Roller door covered in tags

Medición de la manipulación de conexiones en todo el mundo

Picture of Ram Sundara Raman
Guest Author | Ph.D. Candidate, University of Michigan
Categorias:
Twitter logo
LinkedIn logo
Facebook logo
October 24, 2023

Un middlebox es un dispositivo informático de red que puede transformar, inspeccionar, filtrar y manipular el tráfico de Internet -lo que se conoce como manipulación de conexiones- que se considera restringido entre clientes y servidores por motivos como la violación de derechos de autor o la censura en Internet.

Aunque estas intenciones buscan mejorar la seguridad y el rendimiento, es necesario auditar y medir su uso, no sólo para controlar las opacas restricciones a la libertad en Internet, sino también para ayudar a los proveedores de contenidos a entender y explicar las razones de la falta de disponibilidad.

Hasta ahora, los conocimientos de la comunidad sobre la manipulación de conexiones se han basado únicamente en mediciones activas. Esto implica obtener acceso a ciertas redes mediante la compra de puntos de observación o el reclutamiento de voluntarios y la ejecución de mediciones de contenido de Internet desde dentro de estas redes para probar la accesibilidad. Sin embargo, las mediciones activas están intrínsecamente limitadas por la indisponibilidad de datos del mundo real obtenidos por los usuarios, la falta de puntos de observación accesibles en muchas redes y la necesidad de identificar y actualizar los contenidos importantes que hay que probar.

En vista de ello, mis colegas y yo, de la Universidad de Michigan, Cloudflare, EPFL y la Universidad de Maryland, desarrollamos una metodología completamente pasiva que nos permite detectar la manipulación de conexiones a partir de datos de usuarios del mundo real.

Puntos clave:
  • Las middleboxes que manipulan el tráfico de clientes muestran patrones de tráfico que no se parecen al típico tráfico de clientes a un servidor.
  • Los investigadores desarrollaron un conjunto de 19 firmas de manipulación, secuencias de paquetes que pueden indicar una manipulación de la middlebox.
  • Algunas firmas se observan predominantemente solo en determinadas regiones (por ejemplo, PSH ⟶ RST;RST₀ solo se ve en China), mientras que otras se observan en todo el mundo.

¿Cómo detectar la manipulación de conexionesde forma pasiva?

Como se muestra en la Figura 1, una conexión típica de un navegador a un servidor web implica el establecimiento de un handshake TCP (también llamado handshake SYN) y, a continuación, el intercambio de varios paquetes de datos. El primer paquete de datos suele contener el TLS Client Hello o la solicitud GET para conexiones HTTP. Una vez completado el intercambio de datos, la conexión finaliza mediante un apretón de manos FIN.

Animación que muestra una conexión TCP típica entre un Cliente y un Servidor.
Figura 1 – Una conexión TCP típica entre Cliente y Servidor.

Sin embargo, cuando los middleboxes manipulan el tráfico, provocan patrones de tráfico diferentes a los de una conexión TCP típica. Las middleboxes manipulan el tráfico:

  • Inyectar paquetes diseñados para terminar conexiones, como los paquetes TCP Reset (RST) (Figura 2), o
  • La caída de paquetes obliga tanto al Cliente como al Servidor a cerrar la conexión (Figura 3).
Animación que muestra cómo la middlebox manipula inyectando paquetes RST tras observar el paquete TLS Client Hello.
Figura 2 – Manipulación de Middlebox inyectando paquetes RST tras observar el paquete TLS Client Hello.
Animación que muestra la manipulación de la middlebox mediante la caída del paquete TLS Client Hello.
Figura 3 – Manipulación de Middlebox mediante la omisión del paquete TLS Client Hello.

La presencia de paquetes TCP RST o las caídas de paquetes son indicadores clave de la manipulación de la conexión. Mientras que los RST de TCP y la pérdida de paquetes son extremadamente comunes en Internet, la incidencia a gran escala de tales patrones que ocurren exactamente en la etapa en la que actúan las middleboxes (como inmediatamente después del hola del cliente TLS) es altamente indicativa de la intención de manipulación. Por ejemplo:

  • El aparato de censura en China (también llamado Gran Cortafuegos) inyecta múltiples paquetes RST tras observar un nombre de dominio restringido en el hola del cliente TLS.
  • Los middleboxes de la censura en Irán descartan el paquete hola del cliente TLS cuando se manipula.
Cuadro 1 – Firmas de manipulación.

Utilizando conocimientos de trabajos anteriores sobre detección de censura e investigación manual de datos pasivos a gran escala recogidos por una gran CDN, desarrollamos un conjunto de 19 firmas de manipulación, secuencias de paquetes que pueden indicar una manipulación de la middlebox. Estas secuencias de paquetes detectan la manipulación en varias etapas de una conexión TCP y detectan principalmente la inyección RST y la manipulación basada en la caída de paquetes.

Señalamos aquí que estas firmas no sólo detectan la manipulación: hay comportamientos específicos de los clientes (como los globos oculares felices, el escaneo y los cierres de conexión forzados) que pueden provocar que se produzcan estos patrones, pero esperamos que nuestro estudio pueda revelar patrones a gran escala que puedan estudiarse más a fondo mediante mediciones activas. En nuestro artículo ofrecemos un análisis detallado de cada una de las firmas y las evaluamos.

Análisis global de la manipulación de conexiones

Aplicamos nuestras firmas al 0,01% de todas las conexiones entrantes en Cloudflare, un gran proveedor de CDN con más de 275 puntos de presencia y conectividad global. Los resultados mostrados en la Figura 4 corresponden a dos semanas de datos pasivos en enero de 2023.

Figura 4 – Porcentaje de coincidencias de firmas de manipulación en determinadas regiones y a escala mundial.

Muestran que algunas firmas se observan predominantemente solo en determinadas regiones (por ejemplo, PSH ⟶ RST;RST₀ solo se ve en China), mientras que otras se observan en todo el mundo (por ejemplo, PSH;Data ⟶ RST). Esto indica que nuestras firmas capturan los dos casos de cierre de conexiones comunes en distintos países (que pueden no deberse a manipulación). También revela propiedades específicas de sistemas de censura bien conocidos, como el Gran Cortafuegos. Nuestros resultados ponen de relieve regiones que requieren una mayor atención (por ejemplo, Perú y Uzbekistán), al tiempo que confirman las observaciones sobre los sistemas de censura realizadas en trabajos anteriores (China e Irán).

Las mediciones pasivas también nos permitieron observar las tendencias de la manipulación en el mundo real a lo largo del tiempo. El gráfico 5 muestra que la manipulación representa un mayor porcentaje del tráfico procedente de determinados países a determinadas horas y días, sobre todo en Rusia e Irán.

Gráfico de series temporales que muestra el patrón de porcentaje de flujos que coinciden con ciertas firmas de manipulación en determinadas regiones...
Figura 5 – Los índices de manipulación muestran un patrón diurno a lo largo del tiempo en algunas regiones.

En cuanto a esto último, también podemos ver cómo la manipulación aumentó en Irán tras las protestas de septiembre de 2022 (Figura 6).

Gráfico de series temporales que muestra la detección pasiva de un suceso de censura en Irán en torno a septiembre de 2022.
Figura 6 – Detección pasiva de un caso de censura en Irán en torno a septiembre de 2022.

Aumentar la resolución de la salud en Internet

Consideramos que las mediciones pasivas son un poderoso complemento de las estrategias de medición activa, y que juntas estas técnicas pueden proporcionarnos una imagen mucho más completa de la manipulación de conexiones a nivel mundial. Animamos a los proveedores de servicios e ISP a adoptar nuestra técnica para contribuir al conocimiento de la comunidad sobre la terminación de conexiones. No dude en ponerse en contacto con nosotros.

Obtenga más información a través de nuestro documento SIGCOMM Research y SIGCOMM Talk.

Ram Sundara Raman es doctorando de la Universidad de Michigan, cuya investigación se centra en la medición de las interferencias y la censura en las redes a gran escala. Las opiniones expresadas por los autores de este blog son suyas y no reflejan necesariamente los puntos de vista de la Internet Society.

Contenido traducido

El contenido en francés y español disponible en Internet Society Pulse puede haber sido generado usando servicios de traducción automática, por lo que podría no reflejar con total precisión el texto original.

La versión oficial es el texto en inglés.