规避中国的“防火墙”
这种用户级别的影响已经了解了一段时间……但是直到现在,似乎还没有人更仔细地观察实际发生的事情(或者,当他们知道时,他们已经 误解了数据包级别的事件)。
但是,最近,理查德·克莱顿(Richard Clayton)提出了一篇论文,讨论了如何击败中国的国家防火墙。事实证明,关键字检测实际上并不是在中国辽宁十一选五走势图一百期边界上的大型路由器中进行的,而是在附近的子机中进行的。当这些机器检测到关键字时,它们实际上并没有阻止包含关键字的数据包通过主路由器(要实现这将非常复杂,并且仍然允许路由器以必需的速度运行)。而是,这些子公司的机器生成一系列TCP重置数据包,这些数据包被发送到连接的每一端。当重置到达时,端点假定它们是来自另一端的真实请求,以关闭连接并遵守。因此,审查制度发生了。
但是,由于原始数据包毫发无损地通过了防火墙,因此,如果两个端点都完全忽略了防火墙的重置数据包,则连接将不受阻碍地进行!我们已经对此进行了一些实际的实验-效果很好!可以将其视为“哈利波特”到“大防火墙”的方法-闭上双眼,走进9A平台。
通过应用简单的防火墙规则,忽略重置很简单……并且对正常工作没有显着影响。如果您想变得更聪明一点,可以检查重置数据包中的跃点计数(TTL),并确定这些值是否与从远端到达的数据包一致,或者该值是否表明它们来自中间的检查设备。我们认为,在考虑使用重置数据包防御拒绝服务攻击的防御措施时,值得推荐的是检查TTL值。让操作系统供应商按标准提供此新功能也将在实际中使用,因为中国公民不需要运行特殊的防火墙清除代码(当局可能会试图将其取缔),而只需运行现成的软件(他们将一定可以容忍)。
在中国,除了“ Great Firewall”关键字检测系统外,还有更多的审查制度-一些站点被无条件封锁,并且有必要使用其他技术(例如代理)来应对。但是,这些静态块对于中国政府而言,维护成本要高得多,并且固有地更加脆弱,并且随着内容的移动而对更改的适应性降低。因此,揭露通用系统的不足仍然具有真正的价值。
但是,最重要的是,“中国大防火墙”的有效性在很大程度上取决于系统是否同意它应该起作用……关于皇帝的新装的故事是否还没有?
由Clayton,Murdoch和Watson开发的学术论文将在 第六届隐私增强技术研讨会 将于本周在剑桥举行。
----