Wat doet het uitvoeren van een Snowflake-proxy?

Het verandert uw browser (of server) in een vrijwillig relais dat gebruikers in gecensureerde landen helpt verbinding te maken met het Tor-netwerk. Wanneer iemand in Iran of Rusland Tor probeert te gebruiken en de standaardrelais worden geblokkeerd, wordt uw browser een tijdelijke brug die gebruik maakt van vermomd WebRTC-verkeer.

Is het uitvoeren van een Snowflake-proxy legaal?

In vrije landen wel. Snowflake-proxy's dienen alleen als toegangsknooppunten: ze sturen gecodeerd Tor-verkeer door naar een Tor-invoerrelais zonder ooit platte tekst te zien of verbinding te maken met de daadwerkelijke bestemming. Dit is een veel lager juridisch risico dan het uitvoeren van een Tor-exitknooppunt. In landen die Tor zelf criminaliseren (Rusland, Iran, China, Wit-Rusland) brengt het runnen van een Tor-infrastructuur hoe dan ook risico's met zich mee.

Hoeveel bandbreedte gebruikt Snowflake?

Variabel afhankelijk van de vraag. Typische vrijwilligers van browserextensies rapporteren tientallen tot honderden MB per dag in gematigde perioden, soms meer tijdens pieken in censuurgebeurtenissen. Met de extensie kunt u bandbreedtelimieten instellen. Voor gebruikers met gemeten of afgedekte verbindingen is bewustzijn belangrijk.

Kunnen censors Snowflake blokkeren?

Met moeite. Het volledig blokkeren van WebRTC zou ook Zoom, Google Meet, Discord en de meeste moderne videoconferenties kapot maken – bijkomende schade die de meeste regeringen vermijden. Domeinfronting via grote CDN’s maakt de makelaar moeilijk te identificeren. Geavanceerde censors kunnen soms vingerafdrukken maken van in Snowflake vermomd WebRTC-verkeer, maar de constante toestroom van nieuwe vrijwillige proxy's maakt het blokkeren van specifieke IP's ineffectief.

Waarin verschilt Snowflake van een VPN?

Een VPN leidt uw verkeer via één server die u vertrouwt (of betaalt) en geeft u één duidelijk exit-IP-adres. Snowflake is een inplugbaar transportmiddel voor het Tor-netwerk. Het vermomt je Tor-verkeer om de censuur te omzeilen, waarna je verkeer door het drie-hop-circuit van Tor stroomt voordat het het verlaat. Snowflake plus Tor geeft je de anonimiteitseigenschappen van Tor; een VPN geeft je één enkele vertrouwde hop. Verschillende hulpmiddelen voor verschillende problemen.

Sneeuwvlok uitgelegd: de Tor-brug die vrijwillige browsers verandert in proxy's voor het omzeilen van censuur

Sneeuwvlok is een van de slimste onderdelen van de censuur-omzeilingsinfrastructuur die ooit is gebouwd. Het verandert gewone webbrowsers in vrijwillige proxy's die gebruikers in gecensureerde landen helpen Tor te bereiken. Installeer een Firefox- of Chrome-extensie en uw browser begint stilletjes WebRTC-verbindingen door te sturen voor iemand in Iran of Rusland. Dit is wat het is, hoe het werkt en waarom het zo goed bestand is tegen censuur.

De volledige artikeltekst vindt u hieronder in het Engels.

Wat Snowflake is

Snowflake is een plug-in transport voor het Tor-netwerk. Een plug-in-transport vermomt Tor-verkeer zodat het op iets anders lijkt, zodat landen die de herkenbare vorm van Tor-handdrukken blokkeren niet gemakkelijk vermomd verkeer kunnen blokkeren. Snowflake vermomt Tor als gewoon WebRTC-videogespreksverkeer, hetzelfde protocol dat Zoom, Google Meet en elke browsergebaseerde app voor videoconferenties aanstuurt.

Het systeem heeft drie rollen:

De client (een Tor-gebruiker in een gecensureerd land) wil Tor bereiken, maar de standaardrelais zijn geblokkeerd.
De makelaar matcht klanten met vrijwillige proxy's.
De proxy (een vrijwilliger die de Snowflake-browserextensie of een zelfstandig programma uitvoert in een vrij land) accepteert gecodeerde WebRTC-verbindingen van klanten en stuurt deze door naar een Tor-invoerrelais.

Vanaf de Vanuit het perspectief van de censor lijkt het erop dat de gebruiker een gewoon peer-to-peer videogesprek voert. Vanuit het perspectief van de gebruiker zijn ze verbonden met Tor.

Hoe het feitelijk werkt

De Snowflake-plug-in van de klant vraagt de makelaar om een beschikbare proxy.
De makelaar vindt een vrijwillige proxy die momenteel actief is en bereid is een sessie te volgen.
De makelaar retourneert verbindingsgegevens (WebRTC-signalering info).
De client gebruikt WebRTC's standaard NAT-traversal technieken (STUN, ICE) om een directe UDP-verbinding tot stand te brengen met de vrijwillige proxy.
De vrijwillige proxy ontvangt gecodeerde Tor-gegevens via de WebRTC-verbinding en stuurt deze door naar een Tor-invoerrelais.
Torverkeer stroomt terug via de proxy naar de gebruiker, vermomd als lopende WebRTC traffic.

Het belangrijkste inzicht: WebRTC-verbindingen zijn overal op het moderne internet aanwezig. Elke browser ondersteunt ze. Elke NAT-traversal-truc wordt goed begrepen en breed ingezet. Het blokkeren van alle WebRTC zou Zoom, Google Meet, Discord en talloze webapps kapot maken. Censors willen dat niet, dus de vermomming van Snowflake is echt effectief.

De vrijwilligerskant

Iedereen in een vrij land kan met minimale inspanning een Snowflake-proxy worden:

Browserextensies voor Firefox, Chrome, Brave en Edge - installeren, klik op de knop toggle, uw browser begint met proxying.
Ingebedde badges op websites: een script van één regel dat elke paginabezoeker verandert in een tijdelijke proxy terwijl deze zich op de pagina bevindt. Verschillende nieuwssites die de persvrijheid ondersteunen, hebben deze ingebouwd.
Standalone opdrachtregelprogramma voor het uitvoeren van een speciale proxy.
Docker container voor het uitvoeren op een server.

Cruciaal is dat het uitvoeren van een Snowflake-proxy geen port forwarding vereist, een statisch IP-adres, of een routerconfiguratie. De NAT-traversal van WebRTC regelt dat allemaal. Dit is de eigenschap die Snowflake heeft opgeschaald naar grofweg 140.000 unieke proxy-IP’s gelijktijdig in 2024 – veel meer dan de handmatige configuratie van traditionele Tor-bruggen ooit heeft bereikt.

Invloed in de echte wereld

Snowflake werd wereldwijd prominent tijdens de Mahsa Amini-protesten van 2022 in Iran, toen de Iraanse regering de internetcensuur dramatisch aanscherpte. Gidsen in de Perzische taal waarin wordt uitgelegd hoe je Tor Browser met Snowflake kunt installeren, worden verspreid op sociale media en via gecodeerde berichten-apps. De deelname van vrijwilligers in vrije landen nam enorm toe.

Vergelijkbare gebruikspieken volgden in Rusland (na de invasie van Oekraïne in 2022, toen de Russische regering tientallen websites blokkeerde) en Wit-Rusland (tijdens het politieke hardhandig optreden van 2020-2021).

In 2024, statistieken van het Tor Project liet zien:

~140.000 unieke proxy-IP's gelijktijdig actief.
~35.000 dagelijkse gebruikers verbinden via Snowflake.
~29 TB verkeer per dag relayed.

Hoe censors het proberen te blokkeren

Browser-vingerafdruk

Verfijnde censors kunnen soms door Snowflake vermomd WebRTC-verkeer identificeren aan de hand van subtiele kenmerken die niet overeenkomen met gewone videogesprekpatronen. De beperking is alleen al het aantal vrijwilligers: zelfs als sommige vingerafdrukken worden gemarkeerd, wordt het blokkeren ervan een probleem met bewegende doelen.

De makelaar blokkeren

De makelaar (gerund door het Tor Project) is het gecentraliseerde knelpunt. Snowflake gebruikt domain fronting om brokerverbindingen te verhullen. Het verzoek lijkt gericht te zijn aan een groot CDN-domein (Cloudflare, Azure, Fastly), maar wordt intern naar de broker geleid. Het blokkeren van de makelaar betekent het blokkeren van het gehele CDN, wat de meeste landen niet willen doen vanwege de bijkomende schade.

Deze balans is in de loop van de tijd omgeslagen. Cloudproviders hebben periodiek domeinfronting op hun netwerken uitgeschakeld (Google in 2018, AWS in 2018), waardoor Snowflake gedwongen werd tussen providers te migreren. De wapenwedloop gaat door.

Volledige afsluiting van het internet

De meest effectieve censuur is simpelweg het internet uitschakelen. Iran deed dit dagenlang in 2022. Schattingen schatten de kosten op 37 miljoen dollar per dag voor de Iraanse economie. Deze optie is gereserveerd voor buitengewone omstandigheden en is niet duurzaam als routinematig censuurinstrument.

LJuridische blootstelling voor vrijwillige proxy's

Dit is een van de stille ontwerpoverwinningen van Snowflake. Vrijwillige Snowflake-proxy's dienen alleen als entry-knooppunten - ze sturen verkeer door naar Tor, niet daarbuiten. Exit-knooppunten (die Tor-verkeer ontsleutelen en naar de daadwerkelijke bestemming sturen) dragen het grootste deel van het juridische risico dat gepaard gaat met relaying, omdat exit-IP's de schuld krijgen van wat het relay ook doorstuurt.

A Snowflake-proxy ziet nooit verkeer in platte tekst en maakt nooit rechtstreeks verbinding met de bestemming. Het stuurt alleen gecodeerde Tor-bytes door naar een Tor-invoerrelais. De proxy-operator kan op geen enkele manier weten welke inhoud wordt doorgegeven.

Dat gezegd hebbende: in landen als Rusland, Iran en China die Tor zelf hebben gecriminaliseerd, kan het runnen van een Tor-gerelateerde infrastructuur juridisch riskant zijn. Snowflake is het veiligst voor vrijwilligers in vrije landen.

Snowflake versus andere plug-in transporten

obfs4 — vermomt Tor als willekeurige bytes. Effectief wanneer censors geen willekeurige patronen kunnen detecteren, maar de constante wapenwedloop heeft het de laatste tijd minder betrouwbaar gemaakt in zwaar gecensureerde netwerken.
meek-azure / meek-google — tunnelt Tor via HTTPS naar een belangrijk CDN-domein. Effectief maar langzaam, duur (de CDN factureert bandbreedte) en kwetsbaar voor CDN-beleidswijzigingen.
Snowflake — maakt gebruik van WebRTC en vrijwillige proxy's. Op natuurlijke wijze schaalbaar, moeilijk te blokkeren zonder niet-gerelateerde services te verbreken, lage latentie en gratis voor zowel het Tor-project als gebruikers.

In 2026 is Snowflake het meest aanbevolen plug-in transport voor gebruikers in zwaar gecensureerde netwerken. obfs4 blijft de fallback voor situaties waarin WebRTC zelf wordt geblokkeerd.

De geschiedenis

Snowflake is gemaakt door Serene, een voormalig Google-ingenieur (en concertpianist), die het prototype voor het eerst publiceerde in januari 2016. Ondersteuning voor browserextensies kwam in 2019. Een aanzienlijk verbeterde stand-alone versie genaamd Snowstorm, geschreven in Rust en gefinancierd door het Open Tech Fund, in februari 2023 in bètatest gegaan.

Het systeem wordt gebundeld in Tor Browser en de Android Tor-client Orbot, waardoor het toegankelijk wordt voor gebruikers die niet hun eigen omzeilingstools kunnen compileren. Voor de meeste mensen is het installeren van Tor Browser en het selecteren van "snowflake" in de bridge-configuratie de volledige installatie aan de gebruikerszijde.

Hoe u zich vrijwillig kunt aanmelden

Ga naar snowflake.torproject.org vanuit Firefox, Chrome, Brave of Edge.
Klik op "toevoegen aan uw browser" om de extensie.
Klik op het extensiepictogram en schakel het in.
Llaat uw browser actief. De extensieproxy's op de achtergrond gebruiken omgevingsbandbreedte.

De impact op de bandbreedte is reëel, maar doorgaans bescheiden. Gebruikers met gemeten verbindingen moeten zich hiervan bewust zijn; gebruikers met onbeperkt breedband thuis merken er doorgaans niets van. Voor ambitieuzere vrijwilligers biedt het uitvoeren van het standalone programma op een kleine VPS 24/7 beschikbaarheid.

Veelgestelde vragen

Wat doet het uitvoeren van een Snowflake-proxy?: Het verandert uw browser (of server) in een vrijwillig relais dat gebruikers in gecensureerde landen helpt verbinding te maken met het Tor-netwerk. Wanneer iemand in Iran of Rusland Tor probeert te gebruiken en de standaardrelais worden geblokkeerd, wordt uw browser een tijdelijke brug die gebruik maakt van vermomd WebRTC-verkeer.
Is het uitvoeren van een Snowflake-proxy legaal?: In vrije landen wel. Snowflake-proxy's dienen alleen als toegangsknooppunten: ze sturen gecodeerd Tor-verkeer door naar een Tor-invoerrelais zonder ooit platte tekst te zien of verbinding te maken met de daadwerkelijke bestemming. Dit is een veel lager juridisch risico dan het uitvoeren van een Tor-exitknooppunt. In landen die Tor zelf criminaliseren (Rusland, Iran, China, Wit-Rusland) brengt het runnen van een Tor-infrastructuur hoe dan ook risico's met zich mee.
Hoeveel bandbreedte gebruikt Snowflake?: Variabel afhankelijk van de vraag. Typische vrijwilligers van browserextensies rapporteren tientallen tot honderden MB per dag in gematigde perioden, soms meer tijdens pieken in censuurgebeurtenissen. Met de extensie kunt u bandbreedtelimieten instellen. Voor gebruikers met gemeten of afgedekte verbindingen is bewustzijn belangrijk.
Kunnen censors Snowflake blokkeren?: Met moeite. Het volledig blokkeren van WebRTC zou ook Zoom, Google Meet, Discord en de meeste moderne videoconferenties kapot maken – bijkomende schade die de meeste regeringen vermijden. Domeinfronting via grote CDN’s maakt de makelaar moeilijk te identificeren. Geavanceerde censors kunnen soms vingerafdrukken maken van in Snowflake vermomd WebRTC-verkeer, maar de constante toestroom van nieuwe vrijwillige proxy's maakt het blokkeren van specifieke IP's ineffectief.
Waarin verschilt Snowflake van een VPN?: Een VPN leidt uw verkeer via één server die u vertrouwt (of betaalt) en geeft u één duidelijk exit-IP-adres. Snowflake is een inplugbaar transportmiddel voor het Tor-netwerk. Het vermomt je Tor-verkeer om de censuur te omzeilen, waarna je verkeer door het drie-hop-circuit van Tor stroomt voordat het het verlaat. Snowflake plus Tor geeft je de anonimiteitseigenschappen van Tor; een VPN geeft je één enkele vertrouwde hop. Verschillende hulpmiddelen voor verschillende problemen.