WebRTC指纹——深度分析（中篇）

1. 引言

在上篇中，我们建立了WebRTC审查规避系统分析的理论基础，探讨了技术背景和威胁模型。中篇将深入分析WebRTC协议栈中的具体识别特征，通过对多个主流WebRTC应用的实际协议分析，揭示不同实现之间存在的显著差异。

这些协议层面的特征差异构成了审查系统进行指纹识别的重要依据。通过系统性地分析STUN/TURN协议特征、DTLS层深度特征、媒体通道与数据通道的使用模式差异，以及网络行为模式特征，我们将为理解WebRTC规避系统的识别风险提供详实的技术证据。

本篇还将展示大规模网络流量分析实验的结果，验证理论分析的实际可行性，并评估在真实网络环境中进行WebRTC指纹识别的效果和局限性。

2. WebRTC可识别特征深度分析

2.1 STUN与TURN协议特征

STUN和TURN协议为WebRTC的NAT穿透提供关键支持，但这些协议的实现细节也可能成为指纹识别的重要依据。

在STUN协议中，通信报文包含多个可定制字段，其中SOFTWARE字段类似于HTTP协议中的User-Agent字段，不同的WebRTC实现会在此字段中标识自己的软件信息。审查者可以通过分析这些字段的内容来识别特定的应用程序。

不同WebRTC实现选择的STUN服务器地址、请求类型（如Binding、Allocate、CreatePermission等）以及是否强制使用UDP中继等行为模式都可能作为指纹识别的依据。例如，某些实现可能优先尝试直接连接，而另一些则可能立即使用TURN中继。

TURN协议的使用模式也存在明显差异。一些应用会在连接建立后立即分配TURN端口，而另一些则只在直连失败时才使用TURN服务。这些使用模式的差异为审查者提供了识别不同应用的线索。

2.2 DTLS层深度特征分析

DTLS作为TLS在无连接传输协议上的适配版本，其握手过程中包含大量可用于指纹识别的特征信息。

协议版本特征：不同的WebRTC实现支持不同的DTLS版本，包括DTLSv1.0、DTLSv1.2等。某些较新的实现可能支持DTLSv1.3，而旧版本的实现可能仍然使用DTLSv1.0。这种版本差异构成了最基本的识别特征。

加密套件配置：客户端在DTLS握手过程中提供的加密套件列表是高度特征化的。不同实现不仅在支持的加密套件数量上存在差异，在排序优先级上也有所不同。例如，某些实现可能优先选择AEAD加密模式，而另一些可能仍然支持传统的CBC模式。

扩展支持情况