网络安全 IT/方法
该系统通过阻止IP 地址路由来阻止内容。它包括标准防火墙和互联网网关处的代理服务器。当请求特定站点时,该系统还会选择性地进行 DNS 欺骗。政府似乎没有系统地审查互联网内容,因为这在技术上似乎不可行。
互联网审查措施的有效性永远不会是完全的,因为有多种方法可以绕过它们(取决于给定的措施)。
过度阻断是指某些不应被阻止的合法内容被给定的审查措施意外地阻止了。根据所选的具体方案,这可能是一个或多或少严重的问题,但它始终存在且不可避免。它与阻止列表有意包含某些不应正式被阻止的内容的情况无关。
类似地,阻断不足是指官方应被阻止的内容,但意外地没有被阻止。它不是可以通过绕过访问的内容,而仅仅是无需使用任何特殊技术即可访问的内容,这些内容“从特定审查方案的手指间溜走”。
所需资源(设备、处理能力、带宽)以及处理被阻止内容列表的成本也因审查方案而异,并取决于使用的方法。
一种方法是否采用深度包检测 (DPI)表明了它的侵入性和资源密集程度。
| 方法 | 过度阻断风险 | 阻断不足风险 | 所需资源 | 服务费用清单 | 绕过 | DPI |
|---|---|---|---|---|---|---|
| IP 阻断 | 高 | 中 | 低 | 中 | 非常容易 | 否 |
| DNS 欺骗/DNS 缓存中毒 | 高 | 中 | 低 | 中 | 非常容易 | 否 |
| URL 过滤 | 低 | 高 | 中 | 高 | 中等需求 | 是 |
| QoS 过滤 | 中 | 中 | 高 | 高 | 难 | 是 |
| 中间人攻击 | 高 | 高 | 中 | 非常高 | 需要加密连接 | 是 |
| TCP 连接重置 | 高 | 中 | 中 | 中 | 需要加密连接 | 是 |
| 网络断开连接 | 非常高 | 非常高 | 中 | 无 | 需要卫星连接。另请参阅互联网替代方案:分组无线电 和 Mesh 网络 | 否 |
| VPN 阻断 | 高 | 中 | 低 | 中 | 大多数服务器仅供付费使用 | 是 |
| 网络枚举 | 低 | 低 | 非常高 | 高 | 难 | 是 |
| 关键词 | 高 | 高 | 非常高 | 低 | 中等需求 | 是 |
| 哈希 | 低 | 高 | 非常高 | 高 | 中等需求 | 是 |
| 动态(例如,图像识别) | 高 | 高 | 非常高 | 低 | 中等需求 | 是 |
| 混合(例如,基于 IP 地址 + 哈希) | 低 | 高 | 中 | 高 | 中等需求 | 是 |
拒绝访问特定 IP 地址。如果目标网站托管在共享主机服务器中,则同一服务器上的所有网站都将被阻止。这会影响所有 IP 协议(主要是 TCP),例如 HTTP、FTP 或 POP。一种典型的规避方法是查找可以访问目标网站的代理,但代理可能会被干扰或阻止。一些大型网站分配了额外的 IP 地址(例如,IPv6 地址)来规避阻止,但稍后阻止可能会扩展到覆盖新地址。
DNS 无法解析域名或返回错误的 IP 地址。这会影响所有 IP 协议,例如 HTTP、FTP 或 POP。一种典型的规避方法是查找可以正确解析域名的域名服务器,但域名服务器也可能受到阻止,特别是 IP 阻止。另一种解决方法是在可以从其他来源获取 IP 地址且未被阻止的情况下绕过 DNS。例如,修改Hosts 文件或在 Web 浏览器中键入 IP 地址而不是域名。
- 最简单的方法是更改 DNS 提供商,最好使用 DNSSEC。但是,应该记住,仅使用安全的 DNS 服务器,而不使用应用程序级别的加密,仍然允许您执行中毒攻击。
- 使用随机端口
扫描请求的 URL 字符串以查找目标关键词,而不管 URL 中指定的域名是什么。这会影响超文本传输协议。典型的规避方法是在 URL 中使用转义字符,或使用 VPN 和 SSL 等加密协议。
GFW 可以使用大多数操作系统和浏览器中都存在的来自 CNNIC 的根证书来进行 MITM 攻击。2013 年 1 月 26 日,GitHub 的 SSL 证书在中国被替换为自签名证书,一般认为是由 GFW 替换的。
如果先前的 TCP 连接被过滤器阻止,则来自双方的未来连接尝试也将被阻止,最长可达 30 分钟。根据阻止的位置,如果通信被路由到阻止的位置,其他用户或网站也可能被阻止。一种规避方法是忽略防火墙发送的重置数据包。
一种技术上更简单的互联网审查方法是完全切断所有路由器,无论是通过软件还是硬件(关闭机器,拔掉电缆)。在 2011 年埃及抗议活动期间的 2011 年 1 月 27/28 日,情况似乎就是这样,这在很大程度上被描述为“前所未有”的互联网封锁。大约 3500 条通往埃及网络的边界网关协议 (BGP) 路由从 2011 年 1 月 27 日协调世界时 22:10 至 22:35 被关闭。此全面封锁是在不切断主要洲际光纤线路的情况下实施的,Renesys 在 2011 年 1 月 27 日表示,“目前看来,穿过埃及的关键欧洲-亚洲光纤线路不受影响”。2007 年缅甸/缅甸、2011 年利比亚和叙利亚内战期间的叙利亚也发生了全面封锁。一种规避方法可能是使用卫星 ISP 访问互联网。
从 2011 年开始,用户报告了 VPN 服务的中断。2012 年底,防火长城能够“学习、发现和阻止”许多不同 VPN 系统使用的加密通信方法。据一家在中国拥有大量用户的公司称,中国联通(该国最大的电信提供商之一)正在终止检测到 VPN 的连接。
据报道,中国境内一些未知实体(可能具备DPI能力)已发起对美国境内计算机的未经请求的TCP/IP连接,其据称目的是进行网络服务枚举,特别是TLS/SSL和Tor服务,以方便进行IP封锁。规避方法很难,需要网络和操作系统的相关知识。可能最简单的方法是在开始时使用fail2ban。
此方法使用深度包检测来读取传输数据的內容,并将其与关键字列表或图像样本或视频(取决于内容类型)进行比较。
它存在过度封锁的严重风险(例如,基于关键字“sex”封锁所有包含“Essex”的引用;封锁与人类繁殖相关的维基百科文章或生物学文本),以及封锁不足的风险(网站运营商可以简单地避免使用已知的关键字,或使用奇怪的拼写,例如:“s3x”)。
通过扩展关键字列表来对抗封锁不足只会加剧过度封锁问题。通过复杂的关键字规则集(例如,“sex,但仅当周围有空格字符时”)来对抗过度封锁只会使网站运营商更容易规避它(例如,使用“sexuality”而不是“sexual”)。
列表处理成本低,但此方法需要巨大的计算和带宽资源,因为网络上的每个数据流都需要被检查、扫描并与关键字和样本进行比较。对于图像、视频和其他非文本媒体来说,成本尤其高。
此方法通常与静默帖子结合使用 - 它指的是那些只对发布者可见,而对其他人不可见的帖子,例如在社交服务上。
此方法使用深度包检测来读取传输数据的內容,并将其与关键字列表或图像样本或视频(取决于内容类型)进行比较。
它存在过度封锁的严重风险(例如,基于关键字“sex”封锁所有包含“Essex”的引用;封锁与人类繁殖相关的维基百科文章或生物学文本),以及封锁不足的风险(网站运营商可以简单地避免使用已知的关键字,或使用奇怪的拼写,例如:“s3x”)。
通过扩展关键字列表来对抗封锁不足只会加剧过度封锁问题。通过复杂的关键字规则集(例如,“sex,但仅当周围有空格字符时”)来对抗过度封锁只会使网站运营商更容易规避它(例如,使用“sexuality”而不是“sexual”)。
列表处理成本低,但此方法需要巨大的计算和带宽资源,因为网络上的每个数据流都需要被检查、扫描并与关键字和样本进行比较。对于图像、视频和其他非文本媒体来说,成本尤其高。
用户仍然可以通过多种方式规避封锁。
基于哈希的封锁使用深度包检测来检查数据流的內容,使用加密哈希函数对其进行哈希处理,并与已知的待封锁哈希数据库进行比较。它过度封锁的可能性较低(取决于所用哈希函数的质量),但封锁不足的可能性非常高,因为对内容的任何微小更改都会导致哈希更改,从而导致内容不被封锁。
此处的资源需求非常高,因为不仅所有数据流都需要实时检查,还需要对其进行哈希处理(哈希函数计算成本很高)并将哈希与数据库进行比较。处理哈希列表的成本也很可观。
为了在高资源、低过度封锁的基于哈希的封锁和低资源、高过度封锁的基于IP或DNS的解决方案之间进行折衷,可以提出一种混合解决方案。通常,这意味着存在一个IP地址或域名列表,为此启用了基于哈希的封锁,因此仅对一小部分内容进行操作。此方法确实使用深度包检测。
所需的资源和列表处理成本仍然相当可观,封锁不足的概率很高,而用户规避的难度与基于哈希的封锁并没有任何区别。
由于互联网审查需要深度包检测,因此一旦部署了此类系统,控制者在修改传输中的通信方面就不会有任何技术障碍。这为有意的政治家打开了更广泛的可能性之门,包括虚假旗帜行动、在反对派内部制造不和以及类似的行为。
- 一种简单的绕过方法是使用SSH隧道。
- SSL控制协议由记录协议封装意味着,如果重新协商活动会话,则控制协议将被安全地传输。如果没有先前的会话,则使用Null密码套件,这意味着在建立会话之前,不会进行加密,并且消息将没有完整性摘要。