测量俄罗斯对Twitter的大规模拦截

工作来源

IMC 2021

工作背景

俄罗斯的网络由数千个自治系统和大量的 ISP 组成，并且使用分散的信息控制机制，不同的机构实施不同的审查策略。俄罗斯官方的信息控制机构名为 Roskomnadzor，由它给出各个机构应该阻止的列表，列表中包含超过十万个域名/ IP。不同的机构使用不同的审查方案，有的使用商用硬件级解决方案，有的使用开源过滤软件或者自研软件。

2021 年 3 月，俄罗斯开始在全国范围内限制 Twitter，要求其接受内容删除的要求。2021 年 5 月，俄罗斯再度施压谷歌要求 YouTube 接受内容删除。

整件事的时间线如下所示：

监测发现 TLS Client Hello SNI 中出现与 Twitter 相关的域名（*.twimg.com、 twitter.com、 t.co）时会触发限制。当速率达到 130 kbps 到 150 kbps 时，任意方向的数据包都会被丢弃。

2021 年 3 月 10 日，Roskomnadzor 宣布政府开始采取措施保护俄罗斯公民免受非法内容的干扰和影响。即日起，在俄罗斯全境限制 Twitter 的访问（移动互联网中限制 100%，固网中限制 50%）。2021 年 4 月 5 日，Roskomnadzor 向 Twitter 发出最后通牒，警告其将会在 5 月 15 日被完全限制。迫于压力，Twitter 删除了 91% 的反政府相关内容。五月，固网中的限制被解除，但对移动互联网仍然存在限制。

针对 Twitter 的流量限制在俄罗斯非常常见，如下所示：

在 3 月 11 日至 5 月 19 日期间，对 401 俄罗斯自治系统的 34016 次测量显示 Twitter 的请求速度出现大幅下降。

在八个测量位置里，有七个都限制了 Twitter 的流量：

控制流量的设备与拦截流量的设备是分开的，但控制流量的设备应该是集中控制的。流量控制通过名为 TSPU（technical solution for threat countermeasures，威胁应对技术解决方案）的设备实现，该设备为一个 DPI 硬件。TSPU 由 Roskomnadzor 委托 RDP.RU 专门开发，且受到 Roskomnadzor 的集中控制。

工作设计

流量控制可以通过两种方式实现：① 超过指定速率的数据包予以延迟 ② 超过限额的数据包直接丢弃。流量限制可以针对特定的协议或者用户，也可以限制所有流量。

通过《Identifying traffic differentiation in mobile networks》中发明的“记录&回放”技术进行分析。相同的图片在 Twitter 的服务器上部署一份，在研究人员自己的服务器上部署一份。基本如下所示：

工作评估

流量被限制在大概 130 kbps 到 150 kbps 之间：

流量控制设备通过将超过速率限制的数据包丢弃来实现流量控制，如下所示：

也有一部分是增大延迟减慢速率，如下所示：

流量限制设备同时检查上下行流量，最明显的就是 Client Hello 中的敏感 TLS SNI 即可触发流量限制。

流量限制设备发现无法解析为所支持的协议时，不会对后续所有数据包进行检查，可能是为了节省 DPI 设备的资源。如果发现是有效的 TLS 流量、HTTP 代理流量、SOCK5代理流量或者小于 100 字节的随机数据包，流量限制设备都会检查会话中的 3-15 个数据包。这种方式很可能是针对那些规避技术进行检查的，例如 GoodbyeDPI 与 Zapret 会插入虚假 Client Hello 数据包或者通过未加密的代理路由进行通信。

通过不断实验可以确认，如果屏蔽 TLS_Content_Type、Handshake_Type、Server_Name_Extension 或 Servername_Type 等字段，就不会触发流量限制。这表明流量限制设备并不是对所有数据包进行完整的正则匹配，而是只检查某些 TLS 数据包。与此同时，篡改了 TCP_Length、TLS_Record_Length 或 Handshake_Length 字段后也可以绕过流量限制，这表明流量限制设备并不能重组碎片化的 TLS 数据包。实验了 Alexa 排名前 10 万的域名，只有 t.co 与 twitter.com 被限制流量，另有近 600 个域名被彻底封禁。

必须说明的是，流量控制设备使用的字符串匹配策略并不完善。起初，例如 throttletwitter.com 等 *twitter.com 类域名也在被限制范围内，后来才解除了这种限制。

通过 TTL 测量，确定流量控制设备的位置更靠近用户。这与官方给 ISP 服务商的通知是一致的，官方称 TSPU 设备最好部署在运营商级 NAT 设备前。由于设备部署在靠近用户的一侧而不是国家边境，国内的通信流量也会受到 TSPU 设备的检查。

使用类似的方法测量拦截设备的位置，发现拦截设备与流量控制设备并不在相同的位置。并且，有时候是由流量控制设备来进行直接拦截，不通过拦截设备也可实现拦截。

必须说明的是，这种流量控制并不是双向的。只有从俄罗斯境内向境外的连接才能够触发流量控制，这使得外国的研究人员很难真正了解这一机制。由于流量控制设备本身的限制，对非活动会话的流量控制状态会保持约十分钟，而活动会话的流量控制状态会维持超过两个小时以上。

流量控制状态有可能会根据路由变更和负载均衡策略而改变，并且该流量控制设备其实仍然在不断测试与开发中。

作者提出了几种绕过流量控制设备的方式，这里就不再介绍了，想要了解的去下载原文查看吧。

工作思考

由于是通过主动测量与众包获取数据，所以作者联系了美国监管机构，得知美国对此类数据不予监管，不会对这些人进行逮捕或者罚款，才进行的研究。伦理审查和法律合规问题应该是首先要考虑的事情，每一个研究人员都必须时刻警惕。

作者认为俄罗斯对 Twitter 的审查是该国政府对社交媒体施压的手段，俄罗斯政府除 Twitter 外也要求 Google、YouTube 将反政府的内容予以限制。尽管此类研究不可避免地带有意识形态色彩，但必须强调的是其他非技术角度并不在本文的探讨范围之内，也不代表任何笔者观点。