O tym, że chiński rząd blokuje dostęp do większości publicznie znanych węzłów sieci TOR wiadomo było już we wrześniu 2009. W celu zapewnienia chińskim internautom dalszej możliwości korzystania z anonimizacji ruchu internetowego, sieć TOR wprowadziła zmiany w swojej architekturze i wyodrębniła część węzłów wejściowych (jedynie przekazujących ruch do kolejnego węzła) i nie publikuje ich kompletnej listy. Użytkownicy mogą uzyskać informacje o ograniczonej liczbie węzłów na własne potrzeby.
Adresy IP tych węzłów, jako nieznane publicznie, nie mogą zostać z góry zablokowane przez chiński rząd. Umożliwiało to chińskim użytkownikom korzystanie z TORa. Jednak w listopadzie 2011 jeden z uzytkowników TORa zgłosił nowy problem: każdy ukryty węzeł sieci, który konfigurował, był blokowany przez Great Firewall of China w ciągu kilku minut od jego pierwszego użycia. Zmiana portu pomagała jedynie do najbliższego połączenia.
Analizą tego zjawiska zajął się Tim Wilde, członek Teamu Cymru. Przeprowadził on pełne śledztwo oraz opublikował raport. Z analizy wynika, że chiński rząd aktywnie testuje podejrzane serwery i w przypadku wykrycia istnienia węzła sieci TOR blokuje wykryty adres IP oraz numer portu (zmiana portu pozwala na ponowne skorzystanie z usługi). Testy wykazały, że każde połączenie z terenu Chin na port 443 serwera znajdującego się w USA, w którym zostanie przeprowadzony handshake SSL, powoduje nawiązanie z serwerem w USA połączenia. Połączenie to pochodzi z rożnych klas adresowych w Chinach i polega na przesłaniu dziwnego, wyglądającego na losowy, ciągu znaków na port 443. Cel i znaczenie tego połączenia nie zostały ustalone.
Jeśli natomiast w trakcie połączenia z serwerem w USA przesłany zostanie pakiet Tor SSL client hello bez względu na port źródłowy i docelowy, z terenu Chin nadejdzie seria połączeń, nawiązujących pełną sesję TCP, SSL oraz rozpoczynająca prawidłową sesję Tor z serwerem w USA. Kiedy tylko serwer w USA odpowie zgodnie z protokołem Tora, sesja zostaje przerwana. Co ciekawe, sesje nawiązywane sa jedynie co pełny kwadrans. Jeśli więc pakiet Tor SSL client hello zostanie przesłany o 13:11, pierwsze połączenie z Chin nadejdzie o 13:15, a kolejne mogą pojawiać się w piętnastominutowych odstępach (np. 13:30, 13:45 i 14:00).
Próby modyfikacji przesyłanego pakietu Tora wykazały, że wystarczy usunięcie jednego z dozwolonych sposobów szyfrowania, by połączenia z Chin nie nadeszły, a serwer nie został zablokowany.
Przeprowadzona analiza prowadzi do następujących wniosków:
- Great Firewall of China prowadzi głęboką analizę pakietów w czasie prawie rzeczywistym lub rzeczywistym
- połączenia SSL na port 443 wychodzące z terenu Chin stanowią z jakiegoś powodu obiekt zainteresowania chińskiego rządu
- Great Firewall of China wykrywa nowe ukryte węzły sieci TOR w oparciu o głęboką analizę pakietów, następnie aktywnie je testuje i w przypadku potwierdzenia istnienia serwera TOR blokuje dostęp do konkretnego portu wykorzystywanego przez ten serwer
Co ciekawe, po kilku dniach testów okazało się, że Great Firewall of China przestał aktywnie blokować nowe węzły TORa.
W oparciu o wyniki testów opracowane zostało kilka metod zapobiegania wykrywaniu sesji TORa w przyszłości. Obejmują one dodatkowe hasło wykorzystywane przy dostępie do węzła sieci (przy podaniu błędnego hasła węzeł udawałby zwykły serwer https), dodatkowe zaciemnienie transmisji tak, by udawała zwykłe dane binarne lub modyfikacje protokołu, usuwającego jego cechy szczególne odróżniające go od zwykłej sesji https.