このコーナーでは、2014年から先端テクノロジーの研究を論文単位で記事にしているWebメディア「Seamless」(シームレス)を主宰する山下裕毅氏が執筆。新規性の高い科学論文を山下氏がピックアップし、解説する。
Twitter: @shiropen2
米国の研究機関であるAperture Internet Laboratoryは、Linuxで動作する中国のインターネット検閲システム「グレートファイアウォール」(Great Firewall、GFW、金盾)をオープンソースで実装したシステム「OpenGFW」を発表した。このシステムは家庭用ルーターで使用可能なほど柔軟で使いやすく、GFWを個人レベルで実現することを目指している。
OpenGFWは、IPとTCPのデータを完全に再構築する能力を持ち、HTTP、TLS、DNS、SSHなどのネットワークプロトコルを解析できる。特に、Shadowsocksなどの完全に暗号化されたトラフィックの検出機能や、Trojan-killerに基づいたTrojanプロトコルの検出機能が含まれている。
IPv4とIPv6の両方をサポートし、ネットワーク負荷を複数のコアで分散処理する機能や、exprに基づいた強力なルールエンジンを搭載している。Webベースのインタフェースや機械学習を用いたトラフィック分類機能の開発も進行中である。
使用例としては、広告ブロック、ペアレンタルコントロール、マルウェア保護、VPN/プロキシサービスの乱用防止、トラフィック分析(ログのみモード)などが挙げられる。
中国のGFWが完全に暗号化されたトラフィックをどのように検出しブロックするかについては、GFW Reportなどに所属する研究者らが発表した論文「How the Great Firewall of China Detects and Blocks Fully Encrypted Traffic」を参考にしている。
2021年11月、本家のGFWは完全に暗号化されたトラフィックをリアルタイムで受動的に検出しブロックする技術を導入した。これは、Shadowsocks、VMess、Obfs4などの多くの主流の検閲回避ツールに部分的または完全に影響を与え、インターネットの自由な使用がより縛られることになった。
この論文では、GFWが完全に暗号化されたトラフィックを検閲する新システムを分析している。研究者たちは、実験においてインターネットトラフィックの分析、GFW検出アルゴリズムのシミュレーションを行った。
その結果、GFWが完全に暗号化されたトラフィックを検出するために使用しているのが、通信データの先頭部分に含まれる特徴(例えば、表示可能なASCII文字の割合、セットされたビットの割合、特定のプロトコルフィンガープリントなど)だと分かった。これらの特徴に当てはまらない通信は、Shadowsocks、VMess、obfs4などによって暗号化されたと見なされ、GFWによってブロックされていると分かった。
シミュレーションの結果、推測された検出アルゴリズムが実際のネットワークトラフィックの約0.6%をブロックする可能性があることを示した。これは、GFWの検閲システムによる誤検出のリスクがあることを意味している。
この新しいGFW検閲メカニズムの理解に基づき、複数の実用的な回避戦略を導き出している。
Copyright © ITmedia, Inc. All Rights Reserved.
Special
PR