Floquet de neu: Pont del Navegador de Voluntaris de Tor

What Snowflake és

Snowflake és un transport connectable per a la xarxa Tor. Un transport connectable dissimula el trànsit de Tor perquè sembli una altra cosa, de manera que els països que bloquegen la forma reconeixible de les encaixades de mans de Tor no poden bloquejar fàcilment el trànsit disfressat. Snowflake disfressa Tor com a trànsit de videotrucades WebRTC normal, el mateix protocol que impulsa Zoom, Google Meet i qualsevol aplicació de videoconferència basada en navegador.

El sistema té tres funcions:

• el client (un usuari de Tor en un país censurat, però vol retransmetre Torn estàndard) bloquejat.
• El broker coincideix amb clients amb servidors intermediaris voluntaris.
• El proxy (un voluntari que executa l'extensió del navegador Snowflake o el programa autònom en un país lliure) accepta les connexions xifrades de WebRTC a un client i els reenvia relay.

Des de la perspectiva del censor, sembla que l'usuari està fent una videotrucada normal d'igual a igual. Des de la perspectiva de l'usuari, estan connectats a Tor.

Com funciona realment

1. El connector Snowflake del client demana a l'agent intermediari un servidor intermediari disponible.
2. El corredor troba un servidor intermediari voluntari que s'està executant actualment i està disposat a fer una sessió XPLZ29Z2. retorna els detalls de la connexió (informació de senyalització WebRTC).
3. El client utilitza les tècniques de travessa NAT estàndard de WebRTC (STUN, ICE) per establir una connexió UDP directa amb el servidor intermediari voluntari. torna a l'usuari a través del servidor intermediari, disfressat de trànsit WebRTC en curs.

La visió clau: les connexions WebRTC es troben a tot arreu a Internet moderna. Tots els navegadors els admeten. Cada truc de travessa NAT s'entén bé i s'aplica àmpliament. Bloquejar tot WebRTC trencaria Zoom, Google Meet, Discord i innombrables aplicacions web. Els censors no volen fer-ho, així que la disfressa de Snowflake és realment eficaç.

El costat dels voluntaris

Qualsevol persona d'un país lliure pot convertir-se en un proxy de Snowflake amb el mínim esforç:

• - extensions Firefox, Brawser Edge i ChromeX46

  XPLZ47 instal·leu, feu clic al commutador, el vostre navegador començarà a utilitzar el servidor intermediari.

  Esines incrustades als llocs web: un script d'una línia que converteix qualsevol visitant de la pàgina en un servidor intermediari temporal mentre es troba a la pàgina. Hi ha diversos llocs de notícies que donen suport a la llibertat de premsa.

  Programa de línia d'ordres autònom per executar un servidor intermediari dedicat.

  Contenidor Docker per executar-se en un servidor. reenviament, una IP estàtica o qualsevol configuració d'encaminador. La travessa NAT de WebRTC gestiona tot això. Aquesta és la propietat que ha escalat Snowflake a aproximadament 140.000 IP proxy úniques simultàniament el 2024, molt més que la configuració manual dels ponts Tor tradicionals mai aconseguit. censura més forta a Internet. Guies en persa que expliquen com instal·lar Tor Browser amb Snowflake difoses a les xarxes socials i mitjançant aplicacions de missatgeria xifrada. La participació dels voluntaris als països lliures va augmentar.

  Vengueren pics d'ús similars a Rússia (després de la invasió d'Ucraïna el 2022, quan el govern rus va bloquejar desenes de llocs web) i Bielorússia (durant la repressió política del 2020-2021).

  4By, Projecte Tor mostrat:

  • ~140.000 IPs proxy únics actius simultàniament.
  • ~35.000 usuaris diaris connectant-se mitjançant Snowflake.
  XPLZPLZ de trànsit per dia de 2
  • 2X3X relayed.

  Com els censors intenten bloquejar-lo

  Empremta digital del navegador

  De vegades, els censors sofisticats poden identificar el trànsit WebRTC disfressat amb Floquet de neu mitjançant funcions subtils que no coincideixen amb els patrons de videotrucades habituals. La mitigació és el gran nombre de voluntaris, fins i tot si algunes empremtes dactilars estan marcades, bloquejar-les totes es converteix en un problema d'objectius mòbils.

  Bloqueig del broker

  El broker (dirigit pel projecte Tor) és el punt d'asfixia centralitzat. Snowflake utilitza domain fronting per dissimular les connexions de l'agent: sembla que la sol·licitud es dirigeix ​​​​a un domini CDN important (Cloudflare, Azure, Fastly), però s'adreça internament al corredor. Bloquejar el corredor significa bloquejar tot el CDN, cosa que la majoria dels països no estan disposats a fer pel dany col·lateral.

  Aquest saldo s'ha inclinat amb el temps. Els proveïdors de núvol han desactivat periòdicament el front de domini a les seves xarxes (Google el 2018, AWS el 2018), obligant a Snowflake a migrar entre proveïdors. La carrera armamentística continua.

  Desconnexió completa d'Internet

  La censura més eficaç és només apagar Internet. L'Iran va fer això durant dies durant el 2022. Les estimacions situen el cost en 37 milions de dòlars diaris per a l'economia iraniana. Aquesta opció es reserva per a circumstàncies extraordinàries i no és sostenible com a eina de censura rutinària.

  LExposició legal per a proxies voluntaris

  Aquesta és una de les victòries de disseny silenciós de Snowflake. Els servidors intermediaris voluntaris de Floquet de neu només serveixen com a nodes entry: reenvien el trànsit into Tor, no fora d'ell. Els nodes de sortida (que desxifreixen el trànsit Tor i l'envien a la destinació real) assumeixen la major part del risc legal associat a la retransmissió perquè les IP de sortida es culpabilitzen del que sigui el relé. Només reenvia bytes Tor xifrats a un relé d'entrada Tor. L'operador intermediari no té cap manera de saber quin contingut s'està transmetent.

  Això va dir: en països com Rússia, l'Iran i la Xina que han criminalitzat Tor, executar qualsevol infraestructura relacionada amb Tor pot ser legalment arriscat. Snowflake és el més segur per als voluntaris dels països lliures.

  Snowflake vs altres transports connectables

  • obfs4 — disfressa Tor com a bytes aleatoris. Eficaç quan els censors no poden identificar patrons aleatoris, però la carrera armamentista constant l'ha fet menys fiable en xarxes molt censurades recentment.
  • meek-azure / meek-google: túnels Tor mitjançant HTTPS a un domini CDN important. Eficaç però lent, costós (el CDN factura ample de banda) i vulnerable als canvis de política del CDN.
  • Snowflake: utilitza WebRTC i servidors intermediaris voluntaris. S'escala de manera natural, és difícil de bloquejar sense trencar serveis no relacionats, latència baixa i gratuït tant per al projecte Tor com per als usuaris. obfs4 segueix sent el recurs per a les situacions en què el mateix WebRTC està bloquejat.

    La història

    Snowflake va ser creat per Serene, un antic enginyer de Google (i pianista de concert), que va publicar per primera vegada el prototip el gener de 2016. El suport d'extensió del navegador va arribar el 2019 amb una versió significativament actualitzada. Snowstorm, escrit a Rust i finançat per l'Open Tech Fund, va entrar a les proves beta el febrer de 2023.

    El sistema s'agrupa en Tor Browser i el client d'Android Tor Orbot, fent-lo accessible per als usuaris que no poden compilar l'eina d'elusió. Per a la majoria de la gent, instal·lar Tor Browser i seleccionar "snowflake" a la configuració del pont és tota la configuració del costat de l'usuari. "Afegiu al vostre navegador" per instal·lar l'extensió.

  • Feu clic a la icona de l'extensió i activeu-la.
  • LDeixa el navegador en funcionament. L'extensió es fa servir en segon pla utilitzant l'amplada de banda ambiental.

  L'impacte de l'ample de banda és real, però normalment modest. Els usuaris amb connexions mesurades haurien de ser conscients; els usuaris de banda ampla domèstica il·limitada generalment no se n'adonen. Per als voluntaris més ambiciosos, l'execució del programa autònom en un VPS petit ofereix disponibilitat les 24 hores del dia, els 7 dies de la setmana.