Ещё 6 ноября 2021 года Великий Китайский файервол (GFW) ввёл новый метод цензуры, блокирующий полностью зашифрованный VPN трафик в режиме реального времени. Блокирование совпало с проведением шестой пленарной сессии 19-го центрального комитета китайской коммунистической партии. Пользователи интернета в Китае почти сразу же начали сообщать о блокировке своих серверов Shadowsocks и VMess.
Это был первый случай массовой блокировки полностью зашифрованных прокси в режиме реального времени на основе пассивного анализа трафика. Важность полностью зашифрованных протоколов для всей антицензурной экосистемы и загадочное поведение GFW мотивировали исследователей изучить и понять основные механизмы обнаружения и блокировки.
Работая над изучением новой системы GFW для пассивного обнаружения и цензурирования полностью зашифрованного трафика, исследователи выявили, что для обнаружения «паразитного» трафика цензоры применяют минимум пять наборов грубых, но эффективных эвристик. Эти правила исключения основаны на отпечатках распространенных протоколов, грубом тесте энтропии с использованием доли установленных битов, а также доли, позиции и максимального непрерывного количества символов ASCII в первом полезном TCP нагрузке.
Ввиду закрытого характера GFW разработанные правила могут быть неполными. Тем не менее, эксперты оценили созданные правила на реальном трафике из университета Боулдера (AS104) и предоставили свидетельства того, что созданные правила имеют значительное сходство с правилами GFW. Кроме того, специалисты обнаружили, что алгоритм обнаружения GFW заблокировал бы примерно 0,6% всех легитимных соединений. Возможно, для смягчения избыточной блокировки из-за ложных срабатываний GFW отслеживает только 26% соединений и только в определенных диапазонах IP-адресов популярных дата-центров.
Исследователи проанализировали связь между новой формой пассивной цензуры и ранее известной системой активного пробирования (active probing system) GFW. Они обнаружили, что такая система полагается на алгоритм анализа трафика, но имеет дополнительные правила, основанные на длине пакетов. В результате стратегии обхода, способные уклониться от новой блокировки, также уклоняются от обнаружения прокси-серверами GFW и последующим активным пробированием.
На основе понимания новой системы цензуры исследователи разработали новые стратегии обхода. Они поделились результатами исследований и предложениями об обходе с разработчиками популярных антицензурных инструментов, таких как Shadowsocks, V2Ray, Outline, Lantern, Psiphon и Conjure. Эти стратегии обхода были и внедрены с января 2022 года, помогая миллионам пользователей обойти новую форму цензуры. По состоянию на февраль 2023 года, все принятые «антицензурные» инструменты продолжают остаются эффективными в Китае.