернет-ресурсов, которые в этом случае просто перестанут работать. Но на здравомыслие некоторых госструктур рассчитывать, впрочем, довольно-таки наивно. Порой они способны обрушить половину национального сегмента сети в погоне за одним-единственным непослушным мессенджером, заблокировать который в итоге все равно не получилось.
Подключить meek очень просто: при запуске Tor Browser нужно нажать на кнопку Configure, установить флажок Tor is censored in my country, а затем, выставив переключатель в позицию Select a built-in bridge, выбрать в выпадающем списке транспорт meek.
Транспорт meek — работает даже в Китае
Meek использует в работе технику под названием. Для соединения с целевым узлом в интернете клиент meek генерирует специальные HTTPS-запросы и отправляет их незаблокированному «внешнему» сервису, например CDN или AWS. Это «внешнее» имя отображается в DNS-запросе и данных, используемых протоколом. А вот реальное имя хоста, с которым клиенту и требуется соединиться, спрятано в заголовке HTTP Host header. Промежуточный облачный сервис определяет это имя и пересылает запрос серверу meek, запущенному на о
Ситуация с блокировками Tor и интернета в Беларуси далеко не уникальная: до этого с аналогичными проблемами. Несмотря на то что при подключении к мостам obfs3 и obfs4 используется обфусцированный трафик, местным властям каким-то образом удавалось успешно отфильтровать его и блокировать подобные соединения. Установить связь получалось только с использованием подключаемого транспорта meek либо при помощи традиционного VPN. Так каким же образом работают в Tor средства для борьбы с цензурой и насколько они эффективны?
Поговорим об анонимности
Если верить словам сооснователя Tor Project Роджера Динглдайна (Roger Dingledine), прозвучавшим на конференции DEF CON в 2019 году, к сети Tor ежедневно подключается от 2 до 8 миллионов пользователей. Это внушительная аудитория, равная по численности населению небольшой страны. Все эти люди не просто желают посещать какие-то сайты в даркнете или заблокированные правительством ресурсы, они хотят оставаться при этом анонимными.
К сожалению, далеко не каждый осознает, что шифрование не равно анонимности. Трафик шифруется при соединении с большинством использующих HTTPS сайтов, но практически любая третья сторона может легко отследить, к каким именно ресурсам ты отправляешь запросы и когда именно ты это делаешь. Использование VPN способно слегка осложнить жизнь «большому брату», но дотошный исследователь в состоянии построить граф твоих интересов и социальных связей на основе открытых данных. Кроме того, ты никогда не можешь быть полностью уверен в том, что твой VPN-провайдер не сливает данные налево.
Поэтому под «анонимностью» обычно понимают, что пользователю удается скрыть от третьих лиц:
- свою геопозицию и даже страну, с территории которой он выходит в сеть;
- сайты, к которым он обращается;
- временные периоды, в течение которых устанавливаются соединения;
- сведения об аппаратном и программном обеспечении, которое он использует.
Как блокируют Tor?
По утверждениям Роджера Динглдайна, существует четыре базовых способа заблокировать Tor. Первый выглядит очевидным: всего имеется девять публичных каталогов входных узлов Tor-сети, и, если закрыть доступ к этим каталогам, юзеры не смогут установить соединение.
Второй метод — выгрузить список из порядка 7000 relay nodes Tor-сети, отвечающих за перенаправление трафика, и заблокировать их все по IP-адресам.
Третий, не очень надежный, но действенный способ — отслеживать характерные, то есть применить fingerprinting. По этим косвенным признакам, характерным для передаваемых в Tor-сети данных, можно настроить фильтрацию трафика. Примерно так действовало правительство Ирана во время протестов в 2009 году. Для глубокой инспекции трафика иранские власти использовали. Пакеты Tor по ряду признаков были похожи на пакеты SSL, и иранцы с помощью специально закупленного для этих целей оборудования просто снизили пропускную с
пособность для шифрованного SSL-трафика в своих сетях, временно сделав невозможным использование Tor на территории страны.
Наконец, четвертый способ — перекрыть доступ к ресурсам, с которых конечные пользователи могут скачать необходимый для подключения софт. Сочетание этих четырех методик может дать отличный — с точки зрения спецслужб и правительств — результат. Но чем ответили на это разработчики Tor?
Наводим мосты
Первым рубежом борьбы с сетевой цензурой стал так называемый подключаемый транспорт, первой разновидностью которого были мосты obfs3 и obfs4. Идея заключается в следующем: поскольку «плохие парни» могут получить полный список открытых relay nodes и заблокировать доступ к самим этим узлам или их публичным каталогам, в Tor-сети были созданы тысячи мостов, список адресов которых отсутствует в публичном доступе.
Чтобы подключиться к Tor через мост, нужно перейти на сайт, выбрать тип транспорта и указать, поддерживает ли твоя сеть IPv6, ввести капчу, получить адрес моста, а затем указать его в настройках Tor Browser. Можно пойти более простым путем — в тех же настройках подключения запросить адрес моста с сайта Torproject (снова придется ввести капчу). Если сайт Torproject.org заблокирован, можно отправить письмо с пустой темой на адрес, написав в теле сообщения строкуget transport obfs4. Важный момент: письмо нужно отправлять исключительно сили, иначе оно будет проигнорировано. В ответ специально обученный бот пришлет тебе адреса мостов, которые ты сможешь прописать в настройках Tor Browser.
Настройка моста в Tor Browser
По большому счету мосты Tor используют интерфейс SOCKS Proxy и по своей архитектуре похожи на китайский проект, направленный на борьбу с цензурой. Мосты Tor работают как обфускаторы, которые маскируют трафик в Tor-сети, делая его похожим на обычный HTTP или поток случайных байтов, что затрудняет фильтрацию. Транспорт obfs3 оказался неустойчив к активному зондированию (Active Probing) — методу поиска адресов мостов в сети с целью их блокировки, поэтому ему на смену пришел более совершенный obfs4.
Правительства научились блокировать подобные соединения. Для большей эффективности активное зондирование может применяться совместно с глубоким анализом трафика.
Например, с использованием DPI правительство мониторит все соединения, похожие на Tor. Обнаружив «подозрительный» узел, правительственный хост сам пытается установить с ним связь через протокол Tor. Если узел поддерживает этот протокол и отвечает, что является мостом, его тут же блокируют, а его IP-адрес заносят в черный список. В Китае такая фильтрация делается на магистральном уровне, из-за чего блокировки работают достаточно эффективно.
Сам Роджер Динглдайн называл мосты «дерьмовой гонкой вооружений», поскольку правительственные цензоры научились фильтровать трафик описанным выше методом. Разработчики Tor в ответ выкатывали патчи, видоизменяющие данные в пакетах и устраняющие признаки, по которым выполнялась фильтрация, либо меняли поведение мостов. В свою очередь, правительства редактировали настройки фильтров, и все начиналось заново. Так было в Иране в период массовых протестов, в Египте времен арабской весны, в Тунисе во время революции 2010–2011 годов. Прямо сейчас что-то подобное происходит в Беларуси.
Иными словами, при должной настойчивости правительство может заблокировать доступные мосты в определенном регионе, и тогда пользователь при очередной попытке подключения рискует увидеть примерно такую картину.
Все мосты разведены, отправляйтесь вплавь
Для обхода подобных блокировок разработчики Tor придумали meek.
Meek
В Tor имеется еще один подключаемый транспорт под названием, который может сработать в случае, если мосты заблокированы. Его принцип действия тоже чем-то напоминает прокси, но в качестве промежуточного звена для передачи трафика используются облачные серверы Amazon, Content delivery network, Google, CloudFront или Microsoft Azure. Расчет делается на то, что вводящее цензуру правительство, если оно в своем уме, никогда полностью не заблокирует CDN, AWS, Azure и им подобные сервисы, поскольку эти облака использует огромное количество различных интернет-ресурсов, которые в этом случае просто перестанут работать. Но на здравомыслие некоторых госструктур рассчитывать, впрочем, довольно-таки наивно. Порой они способны обрушить половину национального сегмента сети в погоне за одним-единственным непослушным мессенджером, заблокировать который в итоге все равно не получилось.
Подключить meek очень просто: при запуске Tor Browser нужно нажать на кнопку Configure, установить флажок Tor is censored in my country, а затем, выставив переключатель в позицию Select a built-in bridge, выбрать в выпадающем списке транспорт meek.
Транспорт meek — работает даже в Китае
Meek использует в работе технику под названием. Для соединения с целевым узлом в интернете клиент meek генерирует специальные HTTPS-запросы и отправляет их незаблокированному «внешнему» сервису, например CDN или AWS. Это «внешнее» имя отображается в DNS-запросе и данных, используемых протоколом. А вот реальное имя хоста, с которым клиенту и требуется соединиться, спрятано в заголовке HTTP Host header. Промежуточный облачный сервис определяет это имя и пересылает запрос серверу meek, запущенному на о
