Un middlebox es un dispositivo informático de red que puede transformar, inspeccionar, filtrar y manipular el tráfico de Internet -lo que se conoce como manipulación de conexiones- que se considera restringido entre clientes y servidores por motivos como la violación de derechos de autor o la censura en Internet.
Aunque estas intenciones buscan mejorar la seguridad y el rendimiento, es necesario auditar y medir su uso, no sólo para controlar las opacas restricciones a la libertad en Internet, sino también para ayudar a los proveedores de contenidos a entender y explicar las razones de la falta de disponibilidad.
Hasta ahora, los conocimientos de la comunidad sobre la manipulación de conexiones se han basado únicamente en mediciones activas. Esto implica obtener acceso a ciertas redes mediante la compra de puntos de observación o el reclutamiento de voluntarios y la ejecución de mediciones de contenido de Internet desde dentro de estas redes para probar la accesibilidad. Sin embargo, las mediciones activas están intrínsecamente limitadas por la indisponibilidad de datos del mundo real obtenidos por los usuarios, la falta de puntos de observación accesibles en muchas redes y la necesidad de identificar y actualizar los contenidos importantes que hay que probar.
En vista de ello, mis colegas y yo, de la Universidad de Michigan, Cloudflare, EPFL y la Universidad de Maryland, desarrollamos una metodología completamente pasiva que nos permite detectar la manipulación de conexiones a partir de datos de usuarios del mundo real.
- Las middleboxes que manipulan el tráfico de clientes muestran patrones de tráfico que no se parecen al típico tráfico de clientes a un servidor.
- Los investigadores desarrollaron un conjunto de 19 firmas de manipulación, secuencias de paquetes que pueden indicar una manipulación de la middlebox.
- Algunas firmas se observan predominantemente solo en determinadas regiones (por ejemplo, PSH ⟶ RST;RST₀ solo se ve en China), mientras que otras se observan en todo el mundo.
¿Cómo detectar la manipulación de conexionesde forma pasiva?
Como se muestra en la Figura 1, una conexión típica de un navegador a un servidor web implica el establecimiento de un handshake TCP (también llamado handshake SYN) y, a continuación, el intercambio de varios paquetes de datos. El primer paquete de datos suele contener el TLS Client Hello o la solicitud GET para conexiones HTTP. Una vez completado el intercambio de datos, la conexión finaliza mediante un apretón de manos FIN.

Sin embargo, cuando los middleboxes manipulan el tráfico, provocan patrones de tráfico diferentes a los de una conexión TCP típica. Las middleboxes manipulan el tráfico:
- Inyectar paquetes diseñados para terminar conexiones, como los paquetes TCP Reset (RST) (Figura 2), o
- La caída de paquetes obliga tanto al Cliente como al Servidor a cerrar la conexión (Figura 3).


La presencia de paquetes TCP RST o las caídas de paquetes son indicadores clave de la manipulación de la conexión. Mientras que los RST de TCP y la pérdida de paquetes son extremadamente comunes en Internet, la incidencia a gran escala de tales patrones que ocurren exactamente en la etapa en la que actúan las middleboxes (como inmediatamente después del hola del cliente TLS) es altamente indicativa de la intención de manipulación. Por ejemplo:
- El aparato de censura en China (también llamado Gran Cortafuegos) inyecta múltiples paquetes RST tras observar un nombre de dominio restringido en el hola del cliente TLS.
- Los middleboxes de la censura en Irán descartan el paquete hola del cliente TLS cuando se manipula.

Utilizando conocimientos de trabajos anteriores sobre detección de censura e investigación manual de datos pasivos a gran escala recogidos por una gran CDN, desarrollamos un conjunto de 19 firmas de manipulación, secuencias de paquetes que pueden indicar una manipulación de la middlebox. Estas secuencias de paquetes detectan la manipulación en varias etapas de una conexión TCP y detectan principalmente la inyección RST y la manipulación basada en la caída de paquetes.
Señalamos aquí que estas firmas no sólo detectan la manipulación: hay comportamientos específicos de los clientes (como los globos oculares felices, el escaneo y los cierres de conexión forzados) que pueden provocar que se produzcan estos patrones, pero esperamos que nuestro estudio pueda revelar patrones a gran escala que puedan estudiarse más a fondo mediante mediciones activas. En nuestro artículo ofrecemos un análisis detallado de cada una de las firmas y las evaluamos.
Análisis global de la manipulación de conexiones
Aplicamos nuestras firmas al 0,01% de todas las conexiones entrantes en Cloudflare, un gran proveedor de CDN con más de 275 puntos de presencia y conectividad global. Los resultados mostrados en la Figura 4 corresponden a dos semanas de datos pasivos en enero de 2023.

Muestran que algunas firmas se observan predominantemente solo en determinadas regiones (por ejemplo, PSH ⟶ RST;RST₀ solo se ve en China), mientras que otras se observan en todo el mundo (por ejemplo, PSH;Data ⟶ RST). Esto indica que nuestras firmas capturan los dos casos de cierre de conexiones comunes en distintos países (que pueden no deberse a manipulación). También revela propiedades específicas de sistemas de censura bien conocidos, como el Gran Cortafuegos. Nuestros resultados ponen de relieve regiones que requieren una mayor atención (por ejemplo, Perú y Uzbekistán), al tiempo que confirman las observaciones sobre los sistemas de censura realizadas en trabajos anteriores (China e Irán).
Las mediciones pasivas también nos permitieron observar las tendencias de la manipulación en el mundo real a lo largo del tiempo. El gráfico 5 muestra que la manipulación representa un mayor porcentaje del tráfico procedente de determinados países a determinadas horas y días, sobre todo en Rusia e Irán.

En cuanto a esto último, también podemos ver cómo la manipulación aumentó en Irán tras las protestas de septiembre de 2022 (Figura 6).

Aumentar la resolución de la salud en Internet
Consideramos que las mediciones pasivas son un poderoso complemento de las estrategias de medición activa, y que juntas estas técnicas pueden proporcionarnos una imagen mucho más completa de la manipulación de conexiones a nivel mundial. Animamos a los proveedores de servicios e ISP a adoptar nuestra técnica para contribuir al conocimiento de la comunidad sobre la terminación de conexiones. No dude en ponerse en contacto con nosotros.
Obtenga más información a través de nuestro documento SIGCOMM Research y SIGCOMM Talk.
Ram Sundara Raman es doctorando de la Universidad de Michigan, cuya investigación se centra en la medición de las interferencias y la censura en las redes a gran escala. Las opiniones expresadas por los autores de este blog son suyas y no reflejan necesariamente los puntos de vista de la Internet Society.
Las opiniones expresadas por los autores de este blog son suyas y no reflejan necesariamente los puntos de vista de la Internet Society.