In case Snowflake rendezvous gets blocked

tango · March 7, 2022, 2:01am

Snowflake is known for using WebRTC, but there is a phase called rendezvous before the WebRTC phase. The rendezvous phase and the WebRTC may be attacked separately. In case the default rendezvous (based on domain fronting) is blocked, there is a backup. But there is no easy way to enable the backup: you have to edit a configuration file.

Open the Tor Browser folder and find the torrc-defaults file:

platform	location
linux	Browser/TorBrowser/Data/Tor/torrc-defaults
windows	Browser\TorBrowser\Data\Tor\torrc-defaults
osx	Contents/Resources/TorBrowser/Tor/torrc-defaults

Find the part that says:

## snowflake configuration
ClientTransportPlugin snowflake exec ...

Remove the following options from the line:

-url https://snowflake-broker.torproject.net.global.prod.fastly.net/ -front cdn.sstatic.net

And replace them with these options:

-url https://snowflake-broker.torproject.net/ -ampcache https://cdn.ampproject.org/ -front www.google.com

Leave all the other options the same. Then start Tor Browser, and configure it to use Snowflake as a bridge at about:preferences#tor.

In place of -front www.google.com, you can try other Google domains.

For extra debugging information, you can add the options -log snowflake.log -log-to-state-dir. Search for a file called snowflake.log.

The torrc-defaults file will be overwritten when Tor Browser self-upgrades, and you will have to apply the change again.

Information on how the backup rendezvous works: AMP cache rendezvous#Overview.

tango · March 7, 2022, 4:59pm

Snowflake, как известно, использует технологию WebRTC. Но перед фазой WebRTC есть фаза, которя называется rendezvous. Фазы rendezvous и WebRTC могут быть атакованы по отдельности. В случае, если rendezvous используемый по умолчанию (основанный на доменном прикрытии) будет заблокирован, есть запасной вариант. Но не существует простого способа включить резервный процесс: необходимо отредактировать файл конфигурации.

Для этого откройте папку Tor Browser и найдите используемый по умолчанию файл torrc:

platform	location
linux	Browser/TorBrowser/Data/Tor/torrc-defaults
windows	Browser\TorBrowser\Data\Tor\torrc-defaults
osx	Contents/Resources/TorBrowser/Tor/torrc-defaults

Найдите строчки кода, которые начинаются с:

## snowflake configuration
ClientTransportPlugin snowflake exec ...

Удалите следующую часть кода:

-url https://snowflake-broker.torproject.net.global.prod.fastly.net/ -front cdn.sstatic.net

И замените его на этот код:

-url https://snowflake-broker.torproject.net/ -ampcache https://cdn.ampproject.org/ -front www.google.com

Оставьте все остальные опции без изменений. Затем запустите Tor Browser и настройте его на использование Snowflake в качестве моста. Это можно сделать здесь: about:preferences#tor.

Вместо -front www.google.com вы можете использовать другие доменты Google.

Для получения дополнительной отладочной информации вы можете добавить в файл torrc следующий код -log snowflake.log -log-to-state-dir. Так логи будут сохраняться в файле с названием snowflake.log.

При автоматическом обновлении браузера Tor файл torrc будет перезаписан на вариант, который используется браузером по умолчанию, поэтому все описанные выше изменения нужно будет вносить снова.

Информация о том, как работает резервный процесс rendezvous: AMP cache rendezvous#Overview.

Перевод сделан @Nina.

anon94384997 · July 18, 2022, 6:23pm

Мне кажется, snowflake заблокировали или проблемы только у меня? Проверьте, если не трудно.

anon94384997 · July 19, 2022, 11:46am

А чего все молчат? По моим наблюдениям, заблокировали все-таки snowflake. На уровне dtls (webrtc) протокола. Версия свежая, под VPN соединяется, напрямую нет. Метод выше тоже пробовал. Siberia, Yota.

Wireshark:
STUN Binding Request
DTLSv1.2 Client Hello
DTLSv1.2 Hello Verify Request
…

Tor:
10:10:28 Bootstrapped 1% (conn_pt): Connecting to pluggable transport
10:10:28 Bootstrapped 2% (conn_done_pt): Connected to pluggable transport
10:10:28 Bootstrapped 10% (conn_done): Connected to a relay
10:10:36 snowflake-client: offer created
10:10:38 snowflake-client: broker rendezvous peer received
10:10:48 snowflake-client: connection failed timeout waiting for DataChannel.OnOpen
10:10:53 snowflake-client: offer created
10:10:54 snowflake-client: broker rendezvous peer received
10:11:04 snowflake-client: connection failed timeout waiting for DataChannel.OnOpen
10:11:09 snowflake-client: offer created
10:11:11 snowflake-client: broker rendezvous peer received
10:11:21 snowflake-client: connection failed timeout waiting for DataChannel.OnOpen
…
10:12:15 snowflake-client: offer created
10:12:16 snowflake-client: broker rendezvous peer received
10:12:26 snowflake-client: connection failed timeout waiting for DataChannel.OnOpen
10:12:28 Delaying directory fetches: No running bridges
…
10:15:28 Problem bootstrapping. Stuck at 10% (conn_done): Connected to a relay. (DONE; DONE; count 1; recommendation warn; host 2B280B23E1107BB62ABFC40DDCC8824814F80A72 at 192.0.2.3:1)
10:15:28 1 connections have failed:
10:15:28 1 connections died in state handshaking (TLS) with SSL state SSLv3/TLS write client hello in HANDSHAKE
10:15:28 Pluggable Transport process terminated with status code 0

Может быть это связано с этим:
A new Snowflake blocking rule (offset of supported_groups in DTLS Client Hello
Проблемы в работе ПО использующего WebRTC

Оффтоп: Похоже, meek тоже заблокирован. Работает только самосборная standalone версия с нестандартными параметрами, конечно, очень медленно.
И Psiphon стал медленней работать (соединяется по HTTPS 443).
По tor metrics уменьшения числа пользователей snowflake в России не замечено. Наверное, это только на провайдерах с ТСПУ.

tango · July 19, 2022, 3:24pm

The current belief is that the DTLS blocking rules from A new Snowflake blocking rule (offset of supported_groups in DTLS Client Hello) affect some, but not all, Snowflake connections. It may depend on what kind of NAT the client has, or other factors.

@Shelikhoo has made test packages that have a different DTLS fingerprint. This is to determine whether the DTLS blocking rules really are affecting many users in Russia. Please give them a try, if you can:

https://people.torproject.org/~shelikhoo/dqo8apcai4/tor-browser/

Here is some more background:

IRC Tip about Signature used to block Snowflake in Russia, 2022-May-16 (#40030) · Issues · The Tor Project / Anti-censorship / censorship-analysis · GitLab
- UDP packets matching the pattern ^\x16\xfe[\xfd\xff].{X}\x00\x1d\x00\x17\x00\x18 are getting blocked, where X is a small number of enumerated byte offsets, and \x00\x1d\x00\x17\x00\x18 is the supported_groups extension. One of the offsets happens to match where pion/dtls places the extension in its Client Hello.
- Concise description of the current situation: snowflake connections are blocked when either peer in the connection is Pion-based (e.g. snowflake-client or proxy-go) and takes the role of the DTLS client.
  - Put another way, the connection is ok if: the proxy is a browser proxy (not proxy-go) and snowflake-client operates as a DTLS server, not client
- Pull request Shuffle Elliptic Curves in ClientHello to circumvent Russian censorship by ValdikSS · Pull Request #474 · pion/dtls · GitHub has the risk of creating a new, even more distinctive fingerprint
  - So does altering the offset of supported_groups without changing other aspects of the fingerprint
- One idea is to make a patch or fork of pion/dtls with either pull request Shuffle Elliptic Curves in ClientHello to circumvent Russian censorship by ValdikSS · Pull Request #474 · pion/dtls · GitHub or some other change that alters the offset, then ask people to test it
- Shell will create a ticket for releasing a version of Snowflake/TorBrowser with patch applied.
Creating a version of Tor Browser with patched Snowflake client that includes supported_groups censorship countermeasure (#83) · Issues · The Tor Project / Anti-censorship / Team · GitLab

ValdikSS · July 19, 2022, 9:14pm

Ростелеком+ТСПУ, прямо сейчас (2022-07-19T21:12:00Z) первый раз подключился медленно (около минуты), второй и третий разы уже быстро.

anonymous50 · July 20, 2022, 7:31am

С тестовой сборкой snowflake-client?

ValdikSS · July 20, 2022, 8:48am

Нет, с обычным Tor Browser 11.5.

anonymous51 · July 20, 2022, 11:34am

Блокировку Сlient Hello убрали, теперь блокируют Hello Verify Request

Snowflake будет работать только если вашим пиром будет браузерная версия прокси и snowflake клиент будет DTLS Client’ом.

Брокер выдает пир с рестриктивным NAT’ом пиру с не рестриктивным.
Браузерную версию прокси чаще запускают за NAT’ом, а standalone на белом адресе.

Если ваш snowflake клиент за рестриктивным NAT’ом (им может оказаться даже ваш домашний маршрутизатор), вашим пиром с большей вероятностью будет standalone прокси.

tango · July 21, 2022, 6:09pm

Do you happen to know the specific fingerprint inside Hello Verify Request? Or just the fact that it is sent at all?

MacMillan et al. had reported the Hello Verify Request vulnerability:

Do not send the optional Client Hello and Hello Verify Request from the DTLS handshake

anonymous53 · July 21, 2022, 6:23pm

Directions: Both
Datagram size: 30h
16 FE [FD or FF] offset: 00h
03 offset: 0Dh

ValdikSS · July 21, 2022, 7:42pm

Can confirm, this pattern is filtered, thanks.

oct21 · July 24, 2022, 7:39pm

snowflake странно работает. Подключение есть в дестктопной версии тор бразуера под windows. Но нет подключения в linux, если запустить тор службу через cli и настроить мост в torrc. Мой конфиг в torrc:
UseBridges 1
ClientTransportPlugin snowflake exec /opt/snowflake/client/client
Bridge snowflake 192.0.2.3:1 url=https://snowflake-broker.torproject.net.global.prod.fastly.net/ front=cdn.sstatic.net ice=stun:stun.voip.blackberry.com:3478,stun:stun.altar.com.pl:3478,stun:stun.antisip.com:3478,stun:stun.bluesip.net:3478,stun:stun.dus.net:3478,stun:stun.epygi.com:3478,stun:stun.sonetel.com:3478,stun:stun.sonetel.net:3478,stun:stun.stunprotocol.org:3478,stun:stun.uls.co.za:3478,stun:stun.voipgate.com:3478,stun:stun.voys.nl

две строчки, которыми спами тор:
[notice] Managed proxy “/opt/snowflake/client/client”: broker failure dial tcp [scrubbed]: connect: no route to host
[notice] Managed proxy “/opt/snowflake/client/client”: offer created

служба застревает на 10%.

anonymous55 · July 24, 2022, 8:06pm

Зачем передавать аргументы динамически?
Лучше так:

no route to host

Нужно смотреть куда резольвит front и где маршрут обрывается.

anon94384997 · July 24, 2022, 8:54pm

Я не уверен, что дело в этом, но не мешает ли вам apparmor? В случае использования debian, ubuntu или opensuse.
Я слышал, что в файл /etc/apparmor.d/abstractions/tor нужно добавить строчку /usr/bin/snowflake-client ix, и перезагрузиться.
Лично у меня нет ошибки no route to host на линуксе. Хотя, в последнее время запускаю tor не как службу, а от юзера. Просто бинарники из тор браузера достал и скопировал в ~/tor. Чтобы не следить за свежестью пакета.
Но когда tor и snowflake запускались системно, подобных ошибок тоже не было.

Кстати, blackberry и altar.com.pl недоступны в России. antisip и sonetel вроде тоже.

anonymous56 · July 25, 2022, 9:54am

Терминология запутывает. Snowflake называет рестриктивными (в терминах snowflake) симмертичные (в терминах NAT), там где внешний адрес или порт будут разными для разных адресов назначения. Такое упрощение, например, делает невозможной связь симметричного и рестриктивного (в терминах NAT) пиров.

Мне не удалось воспроизвести успешного подключения даже при условии получение ответа от браузерной прокси (общее соотношение доступных сейчас webext и standalone прокси 1:12), браузер выбирает роль DTLS клиента. Что логично, иначе правила блокировки были бы другими.

anon94384997 · July 25, 2022, 6:55pm

Как вообще надежней всего определить тип NAT? Разные проги показывают разные данные, в разных формулировках.
Вот snowflake-proxy (server на go) мне выдал, что у меня NAT type: restricted. А stun client (два вида пробовал): Endpoint Independent Mapping (Address and Port Dependent Filtering).
RetroShare: Full Cone NAT.
Но они везде так пишут. А входящие в торрентах есть, аська звонится (напрямую, собеседник тоже за NAT). Только у протона вроде подубовее.

oct21 · July 25, 2022, 8:32pm

да, у меня дебиан, и в apparmor я заранее добавлял уже путь до снежинки, так что моя ошибка уже с добавленной строчкой. что такое front и как посмотреть путь пакетов? хотя я уже сомневаюсь что такие вопросы здесь релевантны, в конце концов это форум о блокировках, а не о посикс-системах для чайников(

anonymous56 · July 26, 2022, 8:39am

Типы NAT можно отсортировать в крупные кучки, но на практике будут упрощения или уточнение тонкостей. Получится, что для разных сетевых случаев разные типы имеют похожее название. В том числе из-за ошибок.

RetroShare использует self maintained NAT traversal technique based on DHT
В RetroShare выделяют основные типы:

Snowflake proxy определяет restricted иначе чем даже Snowflake client:

Всего два варианта, хотя для определения совместимости в WebRTC выделяют типы:

Планируют изменения

traceroute cdn.sstatic.net

Есть, как минимум, два сорта ПАК ТСПУ в установленном виде – одно работает, а второе для галочки. Синтетические тесты оно проходит, адреса и SNI блочит, а вот в реальных задачах окружающую среду только нагревает.

anonymous58 · August 6, 2022, 8:43am

Усложнили правило блокировки для snowflake и других. Одиночным пакетом из приложения выявить паттерн теперь невозможно. Проверка многоуровневая – отдельная очередь для условного webrtc и уже в ней проверка. Похоже на оптимизацию под слабое железо, потратив такты на очередь выиграли окно под правило. Если это так, блокировка snowflake заденет теперь “всех”.

Новое правило: ClientHello запускает проверку на HelloVerifyRequest. Направление любое.