Судя по сообщениям пользователей из Ирана, с четверга 9 января некоторые интернет-провайдеры страны начали фильтровать интернет-трафик по сигнатурам (deep packet inspection), блокируя почти все пакеты SSL/TLS. Таким образом, у пользователей перестали работать HTTPS-сервисы, включая Gmail, поиск Google и сайты других интернет-компаний. Туннелирование по SSH в иранском интернете заблокировано уже несколько месяцев назад.
Специалисты Tor провели анализ, каким образом местные власти блокируют HTTPS, судя по всему, это делается тремя способами:
- deep packet inspection для SSL
- избирательная блокировка комбинаций IP-адресов и TCP-портов
- фильтрация по ключевым словам
Блокировка SSL не является полной и общенациональной. До сих пор у большинства пользователей HTTPS работает. В остальных местах, судя по всему, система распознаёт пакеты при начале «рукопожатия» SSL и просто останавливает процедуру установки защищённого соединения.
Судя по статистике прямых соединений с иранских IP, пока что блокировка HTTPS не особо применяется, хотя некоторое снижение трафика есть. Однако, специалисты Tor считают, что в ближайшее время фильтрация распространится на весь Иран. Поэтому они предлагают такое решение.
Операторам приватных сетевых мостов предлагается поставить у себя особый обфусцированный мост, который будет маскировать HTTPS-трафик — специально для Ирана. Инструкцию по установке такого моста см. здесь. С другой стороны, пользователи тоже должны будут установить у себя программу obfsproxy для обфускации трафика.
Приватные мосты не указаны в общем каталоге нодов Tor, а сообщаются только по запросу из конкретного сегмента сети. Таким образом, пользователи из Ирана смогут воспользоваться вашим сетевым мостом, в случае необходимости. Обфускация трафика, теоретически, позволит обойти блокировку по сигнатурам со стороны иранских властей.
