绕过国家级互联网审查系统的新策略
source link: http://www.solidot.org/story?sid=54363
Go to the source link to view the article. You can view the picture content, updated content and better typesetting reading experience. If the link is broken, please click the button below to view the snapshot at that time.
绕过国家级互联网审查系统的新策略
在本周三伦敦举行的 ACM IMC 2017 会议上,加州河滨分校的研究人员发表了论文《Your State is Not Mine: A Closer Look at Evading Stateful Internet Censorship》(PDF),介绍了对防火长城 TCP 状态机的最新研究,并提出了绕过防火长城的新策略,新策略的平均成功率在 90% 以上,最高达到 98%。 互联网审查和监视系统如 NSA 的 PRISM 和中国的 GFW 都能实时分析 TB 级的流量,明文协议如 HTTP、DNS、IMAP 在被监视的同时还可能遭到政府的纂改,加密协议如 SSH、TLS/SSL、PPTP/MPPE 和 Tor 则能通过流量指纹识别出来,然后在 IP 层屏蔽。审查系统背后的关键技术是深度包检测(DPI),GFW 使用的网络入侵检测系统据报道是部署在骨干网的旁路和边界路由器上。部署在旁路的审查系统通过镜像数据包然后对其进行深入分析,能处理极端高的吞吐量。为了用 DPI 检查应用层内容,GFW 首先需要从数据包重组 TCP 数据流,然后转发到上层供进一步分析。GFW 能分析广泛的应用协议,能应用基于规则的探测引擎检测敏感应用内容。它常用的审查技术包括了 TCP 连接重置 和 DNS 污染。由于旁路的属性,它不能丢弃终端和主机之间不想要的数据包,它采用的方法是注入伪造包强行关闭连接,或中断连接建立,并维持中断约 90 秒钟。在此期间,任何 SYN 包都会触发伪造的 SYN/ACK 包阻断合法握手,其它数据包则会触发伪造的 RST 和 RST/ACK 包关闭连接。研究人员对 GFW 测试了现有的规避策略,发现绝大多数不再有效,主要原因是 GFW 的升级。他们测量和分析了新的 GFW TCP 状态机,提出了新的规避策略,发布了新的工具 INTANG(只支持 Linux)。
Recommend
About Joyk
Aggregate valuable and interesting links.
Joyk means Joy of geeK