密西根大学 | TSPU：俄罗斯的分布式审查系统

原文标题：TSPU: Russia’s Decentralized Censorship System原文作者：Diwen Xue, Benjamin Mixon-Baca, ValdikSS, Anna Ablove, Beau Kujath, Jedidiah R. Crandall and Roya Ensafi原文链接：https://dl.acm.org/doi/abs/10.1145/3517745.3561461发表会议：IMC, 2022笔记作者：孙汉林@安全学术圈主编：黄诚@安全学术圈

1、引言

本文针对俄罗斯国家主网中的审查组件TSPU展开系统研究，通过设计独特的测量方法并结合境内与远程实验，揭示了TSPU在互联网流量干预中的工作机制、触发规则与部署位置。研究发现TSPU为路径内（in-path）、有状态（stateful）设备，能够基于SNI、IP与QUIC等特征实施多种类型的封锁行为，并展现出独特的状态管理特性。随后本文进一步通过基于IP分片行为的指纹识别，定位到俄罗斯境内650个网络自治系统中的逾一百万个受TSPU控制的终端，其中70%的设备距离目标IP不超过两跳。本文在随后也给出了初步的绕过方法。

2、测量方案

为系统分析俄罗斯TSPU审查设备的干预行为，作者搭建了一套包括俄罗斯境内外多点测量平台的基础设施：

• 境内测量点部署：在圣彼得堡、莫斯科、克拉斯诺亚尔斯克三地的住宅网络中各部署一个测量点，因为数据中心VPS基本不受TSPU影响，仅住宅ISP网络能反映真实审查环境。
• 跨境测量设计：利用美国境内同一网络下的两台测量主机，与俄罗斯测点通信，检测SNI触发的封锁行为；使用一台位于法国巴黎的Tor入口节点IP，检测IP层的封锁行为。
• 测量方法严谨性：每项实验重复5次以上以避免短暂路由变动或设备异常；顺序实验采用随机排列并每次更换源端口，以排除残留审查状态影响。
• 远程目标选择：为避免对住宅用户造成干扰，远程实验仅选择非住宅目标主机，最终选定1,136个echo服务器和13,309个TCP服务器。

3、TSPU如何进行封锁？

SNI字段封锁：TSPU设备主要通过解析TLS握手中的ClientHello报文来匹配SNI字段并执行封锁操作，针对的域名既包括官方封锁名单内的，也包括部分未被列入名单的域名。作者使用多种模糊测试方法（如填充SNI、更改TLS版本、添加ClientCert字段、篡改长度字段等）研究了TSPU的协议解析行为，发现其对特定字段（如“type”和“length”）较为敏感，说明TSPU会解析ClientHello报文以定位SNI字段，而非对整包进行简单字符串匹配。此外，TSPU在针对不同域名时表现出四种不同的封锁行为（SNI-I至SNI-IV），涵盖强制TCP复位（RST/ACK）、延迟封锁、带宽限制以及基于TCP序列的深度过滤等策略。

QUIC协议封锁：自2022年3月起，QUIC协议连接在俄罗斯境内遭到干扰。研究表明，TSPU依据特定的明文字节指纹（如QUIC版本1对应的0x00 0x00 0x00 0x01）识别并拦截目的端口为443且负载大于1000字节的UDP包。该封锁机制仅在报文由俄罗斯境内客户端发起时触发，触发后TSPU将立即阻断该连接中的所有后续数据包。QUIC v1是主要封锁对象，其他版本如draft-29和quicping因使用不同的版本字段可绕过封锁。

IP地址封锁：TSPU还通过IP地址进行封锁。当客户端位于TSPU设备之后并尝试访问被封锁IP时，出站数据包会被TSPU直接丢弃，而当封锁IP主动连接俄罗斯服务端时，请求可通过但响应将被强制修改为RST/ACK标志。此外，TSPU还会过滤与封锁IP之间的ICMP Ping请求。研究中识别出除Tor入口节点之外的多个遭封锁IP地址，均不在官方封锁名单中，包含多个VPN服务及Google基础设施节点。

这些发现共同表明，TSPU的审查机制要比XXX的审查机制更强，但这也会造成更大的附加伤害。

4、TSPU封锁哪些内容？

TSPU所触发的封锁域名在多个观测点之间一致，即其过滤策略具有统一性。与个别ISP的域名封锁相比，TSPU的覆盖范围更广，特别是对于不在官方封锁名单中的域名（如Google服务、翻墙工具、新闻和色情网站）仍会被TSPU封锁。在测试的封锁名单中，TSPU对9,655个域名完全封锁，而Rostelecom和OBIT等ISP的DNS解析器仅返回了部分封锁页面，这表明传统的由各ISP独立执行的分散式审查机制正被TSPU这种集中化审查体系所取代。被TSPU封锁的域名主要集中在博彩、新闻和媒体流媒体等类别，其中信息媒体类（如新闻机构、博客、社交平台等）占比最多，反映出对信息传播的重点打压。在封锁方式上，绝大多数使用了SNI-I（RST/ACK）的方式，而SNI-IV针对的是SNI-I的子集，主要集中在Twitter和Facebook等社交媒体，其特别处理的原因尚不明确。

5、TSPU部署在哪里？

本文评估结果可能是TSPU部署情况的下限。由于许多TSPU设备部署在NAT后或只拦截上行流量，一些阻断行为无法通过当前的IP分片测试检测到。此外，路径中的其他DPI可能会提前重组分片，从而干扰测量。研究基于俄罗斯前十大TCP端口，发现端口7547（用于住宅网络的TR-069协议）最常表现出TSPU特征，这表明TSPU主要部署在面向住宅用户的网络中，而非数据中心。在4,005,138个测试端点中，有约25.3%的主机表现出TSPU特征，涉及650个AS，其中中大型网络尤为显著。研究通过traceroute和TTL控制定位TSPU所在路径，识别出6,871个唯一TSPU链路，但这仍可能远低于实际部署数。多数TSPU设备靠近网络边缘节点，这区别于中国XXX部署在IXP或边界网关的方式。此外，部分小型ISP通过其上游运营商（如Rostelecom）路径上的TSPU设备实现审查，表明TSPU以“审查即服务”的方式向下游网络提供合规支持。

6、规避方法

关于规避俄罗斯TSPU审查系统的方法，可以总结为以下两类：

服务端策略：

• 缩小TCP窗口大小：服务器在初始握手的SYN/ACK包中使用较小的TCP窗口，使客户端将TLS ClientHello拆分成多个TCP段，从而绕过基于整包检测的封锁。这种方法曾被用于绕过中国XXX的Tor流量检测。

• 拆分握手：服务器在响应客户端的SYN时，发送一个没有ACK标志的SYN包，客户端收到后发回SYN/ACK，服务器再发送ACK完成握手。这种握手序列可绕过针对SNI-I类型封锁的检测。

• 两者可结合使用：服务器先发送没有ACK的SYN，再在ACK包中宣布较小的窗口。

这些服务器端方法对非技术用户友好，但存在限制，比如不能绕过DNS封锁。

客户端策略：

• 数据包分片：通过IP分片或TCP分段，将TLS ClientHello拆分成多包传输，避免被TSPU检测到完整的SNI字段。
• 混淆ClientHello包：修改触发封锁的ClientHello包，如填充扩展字段或在前面加其他TLS记录，来混淆检测。

相比中国XXX，TSPU尚未普遍实现TCP流重组，但TSPU可能进行升级，如实现TCP流重组、过滤异常窗口大小、智能判断握手角色等，以封锁这类流量。