網路安全 IT/方法
該系統透過阻止IP 地址路由來阻止內容。它包括標準防火牆和網際網路閘道器處的代理伺服器。當請求特定站點時,該系統還會選擇性地進行 DNS 欺騙。政府似乎沒有系統地審查網際網路內容,因為這在技術上似乎不可行。
網際網路審查措施的有效性永遠不會是完全的,因為有多種方法可以繞過它們(取決於給定的措施)。
過度阻斷是指某些不應被阻止的合法內容被給定的審查措施意外地阻止了。根據所選的具體方案,這可能是一個或多或少嚴重的問題,但它始終存在且不可避免。它與阻止列表有意包含某些不應正式被阻止的內容的情況無關。
類似地,阻斷不足是指官方應被阻止的內容,但意外地沒有被阻止。它不是可以透過繞過訪問的內容,而僅僅是無需使用任何特殊技術即可訪問的內容,這些內容“從特定審查方案的手指間溜走”。
所需資源(裝置、處理能力、頻寬)以及處理被阻止內容列表的成本也因審查方案而異,並取決於使用的方法。
一種方法是否採用深度包檢測 (DPI)表明了它的侵入性和資源密集程度。
| 方法 | 過度阻斷風險 | 阻斷不足風險 | 所需資源 | 服務費用清單 | 繞過 | DPI |
|---|---|---|---|---|---|---|
| IP 阻斷 | 高 | 中 | 低 | 中 | 非常容易 | 否 |
| DNS 欺騙/DNS 快取中毒 | 高 | 中 | 低 | 中 | 非常容易 | 否 |
| URL 過濾 | 低 | 高 | 中 | 高 | 中等需求 | 是 |
| QoS 過濾 | 中 | 中 | 高 | 高 | 難 | 是 |
| 中間人攻擊 | 高 | 高 | 中 | 非常高 | 需要加密連線 | 是 |
| TCP 連線重置 | 高 | 中 | 中 | 中 | 需要加密連線 | 是 |
| 網路斷開連線 | 非常高 | 非常高 | 中 | 無 | 需要衛星連線。另請參閱網際網路替代方案:分組無線電 和 Mesh 網路 | 否 |
| VPN 阻斷 | 高 | 中 | 低 | 中 | 大多數伺服器僅供付費使用 | 是 |
| 網路列舉 | 低 | 低 | 非常高 | 高 | 難 | 是 |
| 關鍵詞 | 高 | 高 | 非常高 | 低 | 中等需求 | 是 |
| 雜湊 | 低 | 高 | 非常高 | 高 | 中等需求 | 是 |
| 動態(例如,影像識別) | 高 | 高 | 非常高 | 低 | 中等需求 | 是 |
| 混合(例如,基於 IP 地址 + 雜湊) | 低 | 高 | 中 | 高 | 中等需求 | 是 |
拒絕訪問特定 IP 地址。如果目標網站託管在共享主機伺服器中,則同一伺服器上的所有網站都將被阻止。這會影響所有 IP 協議(主要是 TCP),例如 HTTP、FTP 或 POP。一種典型的規避方法是查詢可以訪問目標網站的代理,但代理可能會被幹擾或阻止。一些大型網站分配了額外的 IP 地址(例如,IPv6 地址)來規避阻止,但稍後阻止可能會擴充套件到覆蓋新地址。
DNS 無法解析域名或返回錯誤的 IP 地址。這會影響所有 IP 協議,例如 HTTP、FTP 或 POP。一種典型的規避方法是查詢可以正確解析域名的域名伺服器,但域名伺服器也可能受到阻止,特別是 IP 阻止。另一種解決方法是在可以從其他來源獲取 IP 地址且未被阻止的情況下繞過 DNS。例如,修改Hosts 檔案或在 Web 瀏覽器中鍵入 IP 地址而不是域名。
- 最簡單的方法是更改 DNS 提供商,最好使用 DNSSEC。但是,應該記住,僅使用安全的 DNS 伺服器,而不使用應用程式級別的加密,仍然允許您執行中毒攻擊。
- 使用隨機埠
掃描請求的 URL 字串以查詢目標關鍵詞,而不管 URL 中指定的域名是什麼。這會影響超文字傳輸協議。典型的規避方法是在 URL 中使用跳脫字元,或使用 VPN 和 SSL 等加密協議。
GFW 可以使用大多數作業系統和瀏覽器中都存在的來自 CNNIC 的根證書來進行 MITM 攻擊。2013 年 1 月 26 日,GitHub 的 SSL 證書在中國被替換為自簽名證書,一般認為是由 GFW 替換的。
如果先前的 TCP 連線被過濾器阻止,則來自雙方的未來連線嘗試也將被阻止,最長可達 30 分鐘。根據阻止的位置,如果通訊被路由到阻止的位置,其他使用者或網站也可能被阻止。一種規避方法是忽略防火牆傳送的重置資料包。
一種技術上更簡單的網際網路審查方法是完全切斷所有路由器,無論是透過軟體還是硬體(關閉機器,拔掉電纜)。在 2011 年埃及抗議活動期間的 2011 年 1 月 27/28 日,情況似乎就是這樣,這在很大程度上被描述為“前所未有”的網際網路封鎖。大約 3500 條通往埃及網路的邊界閘道器協議 (BGP) 路由從 2011 年 1 月 27 日協調世界時 22:10 至 22:35 被關閉。此全面封鎖是在不切斷主要洲際光纖線路的情況下實施的,Renesys 在 2011 年 1 月 27 日表示,“目前看來,穿過埃及的關鍵歐洲-亞洲光纖線路不受影響”。2007 年緬甸/緬甸、2011 年利比亞和敘利亞內戰期間的敘利亞也發生了全面封鎖。一種規避方法可能是使用衛星 ISP 訪問網際網路。
從 2011 年開始,使用者報告了 VPN 服務的中斷。2012 年底,防火長城能夠“學習、發現和阻止”許多不同 VPN 系統使用的加密通訊方法。據一家在中國擁有大量使用者的公司稱,中國聯通(該國最大的電信提供商之一)正在終止檢測到 VPN 的連線。
據報道,中國境內一些未知實體(可能具備DPI能力)已發起對美國境內計算機的未經請求的TCP/IP連線,其據稱目的是進行網路服務列舉,特別是TLS/SSL和Tor服務,以方便進行IP封鎖。規避方法很難,需要網路和作業系統的相關知識。可能最簡單的方法是在開始時使用fail2ban。
此方法使用深度包檢測來讀取傳輸資料的內容,並將其與關鍵字列表或影像樣本或影片(取決於內容型別)進行比較。
它存在過度封鎖的嚴重風險(例如,基於關鍵字“sex”封鎖所有包含“Essex”的引用;封鎖與人類繁殖相關的維基百科文章或生物學文字),以及封鎖不足的風險(網站運營商可以簡單地避免使用已知的關鍵字,或使用奇怪的拼寫,例如:“s3x”)。
透過擴充套件關鍵字列表來對抗封鎖不足只會加劇過度封鎖問題。透過複雜的關鍵字規則集(例如,“sex,但僅當週圍有空格字元時”)來對抗過度封鎖只會使網站運營商更容易規避它(例如,使用“sexuality”而不是“sexual”)。
列表處理成本低,但此方法需要巨大的計算和頻寬資源,因為網路上的每個資料流都需要被檢查、掃描並與關鍵字和樣本進行比較。對於影像、影片和其他非文字媒體來說,成本尤其高。
此方法通常與靜默帖子結合使用 - 它指的是那些只對釋出者可見,而對其他人不可見的帖子,例如在社交服務上。
此方法使用深度包檢測來讀取傳輸資料的內容,並將其與關鍵字列表或影像樣本或影片(取決於內容型別)進行比較。
它存在過度封鎖的嚴重風險(例如,基於關鍵字“sex”封鎖所有包含“Essex”的引用;封鎖與人類繁殖相關的維基百科文章或生物學文字),以及封鎖不足的風險(網站運營商可以簡單地避免使用已知的關鍵字,或使用奇怪的拼寫,例如:“s3x”)。
透過擴充套件關鍵字列表來對抗封鎖不足只會加劇過度封鎖問題。透過複雜的關鍵字規則集(例如,“sex,但僅當週圍有空格字元時”)來對抗過度封鎖只會使網站運營商更容易規避它(例如,使用“sexuality”而不是“sexual”)。
列表處理成本低,但此方法需要巨大的計算和頻寬資源,因為網路上的每個資料流都需要被檢查、掃描並與關鍵字和樣本進行比較。對於影像、影片和其他非文字媒體來說,成本尤其高。
使用者仍然可以透過多種方式規避封鎖。
基於雜湊的封鎖使用深度包檢測來檢查資料流的內容,使用加密雜湊函式對其進行雜湊處理,並與已知的待封鎖雜湊資料庫進行比較。它過度封鎖的可能性較低(取決於所用雜湊函式的質量),但封鎖不足的可能性非常高,因為對內容的任何微小更改都會導致雜湊更改,從而導致內容不被封鎖。
此處的資源需求非常高,因為不僅所有資料流都需要即時檢查,還需要對其進行雜湊處理(雜湊函式計算成本很高)並將雜湊與資料庫進行比較。處理雜湊列表的成本也很可觀。
為了在高資源、低過度封鎖的基於雜湊的封鎖和低資源、高過度封鎖的基於IP或DNS的解決方案之間進行折衷,可以提出一種混合解決方案。通常,這意味著存在一個IP地址或域名列表,為此啟用了基於雜湊的封鎖,因此僅對一小部分內容進行操作。此方法確實使用深度包檢測。
所需的資源和列表處理成本仍然相當可觀,封鎖不足的機率很高,而使用者規避的難度與基於雜湊的封鎖並沒有任何區別。
由於網際網路審查需要深度包檢測,因此一旦部署了此類系統,控制者在修改傳輸中的通訊方面就不會有任何技術障礙。這為有意的政治家打開了更廣泛的可能性之門,包括虛假旗幟行動、在反對派內部製造不和以及類似的行為。
- 一種簡單的繞過方法是使用SSH隧道。
- SSL控制協議由記錄協議封裝意味著,如果重新協商活動會話,則控制協議將被安全地傳輸。如果沒有先前的會話,則使用Null密碼套件,這意味著在建立會話之前,不會進行加密,並且訊息將沒有完整性摘要。