@
onlybird @
momo5269 @
chunshuai @
shenzhuxi 上面那篇论文我仔细地读过了,说“自动学习”恐怕是有点神化 GFW 了。
大概的原理是这样:抛开端口、数据格式、加密什么的不论,单单从 ip 数据包的层面来看,不管你用的是什么协议。只要你的应用场景最终都是给 browser 用,那么,你数据包的大小、请求密集的时间点、来回次数、间歇,等,这些特征其实都是一样的。那么,我不试图去识别你的每一个数据包,而是试图去识别你通讯的模式,就能知道你是不是翻墙(的 http )流量,这就是所谓“主机行为特征分析”(欢迎更正我的理解)。再辅以“主动探测”,也就是发个包过去,如果有 http 应答,那就是正常 http 服务,如果没有正常应答(但行为模式却是 http),那就可以高度怀疑是翻墙流量。
基于以上的猜测,比较靠谱的规避手段恐怕是:A,隐藏于正常的 http 流量之中(借用主动探测),B,轮换地使用多个连接(避免触发匹配)。有待其他同学反馈更多信息。