机场翻墙

理查德-克莱顿将发表一篇论文 (博文),讨论了如何攻破中国的国家防火墙:

......关键词检测实际上不是在中国网络边界的大型路由器上进行的,而是在附近的附属机器上进行的。 当这些机器检测到关键字时,它们实际上并不阻止包含关键字的数据包通过主路由器(要实现这一点并使路由器以必要的速度运行将非常复杂)。 相反,这些附属设备会生成一系列 TCP 重置数据包,发送到连接的每一端。 当重置到达时,端点会认为这是另一端关闭连接的真实请求,并服从。 审查就这样发生了。

但是,由于原始数据包会毫发无损地通过防火墙,如果两个端点都完全忽略防火墙的重置数据包,那么连接就会畅通无阻! 我们在这方面做了一些实际实验--效果很好 把它想象成《哈利-波特》中对付大防火墙的方法--闭上眼睛,走上 9¾ 号站台。

通过应用简单的防火墙规则,忽略重置是很容易实现的......而且对正常工作没有重大影响。 如果你想更聪明一点,可以检查重置数据包中的跳数(TTL),确定其值是否与从远端到达的值一致,或者该值是否表明它们来自中间的审查设备。 我们认为,在考虑利用重置数据包防御拒绝服务攻击时,对 TTL 值进行检查有很多值得称道之处。 让操作系统供应商将这一新功能作为标准配置也会很实用,因为中国公民不需要运行专门的防火墙破坏代码(当局可能会试图取缔),而只需要运行现成的软件(当局必然会容忍)。

标签:, , , ,

发表于 2006 年 6 月 27 日下午 1:1394条评论

机场翻墙

帕特-卡哈兰none

真聪明

none

"什么真相?"

"没有墙"

马克-格里特2006 年 6 月 27 日下午 2:28

用正确的跳数注入重置数据包当然是可行的;如果您嗅探的是双向的 TCP 数据包,那么您已经掌握了所需的全部信息。 (也就是说,你只需将 IP TTL 字段设置为与你观察到的数据包中相同的值)。

蒂姆-维尔2006 年 6 月 27 日下午 2:45

@Mark

其实,查找关键字并不需要任何 "状态 "信息或任何连接跟踪。 跟踪所观察到的数据包的 ttl 字段需要更多的状态信息。 对于处理大量流量的路由器来说,这可能是一个开销。

我也是这么想的......除非有人能找到更无状态的方法。

尤尔根2006 年 6 月 27 日下午 3:21

那么,当 RST 数据包被丢弃时,连接是如何终止的? 如果是这样,这不就意味着狙击路由器只需发送两个数据包,一个是 FIN,另一个是 RST 数据包?

尤尔根

尼古拉斯-韦弗2006 年 6 月 27 日下午 3:21

要知道,他们可以做得更好:

为前往受质疑主机的 /32 注入路由。 现在完全通过 IDS 手动路由数据包,并开始丢弃/修改流量。

过一会儿,撤销注入的路由。

Casey2006 年 6 月 27 日下午 3:32

这是一个非常有趣的发现,但我认为其实用性仍有局限。

"这些补贴机器会生成一系列 TCP 重置数据包,发送到连接的每一端"

none

none2006 年 6 月 27 日下午 3:38

更重要的是,它需要端点双方都存在(RST 无疑是双向发送的)。

因此,如果同时控制两个端点,就能更巧妙地规避防火墙。

马丁-埃斯皮诺萨2006 年 6 月 27 日下午 3:48

路由更新不仅可能太慢,而且你能想象路由表的大小吗? 我不知道他们一天要执行多少次封堵,但互联网连接的人口只会越来越多。

尼古拉斯-韦弗2006 年 6 月 27 日下午 3:56

一个有趣的后续。 作者假设系统是无状态的,但没有证明这一点。

应该有人进行后续测试,在多个 TCP 数据包或 IP 片段之间分片处理请求,看看是否会触发防火墙。

none

乔纳森-路易none

别忘了,中国政府可以查看这些会话的日志。 如果你持续触发他们的审查,你可能会被当局访问。 这是一个有趣的发现,但距离真正的言论自由还有很长的路要走。

none2006 年 6 月 27 日 下午 4:17

是的,但你必须牢记,没有什么能结束攻方和守方之间持续不断的来来回回,这才是真正的问题所在。 说 "哦,但他们可以想出别的办法 "并不是重点。 问题的关键在于,在攻击树的领域,你只是增加了中国攻击你的连通性的成本。 他们可以采取更多措施来抵制你的行动,但这意味着他们要付出更多的努力。

Jungsonn2006 年 6 月 27 日下午 4:30

对不起,但他们如何过滤通过 ssl 连接发送的 tcp 数据包中的关键字,而用户可以在 ssl 连接上冲浪,或仅仅通过 1,95\$ shell,使用远程网络服务器(如在美国)?

none

灰色领域2006 年 6 月 27 日 下午 4:38

我想知道这对 Websense 等产品是否也有效。 我知道,在 Websense 与 PIX 防火墙连接的情况下,网络客户端的原始出站数据包仍会被防火墙通过,而返回的数据包则是允许的。 只是由于 Websense 执行点位于本地网络中,因此它可以在外部世界返回数据包之前向你发送被阻止的 html 页面。 如果你阻止了从 Websense 执行点发送 "此页面被阻止 "html 的流量,你还能在任何地方上网吗? 我可能需要做一些实验。 如果 Websense 在代理服务器上运行,它可能无法与代理服务器一起工作,但如果没有,也有可能。

史蒂夫2006 年 6 月 27 日 下午 4:49

大约四五年前,我在中国。 当时你无法访问 cnn.com 等网站。 我找到了一个匿名代理 "https",访问任何网站都不成问题。 我知道这只包括网络服务器访问,但绕过他们的防火墙简直易如反掌,任何想访问的人都能在 5 分钟内完成。

比尔-斯图尔特2006 年 6 月 27 日 下午 4:50

因此,Falun-Gong.com 和 Free-Tibet.org 需要忽略来自中国的 RST 数据包 - 它们不会介意。 另一方面,让非中国特定网站忽略这些数据包则比较困难。

SSL 并不能保护你免受一切影响--如果你正在查看,
防火墙仍能通过标题知道您正在浏览的网站,并能阻止它,而无需查看内容。

宁愿匿名 :(2006 年 6 月 27 日 下午 4:55

我认为美国互联网服务提供商也可能发送重置信息,以终止一些 p2p 文件共享连接。
我在纽约州与一个使用商业有线互联网服务提供商的人进行连接时目睹了这种情况。 他的终端会莫名其妙地出现重置,因为重置不是由正在使用的程序发送的。 中国人可能希望审查特定网站。 美国互联网公司会对其线路上检测到的协议进行审查。

罗曼-瓦特尔2006 年 6 月 27 日 下午 4:57

我认为,对于嗅探流量/注入 RST 数据包的路由器来说,只需查看 TCP 序列号,就能发现 RST 数据包已被忽略,TCP 会话实际上并未停止。

换句话说,我倾向于认为,是的,你可以绕过防火墙,但你可以预料到不久之后会有当局来访!

罗曼

phessler2006 年 6 月 27 日下午 5:25

我很惊讶这居然能成功。 我认为这是一个至少可以被利用到 DOS(如果不是更高)的漏洞。 操作系统应该对此加以防范(类似于数据包注入)。

当然,如果我误解了 RST 的处理方式,请忽略以上内容;)。

内森none

@Jungson

none

这就像给别人一张地图,然后 "伪造 "他们要去的地址--他们最终会去错地方。

AGnone

问题:
互联网服务提供商(国内或其他)在您的数据流中插入自己的数据包 "终端传输数据包 "是否违法?

原因是什么? 他们没有关闭 "他们的 "连接,而是影响了您的硬件。

例如: 他们关闭自己设备上的连接是合法的,但他们不想这么做,因为你会打开另一个连接。 相反,他们在你的硬件上关闭连接......在我看来,这听起来是非法的。

[思]龙2006 年 6 月 27 日下午 5:32

"SSL并不能保护你免受一切影响--如果你正在查看,
防火墙仍能通过标题知道你正在浏览的网站,并能阻止它,而无需查看内容"。

不正确。 安全套接字层首先与远程系统建立加密会话,然后请求资源。 这一点至关重要,因为请求的数据几乎总是与数据本身一样敏感。 (顺便提一下,这也是网络服务器不能在同一地址提供支持 SSL 的虚拟主机的原因。 连接是在 HTTP 请求通过之前启动的)。

2006 年 6 月 27 日 下午 5:39

你的意思是,我可以伪造任何地址的数据包,然后发送重置到 cnn.com,而我假扮的那个人从此就不能访问 cnn 了? 这听起来就像是一场等待发生的灾难。

D2006 年 6 月 27 日 下午 5:49

[Si]龙说得没错,这正是不能在同一个虚拟主机上安装多个 SSL 证书的原因。 初始请求来自 IP 地址,然后在加密开始后,发送特定于主机的请求。

当然,他们也可以根据 IP 地址进行审查......

Jungsonn2006 年 6 月 27 日 下午 5:52

@nathan、

请指教...

虽然我更喜欢在国外服务器上使用 shellaccess,但这两种情况都能打败系统,而且不需要太科学。

人们可以使用这些系统(SSL、Shell)进行学习,但要将论文中的 TCP 数据包理论付诸实践,需要不同类型的人才和技能

人民共和国,现在我们知道了 😉

理查德-克莱顿2006 年 6 月 27 日 下午 5:57

我注意到关于缺乏 "状态 "的评论。 的确(我是这篇论文的作者之一),我们还没有证明不存在 "状态"[这确实很难],但所有的证据都表明了这一点。

不过,我还是要提醒大家,不要以为使用碎片数据包进行测试就能证明这一点,因为所使用的设备(来自 IDS 环境)是专门为处理这些情况而设计的。

总之,具有 "状态 "的防火墙系统在拦截方面的工作要复杂得多!例如,它可以轻松获得正确的 TTL 值。

我们承认加密也能规避关键字拦截。 但是,加密本身也是可以拦截的(通过评估通过防火墙的数据包的熵值来拦截),所以它并不是万能的。 我们还评论说(见论文),由于防火墙可以记录一切,因此这可能会对当局处理您的案件的方法产生影响,以确保他们可以看到您真正在做什么。 这可能会让你更少(或更多)成为目标。 这个 "游戏 "不止一个回合!

能起作用的是供应商改变其 TCP/IP 协议栈,使防火墙的 "攻击""开箱即用"。 如果代码是 "标准 "的,当局就很难 "杀一儆百 "那些躲避防火墙的人。

基莱2006 年 6 月 27 日 下午 5:59

回复 [思]龙
"不正确。 安全套接字层首先与远程系统建立加密会话,然后请求资源。 这一点至关重要,因为请求的数据几乎总是与数据本身一样敏感。 (顺便提一下,这也是网络服务器不能在同一地址提供支持 SSL 的虚拟主机的原因。 连接是在 HTTP 请求通过之前启动的)"。

实际上,攻击者可以正是因为这个原因,你才能知道你正在浏览的是哪个网站(尽管不知道网站中的哪个文档)。 如你所说,在发送 HTTP 标头之前,SSL 连接已经协商好了......这包括服务器发送(未加密)证书,该证书将其标识为 censored.example.com。

none2006 年 6 月 27 日 下午 7:47

none可以正是因为这个原因,你才能知道你正在浏览的是哪个网站(尽管不知道网站中的哪个文档)。 正如你所说的,在发送 HTTP 标头之前,SSL 连接是经过协商的......其中包括服务器发送(未加密)证书,该证书将其标识为 censored.example.com,例如"。

但是部分可以肯定是 "错误的"。 接收浏览器会发出警告(证书显示您正在访问 blahblah.com,但您输入的是 foobar.com。 你还想继续吗?),但流量仍然可以正常加密。 防火墙唯一 "知道 "的是端点地址和端口。

阿德瓦德2006 年 6 月 27 日 9:36 下午

我住在中国,是的,他们根据 IP 进行封锁。 因此,https 并没有帮助。 长城防火墙规模庞大,非常恼人。 当我想阅读维基百科或 Blogspot 上的内容时,我就使用 tor+privoxy 浏览器。 它可以工作,但速度真的很慢。

none2006 年 6 月 27 日 10:50 下午

你好、

我是不是漏掉了什么? VPN 怎么样?
不久前,我在自己的电脑和一台我有 shell 账户的机器之间创建了一个隧道。 这条隧道是加密的。 我的电脑将其视为一个网络接口,它是我的默认路由。
none

中国政府会知道您与另一台主机之间的(加密)流量。 没有了。

nonenone

唯一的问题是,它的安装和使用确实需要一些技巧。 要到什么时候,防火墙才会被轻易拆除?

Merc.

none2006 年 6 月 27 日 10:50 下午

你好、

我是不是漏掉了什么? VPN 怎么样?
不久前,我在自己的电脑和一台我有 shell 账户的机器之间创建了一个隧道。 这条隧道是加密的。 我的电脑将其视为一个网络接口,它是我的默认路由。
none

中国政府会知道您与另一台主机之间的(加密)流量。 没有了。

nonenone

唯一的问题是,它的安装和使用确实需要一些技巧。 要到什么时候,防火墙才会被轻易拆除?

Merc.

Aminorex2006 年 6 月 28 日 上午 12:17

事实上,私人 VPN 在中国是非法的;
您必须注册您的 VPN,同时
与解密密钥一起交给政府。

事实上,那是大不列颠。 中国则不然。

是的,绕过 GFW 一直都是轻而易举的事、
不,警察不会去找人
使用 STARTTLS 的人。 但大多数人无法做到
小事。 这是一个事关公共安全的问题、
也是一个信息控制问题、
和琐碎的措施足以使绝大多数
none
这就足够了。

Gordonjcpnone

事实上,私人 VPN 在中国是非法的;
您必须注册您的 VPN,同时
与解密密钥一起交给政府。

事实上,那是大不列颠。 中国则不然。

none

Jesrad2006 年 6 月 28 日 上午 4:24

none

网络服务器只需在回程时做同样的处理即可。 我认为中国实际上无法为每个打开的连接保留连接序列,并检查连续的片段是否与过滤器匹配。

Jesrad2006 年 6 月 28 日 上午 4:45

此外,只要认识 GFW 另一端可靠、可访问的主机,就能轻松确定过滤器的标准。

事实上,每当旁路软件检测到某个连接接收到假的 RST 数据包时,它就会实时更新标准列表。

漫步者2006 年 6 月 28 日 上午 6:51

@neo:

none

你需要知道他们的 TCP 序列号--如果你在他们的本地网络或路由上有一个嗅探器,这很容易,否则就很难。 更妙的是,你可以重置客户端,然后将其欺骗给服务器;这就是所谓的 TCP 会话劫持。 从前,当这种数字比较容易猜测时,这种攻击就比较常见了。 这就是设计合理的现代操作系统生成难以猜测的序列号的原因。

RonK2006 年 6 月 28 日 上午 6:59

@ 理查德-克莱顿

......加密本身也是可以阻止的(通过评估数据包的熵......

这不也需要阻止所有压缩流量吗? 我不相信非状态过滤器能可靠地区分它们。

none

RonK2006 年 6 月 28 日 上午 7:07

我在上一篇文章中提到的 "比他们在经济上所能支配的 "可能有点过于乐观了。 特别是如果(也许是出于其他原因)某人的通信受到了个人审查。

RonKnone

我在上一篇文章中提到的 "比他们在经济上所能支配的 "可能有点过于乐观了。 特别是如果(也许是出于其他原因)某人的通信受到了个人审查。

凯瑟琳2006 年 6 月 28 日 上午 9:40

加密是个好主意,但至少在 18 个月前,中国政府还不允许加密数据包出境。 我知道这一点,因为我曾在一家为中国员工提供电子邮件服务的公司担任顾问,为了让他们能够访问系统,我们不得不禁用加密要求。

none

@richard @Gordonjcp @RIP
英国《调查权力条例》(2000 年)规定
none
规定当局有权要求提供解密密钥,如果拒不提供,将被判处 2 年监禁(除非你能证明,否则 "忘记 "不是借口)。 他们还有权阻止你透露你已经提供了密钥。

至少我们不用担心他们不会经常使用它(哦,我有没有提到过它的使用可以保密)。
none

Chode2006 年 6 月 28 日下午 2:02

让我们不要忘记 freenet。 0.7 版一旦更加稳定,将有助于结束疯狂。

none

哦,还有通过 ICMP 进行的数据传输,比如 icmp-shell。

在中国建立分销中心也行得通。 通过多条路线将流量输送到多个地点,然后汇总,再从内部分发。

none

反向代理如何? 中国允许 SSH/SSL 登录吗? 可以使用端口锁定或更简单的方法,如网络界面......

不如把廉价的接入点运到中国,或者说服他们中的一些人购买一些接入点,然后让他们设置禁用 SSID 的流氓接入点,并通过后门方法路由这些接入点。 这样,普通人就可以不受限制地上网了。 这项艰巨的工作将由中国技术人员完成。 我知道....,他们会用卫星或高空飞机轰炸中国,以中断接入点......

最后的努力是打入电影演员工会.... nm

Toobs2006 年 6 月 28 日 下午 6:39

从商业角度看,中国政府禁止或过滤 VPN 并不是一个明智之举,因为许多像我这样的海外买家在中国旅行时都需要能够连接回办公室。
none

Jungsonn2006 年 6 月 29 日 上午 10:31

@ adevadeh 说:

"我住在中国,是的,他们通过 IP 进行封锁。 因此,https 没有任何帮助。 长城防火墙规模庞大,非常恼人。 当我想阅读维基百科或 Blogspot 上的内容时,我就使用 tor+privoxy 浏览器。 它可以工作,但速度真的很慢"。

我无法想象他们屏蔽了所有使用 ssl 的 IP,因为这根本不可能。

因此,最简单的方法就是在美国或某个阴暗的东欧国家的服务器上开设一个外壳账户,然后就可以通过该服务器上网了。

我对他们 "过滤 "哪些关键词很感兴趣,因为这样一来,有些人就可以采取反措施,在 httpstream 中把这些词替换成中国词,从而击败这个奇怪的系统,扰乱他们的过滤器,并且有一个软件可以解码被替换的词,从而绕过过滤器。

这似乎是一个很好的自由运营项目。

彭富兰2006 年 7 月 1 日 下午 8:36

我有一个 https 网站,它的 IP 每小时都要强制更换,SSL 证书每天都要更换。 如果我有一个秘密域名,他们就永远无法阻止它。 大家说对不对? 事实上,所有家用电脑的 IP 都是动态的,如果每个人都在自己的家用电脑上安装一个 SSL 网站,然后私下把域名告诉某个中国人,我想共产党是不可能封锁它的。 我们有一套完整的系统可以打破中共的封锁。 请访问我们的网站

none2006 年 7 月 2 日 上午 10:34

我住在上海,加密流量没有问题。 OpenVPN、SSH、HTTPS 都能正常运行(也有例外)。 人们可以毫无问题地办理银行业务(花旗银行除外--天知道为什么偏偏是他们!)。

TCP 重置似乎是本月的主题--它影响了大量的国际流量,而且是他们在最近上海会议召开前几周在本地增加的内容。

通常你会知道什么时候会有重要人物来访,因为封锁会神奇地消失一周,这样来访的记者就不用再写一篇关于 "邪恶 "防火墙的文章了。

none

none

有人打算列出一份淘气路由器的名单吗?

直升机none

对不起,我的意思是 "PWEASE",就像小鸟说的那样......不是嘲笑中国口音......

ThirdRpckPhoto2006 年 7 月 3 日 12:45 下午

对于中国的普通网络冲浪者来说,这几乎是无用的技术废话。 为什么就没有人开发出一种用户可安装、易于配置的应用程序(独立于平台将是额外的奖励),来打开防火墙上的一个洞呢?

call2biz.gxs2006 年 7 月 18 日 下午 8:14


在Call2biz.com上开店是您最明智的选择之一,我敢打赌,您的热销商品很快就会被抢购一空。 有了它的保护系统,您的商业利益将免受那些商业骗局的侵害,您和我一样想知道在哪里开始在Call2biz.com上的生意,Call2biz.com是您所需的详细信息的来源。 我们将帮助您营销您的产品,不收取任何费用! 您将在Call2biz.com上节省高达100%的费用,赚取更多的轻松钱。您只需在家中拥有一台电脑和一部电话,就可以在成功的同时,享受这种轻松的网上赚钱体验。 在家创业将从 Call2biz.com 开始。

内幕2006 年 12 月 7 日 10:13 下午

none
我认为,90% 告诉你中国如何 "工作 "的人,要么对计算机技术知之甚少,要么是在胡编乱造。

住在这里的人可以告诉你,劳伦斯-希德似乎是唯一一个也这样做的人。
我可以百分之百地支持他的帖子。
感谢作者撰写这篇文章。 这篇文章帮助很大。

bqnone

none

我也遇到了同样的问题。 我在东莞,使用的是中国电信 VNET,它为中国网站提供 2M 的速度。 访问美国网站的速度慢得令人发指。 你们有没有什么办法让访问速度更快一些。 非常感谢任何建议。 我已经走投无路了。

磨坊2007 年 6 月 26 日 上午 5:00

这很聪明,但我用我奶奶的电脑做得更好--7 MB 内存和 1 MB RAM,虽然很糟糕,但比布鲁斯的 !!!!! 好!

李博士none

有谁知道如何快速、方便地绕过学校的网络安全系统,因为我不擅长使用电脑。millsy340@hotmail.co.uk

none2007 年 7 月 16 日 9:29 下午

今年又是这样,唉。

似乎总是与政府会议联系在一起。

我们与中国电信的联系人进行了讨论,他们声称没有任何问题。 不过,非官方的讨论称,正如我们所预期的那样,会议结束后这一问题可能会得到解决。

参考文献:
(中文)
none

(英文翻译)
node%2F113&langpair=zh%7Cen&hl=en&ie=UTF8
none
.cn.exchangeserver/37002

BJ2007 年 11 月 17 日上午 11:01

现在,这种情况仍在甘肃省的 DSL 线路上发生。

许多连接被重置,包括我的私人网络邮件服务器的 SSL 连接被随机重置(以至于无法使用)。

SSH 隧道(连接到同一服务器)正在运行。

BJ

康奈利-巴恩斯2008 年 6 月 23 日下午 3:33

我发现大多数西方人在谴责中国审查制度时的虚伪令人作呕。 他们谴责审查制度,然后转过身来支持版权法,指责人们在艺术家试图通过互联网表达自己的自由时不支付报酬。 美国几乎什么都审查,我从来不认为它是一个自由的国家。 这只是国家主义的另一种变体:为了更大的利益,你不能说你想说的话。

JR2010 年 4 月 26 日 上午 2:36

当美国人生活在与中国人相同的境况中时,你就会知道,因为你们中的一方会被流放到夏威夷,而同情他们和有任何言论自由的人都会死掉或被关进监狱,而且忘掉任何形式的工会、福利,甚至不知道你买的头痛片是真的还是假的。 不要再抱怨 "版权法 "了,当人们因为试图行使言论自由的权利而被摘取器官时,这种权利只赋予政府官员,而不是社会上的普通人。

DypeTypejesnone

none投票对象因此,我光秃秃地在议会选举中挑起了一个明白人的附庸风雅。 我是罗兹市议员候选人中的一员。市议员候选人 &#322&#243d&#378). 多年来,他积极参加了无数的协会,这些协会在我们的城市中有着非凡的影响力。 我在协会中积极工作,帮助残疾人。 由于我的参与,各种人可以实现他们的梦想,如获得跟踪和满意的生活。 要有自信,我们的弱点不应成为不可逾越的障碍。 我的不偏不倚是导致这悸动急躁撤离我们的城市地区未受破坏和结束的不幸的撤退作为我们的孩子,我们折磨概述不安的。

罗恩none

我用它绕过了中国的 GFW:
none

这是一项 OpenVPN 服务。

机场翻墙

登录

机场翻墙

允许的 HTML <a href="URL"> • <em> <cite> <i> • <strong> <b> • <sub> <sup> • <ul> <ol> <li> • <blockquote> <pre> none通过

布鲁斯-施奈尔的侧边栏照片由乔-麦金尼斯(Joe MacInnis)拍摄。

[an error occurred while processing the directive]
[an error occurred while processing the directive] vpn用什么好ip地址代理ysscloud加速器加速器使用方法shadow加速器
国内好用的翻墙pc端翻墙pinterest翻墙安装翻墙免费软件翻墙apk翻墙破解版机场翻墙电脑 翻墙翻墙攻略无界翻墙翻墙苹果西游翻墙怎么购买mac好用的翻墙蜜蜂翻墙翻墙破解自由动态网翻墙手机版翻墙安卓小米手机翻墙小米自带翻墙