谷歌禁用“域前端”功能,用于逃避审查

谷歌的应用引擎可能不能为开发者提供一种规避审查的方式,但在过去的几年里,它通过一种称为领域前端的技术为其提供了一种方法。通过将通信封装到服务中,并向Google等其他无害的域或IP地址范围提出请求,应用程序开发人员可以将请求隐藏到其他被国家或公司审查机构屏蔽的领域。这种方法曾被信号化,反华检查服务GreatFire.org,用于Tor匿名网络的插件,一些虚拟的私人网络提供商,还有一个据称是俄罗斯国家资助的恶意软件活动,目的是混淆基于侵权的数据窃取行为。

但在4月13日,Tor项目的成员们注意到,领域前沿已经被打破。根据The Verge的Russell Brandom的一份报告,原因是谷歌对该公司的网络架构做出了一些改变,而该架构在一段时间内一直存在。谷歌的一名代表告诉Brandom,该领域的fronting从未得到谷歌的正式支持,而且直到上周才开始工作,“因为我们的软件栈的一个特性……作为计划中的软件更新的一部分,领域前端不再有效。”我们没有任何计划来提供它作为一个功能。

Ars试图联系Google,但截至记者发稿时我们没有收到任何回复。

域前端使用安全的HTTP Web协议(HTTPS)和传输层安全(TLS)标准来帮助欺骗深度数据包检查系统和防火墙规则,这些系统和防火墙规则是关于一个Web请求的目标,并利用内容传递网络(CDNs)的功能。域名出现三次在一个Web请求的一部分DNS查询网站的IP地址,服务器名称指示(SNI)扩展的TLS(告诉一个服务器和多个站点域交通),和Web请求的HTTP“主机”头。对于HTTP流量,所有3个域名的实例都可以被审查者的网络设备看到;当浏览HTTPS网站时,HTTP报头是加密的。

在域前端方案中,DNS请求和SNI扩展使用未被阻止的主机的域名,但HTTPS头包含实际的目的地 - 只要它是同一CDN的一部分,该请求即被转发到该目的地。该目标通常是代理服务器,VPN网关或Tor桥。在Google上,该代理可能位于AppEngine主机上; 在主要CDN网络上,它可以托管在任何付费客户的服务器上。对于任何坐在客户端和CDN之间的人来说,流量似乎是一个无害的站点,但事实上,它正被重新路由到其预定的位置。

谷歌和其他云服务提供商并没有刻意支持领域前沿:如果他们的网络因此受阻,他们将面临的业务可能受到的损害。“我们不支持领域前沿,”Cloudflare首席执行官兼联合创始人马修王子在给Ars的一封电子邮件中说。“这样做会让我们的传统客户处于风险之中,,因为它会掩盖其域名背后的禁止交易。”

这可能是谷歌之所以做出改变的原因之一,因为谷歌自身内部对加密通讯工具的审查,导致了域名的改变,这对谷歌的其他付费用户产生了重大影响。

Telegram和Zello最近被俄罗斯电信管理局(Roskomnadzor)下令封锁,并且由于电报用户开始使用基于云的代理服务器,因此被阻止的地址迅速扩展到Google和亚马逊网络服务地址。据报亚马逊要求Zello停止在AWS上托管代理,该服务将转移到谷歌。许多俄罗斯的电报用户一直在使用各种云服务的代理来逃避审查。

  • 发表于:
  • 原文链接https://arstechnica.com/information-technology/2018/04/google-disables-domain-fronting-capability-used-to-evade-censors

扫码关注云+社区

领取腾讯云代金券