web-dev-qa-db-ja.com

暗号化されたトラフィックがブロックされているときに、中国の大ファイアウォールをバイパスするにはどうすればよいですか?

中国の大ファイアウォールは政府によって管理されており、未承認の暗号化トラフィックをブロックする「学習アルゴリズム」を導入しています。ファイアウォールを介して暗号化されたトラフィックを取得する唯一の方法は、政府から承認を得ることです。

詳細はここにリンクがあります

これを回避するために、すでにどのようなアプローチがありますか?

これを回避できる理論的なアプローチはありますか?

encryptionfirewallsvpn
12
ponsfonze

低帯域幅のサイドチャネルを使用する場合があります。たとえば、写真を提供するサイトを設定し、そのサイトに「サムネイルウォール」を表示することができます。 HTTPプロトコルでは、これらのサムネイルを任意の順序でリクエストできます。つまり、20枚の写真を使用して、最大20枚をエンコードできます。 (つまり、約60ビット)要求スキームで。計算的に実行不可能な統計分析、要求順序のランダム化によるプロキシ、またはもちろんHUMINTを除いて、このようなスキームを検出またはブロックする方法はありません。

より簡単に検出できるスキームは、より広い帯域幅で、ETagおよびProxyヘッダーの情報をエンコードできます。

次に、より多くのクロークアンドダガー方式を試すことができます。たとえば、信頼できる(政府による)ホストに対して、偽の送信元アドレスでICMPパケットをバウンスできます。この種の悪意のあるアクティビティは明らかに(まだ)危険であるとは見なされておらず、ファイアウォールで保護された複数のホストがICMPパケットを見かけのソースに向けて快く跳ね返り、それによりファイアウォールを貫通します。

また、信じられないことに、中国の大ファイアウォールはスパムを気にしていないようです。多くの場合、かさばる画像が含まれ、中国から世界中に届く大量の迷惑な商用メールに驚かれることでしょう。おそらく、ポート25/tcpへの十分に非対称トラフィックは、中国の犯罪者の存在の兆候と見なされ、ファイアウォールには他の優先順位があります。広東のスパマーのおかげで、最大1 Kb暗号化され、圧縮され、base64でエンコードされたエラーメッセージを送信しても何の効果もないことを確認できます。また、着信接続はさらにリレーを要求し続けます。このチャネルは、約64 kbitの双方向通信が可能なようです。

これにはすべて、Haystackと同様に、VPNトラフィックをさまざまなプロトコルにカプセル化する必要があります。他のソリューションが存在します-例えば FreeGate -しかし、もちろんそれらが広く知られているほど、ゴールデンシールドはそれらをバストする(試行する)のが速くなります。ファイアウォールを無効にすることを目的としたより単純な戦略は、ワンタイムパッドを使用して既存のプロトコルを難読化し、急速に変化する外部エンドポイントを提供すること(ウルトラサーフユーティリティが行ったもの)、さらに、 GFCの人々は修正を思いつくことができます。

ただし、GFCは「ブラックリスト」操作から「ホワイトリスト」操作に切り替わるリスクがあります。最初にトラフィックを管理可能なサイズに減らし、次にreroutingではなく積極的にrewritingします。すべての既知のプロトコル。強力な文法チェックと異常検出を実施します。たとえば、不一致のGFC生成証明書を受け入れて中間のSSL復号化を許可しない限り、HTTPSとTLSを拒否します(「非表示にするものがない限り」、これは「責任ある市民を制限しない」と主張します)。それ以外の場合は、完全に理解できないすべてのパケットを拒否します。これは多かれ少なかれAi Weiweiの発言に対する答えですインターネットを制御する唯一の方法はそれをシャットダウンすることです。そして、答えは「それでは、それをどうするか」です。

11
LSerni

Steganography は、まさにそのようなシナリオのために設計されました。より広義には、敵対的な環境での説明されていない活動の危険に人々が対処するのに役立つ もっともらしい拒否可能性 の概念を探します。

もちろん、中国のシナリオでは、中国の抑圧されたネットワークとのステガノグラフィ対応通信をサポートするために、専用サービスを外界に確立する必要があります。とはいえ、通常、コミュニケーションの自由の価値を支持するボランティアの人々がたくさんいるので、問題だとは思いません。

4
Van Jone

私は実際にごく最近それをしなければならなかった。北京には、米国のオフィスと安全に(主にログと監査データを送信するために)通信できるサーバーのセットがあります。他のすべての地理位置情報ではopenvpnを使用していますが、openvpnハンドシェイクには明確な兆候があるため、openvpnトラフィックが中国で急速に認識されてブロックされることがすぐにわかりました。

これに対するややばかげた解決策は openvpnトラフィックをstunnelにラップする です。動作しており、ブロックされていないことが確認できました。中国からのすべての接続のレイテンシに加えて、tcp over tcp over opencpnのレイテンシを再度追加し、2回暗号化しますが、少なくともまったく機能しないため、これは明らかに優れたソリューションではありません。 。

3
mricon

この「学習アルゴリズム」はおそらく、GFCが最初にmightがVPNまたはTorである暗号化されたトラフィックを検出し、次に通信先に再接続してVPNを「話す」ことを試みることを意味しますTorはこの疑いを検証します。このアクティブプローブはTorネットワークで発生することが確認されており(詳細は here )、最近のVPN接続のブロックと同じでない場合でも、手法は類似している可能性があります。

現在、耐ブロッキング通信の分野には多くの刺激的な研究があります。一方では、人々は「ランダムさ」のように見えるトランスポートプロトコルに取り組んでいます。例として、obfs2とDustがあります。他の迂回プロトコルは、既存のプロトコルを模倣しており、その結果、インターネットをホワイトリストに登録することを選択した検閲者を生き延びます。例は、Code Talker TunnelまたはStegoTorusです。他のプロトコルを模倣すると、通常、強い抵抗が得られますが、スループットの低下はステガノグラフィックのオーバーヘッドのためです。結局のところ、行動が大きく異なる検閲者はたくさんいます。 GFCはほんの一例です。したがって、すべての異なる検閲手法に取り組むために、多くの異なる迂回プロトコルが必要です。

常に秘密の方法で数ビットを送信することは可能ですが、問題は快適なWeb​​サーフィンを可能にする低レイテンシシステムにあります。結局のところ、それが人々の望みです。検閲関連のセキュリティ調査の概要が利用可能です ここ

2
John Doe

私は頭の中で、中国の万里の長城を打ち負かすための多くの方法を考えることができます、そしてこれらのいくつかは一度だけ有用であるかもしれません、そして、彼らはスパイ活動に接します。

  • CIAの頭が動かしたことをいつでも試すことができます messages 周りで
  • 前述のように、ステガノグラフィーを使用して別のチャネルで通信し、アップロードする途中でパートナーが表示または傍受できる場所に画像または動画をアップロードし、コードを含まない画像と交換して、それらは調査することができ、隠されたメッセージはすでに取り除かれています。誰が知っているか、おそらくカフェの所有者がそれに参加しています...そしてあなたはお互いに挨拶することさえありません。
  • 簡単に追跡できないバンなどの移動車両から、ラップトップに接続した衛星携帯電話を使用して、完全なメッセージを爆発させる
  • 衛星放送受信アンテナを使用して、衛星周回オーバーヘッドと通信する(メッセージを受信する)
  • パケットで使用されていないTCP/IPヘッダーのスペースを使用し、パケットが正規化されていない場合、データは中間の誰かに渡され、メッセージを正規化して暗号化されたメッセージを削除できます
  • 通信したい相手以外には意味がわからないスポーツの試合のスコアを投稿する
  • SMSメッセージが中国で「保存」されているかどうかわからないので、SMSを使用してメッセージを送信する場合、彼らがあなたを知っているときまでにスパイ活動を行っており、送信されたメッセージを削除した可能性があります
  • メッセージを伝えるために、存在しない人のために、死亡記事にメッセージを投稿する
  • システムと辞書を毎週交換し、辞書を使用してメッセージを作成するために選択された単語に埋め込まれる意味を作成しますが、そのサブセットは使用される場合はメッセージです...そしてこれは数十あるので間違いなく実行できます非常に同じことを意味する英語の単語の数、および一部は古くて辞書を非常に大きくする場合があるため、特定の日に他の意味を持つ他の単語と完全に交換可能な単語、および1つまたは文中の単語の数が増えると、文の単語を超えた意味になります。
  • ログインを監視できるギャンブルのWebサイトにアクセスし、ギャンブルの賭けと各ハンドのプレイ方法をコードにしてください
  • コンピューティングのバグを拾ってください!アセンブリ言語など、万里の長城が理解できない言語で記述し、コードを投稿する
  • 私が理解しているように、盗まれたCDを中国のオープンマーケットで販売する人はたくさんいるので、私がしたいのは、非常に特別なバイヤーのために、そしてインストールした後にだけ、ドロップしたいディスクを保存することです。メッセージを解読して理解できるようにします。メッセージは非常に長くなる必要はなく、メッセージではなく新しいアルファベット/辞書を共有することができます
  • 商品を注文し、次のメッセージが送信される日付など、共有カタログから注文する特定の商品の数をコードにする
  • 機密情報を作成、製造、または盗み、出荷します。荷送人または受信者は、どのコンテナに、どのパレットに、盗み出されて盗まれた電子機器が含まれているか、どのアセンブリにも接着できる画像(おそらくフラッシュチップ)が含まれていますが、電子的に回路内にないため、取り外してリーダーに取り付け、解読して理解する必要がある
  • パートナーが旅行を監視し、特定の部屋の照明をオンにし、家を出て、曜日と月に意味がある...誰かがいつできるかに関するデータのセットで秘密のメッセージの配信を期待します。仲介者によってそのデータが中継されます。
  • 別の国への旅行を設定し、その国で一度、報告を受ける
  • ストーリーを匿名でインターネット、ブログに投稿し、あなたが話す主題のタイトルに、ストーリーを見つけることができても内容がメッセージを明らかにしないという意味を持たせる
  • インターネットカフェに行って、座っている場所に情報を持っていることを知らせてください。そして、「事故」に​​よってフラッシュドライブをUSBポートに残してください。パートナーにフラッシュドライブを取り出してから出発してもらいます。
  • 飲み込むことができるカプセルの中にフィルムまたはフラッシュチップを置いてから、カフェに行き、パートナーと一緒にコーヒーを注文し、カプセルに入れて、カプセルを飲み込んだコーヒーカップをメディアと交換する
1
T I