本文描述了网络审查常见技术以及如何通过网络测量检测到使用什么技术
本文为阅读论文Web Censorship Measurements of HTTP/3 over QUIC读书笔记
技术背景
QUIC over HTTP/3
QUIC 是面向链接通用协议,将传输层功能和 UDP 内容加密整合,在用户空间实现,将连接管理转移到加密程序中。因此,本协议可在网络浏览方面替代 TCP,HTTP/3 即使用 QUIC 作为基础传输类型。
网络测量审查和错误类型
网站封锁分为两类:
- 识别:审查员检测到流量指向被封锁网站的方式
- 干扰:阻止或损害流量的方法
网站审查以网络错误形式展现,触发的具体错误类型取决于封锁方法。审查可以通过 IP 或传输层头部识别流量,更多的信息可通过深度包检测揭示根据应用层数据包未加密关键词过滤
常见干扰方法包括 DNS 操纵、对连接的带外攻击、中间盒丢弃不许愿数据包。
开放式网络干扰观察站 OONI
OONI 是开源的客户端软件,用于对互联网审查制度进行分级评估,确定使用的互联网审查技术。论文为了评估 HTTP/3 的网络干扰,使用一个专门的HTTP/3模块扩展了 ONI Probe 软件。
测量框架
OONI 探针的 HTTP/3 扩展
为了测量网络屏蔽,将现有的 URLGetter 实验配置为自动使用 QUIC 代码。运行时,对 URL 测试列表的每个条目执行一组预先配置的步骤:
- 解析 URL 模板确定下一步
- 使用配置的自定义解析器或默认的系统重新解析器,解析域名 IP 地址可以通过为输入 URL 提供一个预先解决 IP 地址代替
- 配置传输协议与主机建立链接,尝试获取 HTTP 资源
- 捕获、分类、保存任何 HTTP 会话期间抛出错误
数据收集方法
该数据集通过使用三种不同类型客户端收集:
个人设备 PD:通过个人志愿者设备收集数据;优点是数据最接近探测国家最真实情况;缺点是每次测量必须手动进行,样本量、频率、数据连续性都很低
虚拟专用网络 VPN:测量软件在被探测网络之外的机器上运行;但是测量结果显示,被测 VPN 服务器的审查程度明显低于之前 ONI 测量排名预期,可能因为:
- 大多数 VPN 服务器连接到托管网络而非连接到本地 ISP,而托管网络不为公众所用而不需要严格审查
- VPN 上游 AS 位于互联网限制较少的国家,因此流量可能永远不会穿过对应 VPN 服务器所在国家的严格审查的网络
虚拟专用服务器 VPS:程序在虚拟机执行,就可以通过 OONI 访问各国。VPS 会受到与传统个人网络测量相同数量与审查制度影响,
数据收集过程
输入准备
为了获得一组请求对。每对请求由两个对同一目标主机的 HTTP 请求组成:一个通过 TCP 与 TLS,一个通过 QUIC。两者共享相同的配置参数,即 TLS 扩展服务器名称指示 SIN 的内容、目标主机的 IP 地址、公共 DoH 解析器的地址。DNS 配置也确保了结果不受 DNS 操作的偏差。这些请求保存为 JSON 对象,并作为 OONI Probe 的输入。
数据收集
在每个 VPS 的有利位置,整个输入列表以8小时的间隔进行处理。
后期处理与验证
由于一些主机的 QUIC 支持不稳定,有时会超时导致无法区分是否为审查导致。因此,对每个失败的请求对在未审查的网络中再测量一次。
实验结果
实验结果表明:通过 QUIC 的 HTTP/3 的应用很大程度可以避免审查,但是 IP 地址封锁、TCP 探索超时还会失败。
论文评价
优点
- 详细描述了论文审查的各项技术,具有很好的参考价值
- 详细描述了测量不同地区网络审查具体技术的方法
缺点
- 实验数据不符合预期就用其他的方法找到合乎预期并给出理由,导致说服力降低
- 若说为了互联网信息自由,本文将 QUIC 搬上了先进刊物,若说审查者看不见我是不相信的;若说是为了引起大众注释,本文其实啥都没干。所谓伦理,狗屁不通。
