如何忽略“防火长城”
翻译: 万柳烈士旅 08/07/2008 原文 双语对照及眉批
简介
本文以网志方式简述了论文《如何忽略防火长城》(http://feed.yeeyan.com/articles/view/40085/11992)的内容。
2006年6月27日08:11 UTC
防火长城是中国政府进行互联网审查的重要工具之一。其部分工作原理即是通过监视网络流量来判断是否出现特定文字。如果中国政府不允许该文字,比如“花”“轮”“大”“法”,出现在网页(或者打开网页的网络请求)中,那么连接即被关闭,网页也打不开──被和谐了。
这种用户级的现象已经广为所知,但迄今尚无人更深一步研究事情的本来面目(或者在报文级别更深一步地错误理解了事情)。
事实证明(注意:只针对我们详细研究的这个特殊案例:YMMV), 关键词检测的进行并不是在中国网络边际上的大型路由器组上,而是在临近的辅助机器上。当这些机器侦测到包含关键词的报文,它们其实也并不阻止其通过主要的 路由器。(这也许过于复杂,会使路由器不能以正常工作)相反,这些辅助机器生成一串TCP复位报文并向连接两端发送。当复位报抵达时,两端会认为这些报文 是对方发送的真正的关闭连接请求,于是照做。这样实现了和谐。
但是,由于原来的报文是完好地通过了防火墙的,如果两边最终节点都完全忽略防火墙的复位报文,连接仍然可以顺畅无阻!我们对此进行了一些实际试验──效果的确很好!!想想就知道这简直是哈里·波特的穿墙术用在了防火长城上──只要闭上眼然后就走进了九又四分之三站台。
忽略复位报文实现起来相当简易,只需添加简单的防火墙规则……对正常通信也没有显著影响。如果你还想做得更聪明一点你还可以检验复位报文的跳数 (TTL),判断它是对方发送的合理的值,还是从中插入的审查装置发送的伪造值。对于复位DoS攻击的防御(NISCC Vulnerability Advisory 236929),我们认为TTL校验法也相当值得推荐。如果操作系统提供商将此功能添加为新的标准配置,那将会很有实用价值,特别是中国公民将不用运行特 别的(当局可能宣布为非法的)穿墙软件,只需使用现成的(当局必然不得不容忍的)功能。
关于这个话题还有一些话(但不是很多),所有内容都写在了我们的学术论文中(Clayton,Murdoch,Watson),即将在这周剑桥举行的第六届隐私增强技术研讨会上公布。
注意:实际上在中国除了“防火长城”关键词侦测系统还有其他更多审查手段──比如无条件封锁站点,这样就只能采取其他策略比如代理来处理这种情况。不过,这种静态封锁手段让中国政府来维护的话过于昂贵,天生更加脆弱而跟不上内容变化的速度。所以揭露这整套审查系统的弱点还是很有实际价值的。
0 只草泥马:
发表评论