国はどのようにして暗号化されたWebサイト(HTTPS)をブロック/検閲しますか?
そのサイト[〜#〜] x [〜#〜]がHTTPSを使用している場合、国によってどのようにブロックされますか?
私のブラウザーの読み取り:128ビット暗号化|鍵交換としてのECDHE_RSA。
Torを使用すると正常に動作するため、ブロックされていると言います。
指摘すべき重要な点の1つは、通常見られるようにブロックされていないことです。これは、ブロックされていることを示すページではなく、サイト[〜#〜] x [ 〜#〜]がブロックされ、ブラウザがページをロードせず、エラーを表示します。
このウェブページは利用できません。エラーコード:ERR_CONNECTION_RESET
hTTPSバージョンの場合、およびHTTPバージョンを要求すると、通常の「ページはブロックされます」ページ。
ブロックされている他のHTTPSサイトはありません!これだけ!これは、ポートブロッキングとプロトコルブロッキングを除外した証拠だと思います。ただし、DPIを残します。しかし、HTTPSバージョンがまだ機能している他のHTTPブロックWebサイトがあります!サイト[〜#〜] x [〜#〜]をDPIブロックできる場合、他のHTTPSサイトを同じようにブロックできないのはなぜですか?
TL; DR:TLSはメッセージのコンテンツのみを保護します。メタデータではありません。
クリアネットを介して通信する場合、標準のテクノロジーを使用して保護できない特定の通信の一部があることを覚えておくことが重要です。 TORなどを使用しない限り、TLSを使用している場合でも、ISPは通話相手を判別できます。
類推を使用するには、郵便局を介して封筒を送ることを想像してください。封筒の内容には、受信者以外の誰もが完全にアクセスできません。郵便配達員がなんとかして内容を表示したとしても、内容を理解することはできません(おそらく、最初にシーザー暗号を実行したのでしょうか?へへ)。
ただし、郵便サービスから正しい住所に送信されるようにするには、封筒の外側に、判読可能な宛先アドレスの表現でマークを付ける必要があります。郵便局が誰にも「ジョーシュモー、123フェイクストリート」に手紙を送ってほしくない場合、その住所の手紙は配達できません。
郵便局はメッセージの内容を読み取ることができないため、手紙の意図を特定する方法はありません。彼らが持っている唯一の情報は、意図された受信者がJoe Schmoeであるという事実です。悪意があると思われる文字だけを選別することはできません。それは全部か無かです。
同様に、IPプロトコル(TCPがその上で実行されるルーティングプロトコル)には、「送信者」フィールドと「受信者」フィールドが明確にマークされています。TLSは、次の2つの理由でこれを暗号化できません。
- TLSはTCP/IP上で実行されるため、これらのプロトコルに属するパケットの一部を変更することはできません。
- IPセクションが暗号化されている場合、キャリアサービス(ISPルーター)は、パケットの送信先を特定できません。
ISPまたは国がすべてのトラフィックを強制しているファイアウォールは、TLSトラフィックを検査できません。彼らは、TCP/IPプロトコルによって提供されるメタデータのみを知っています。彼らはまた、あなたがアクセスしたいサイトが良いというよりは悪いとみなしているので、彼らはコンテンツに関係なくサイトへのすべてのトラフィックをドロップします。
オンライン通信のメタデータも保護する方法はありますが、速度が遅く、スケーラブルではありません。 TOR非表示サービスは、これを実装する1つの試みです。もちろん、隠しサービスはTORネットワーク内でのみ機能します。これは、最初にクリアネット経由でマシンに接続することによってのみアクセスできます。これは、ISPまたはファイアウォールが、オニオンを介してデータをプロキシしていることをまだ認識していることを意味します。どのように試みても、常にsomeメタデータがリークします。必要に応じて、現在ブロックしているサイトに加えて、TORノードへのすべての接続をリセットできます。
ファイアウォールを介して特定のIPへの直接接続を確立しようとしていて、ファイアウォールにその特定のIPとの間のトラフィックを強制終了する明示的なルールがある場合、そのIPへの直接接続は常に効果がありません。 TOR、VPN、またはその他のプロキシサービスを介して間接的に接続する必要があります。
多くの政府のWebフィルターはDNSフィルタリングを介して実装されています。
https://www.example.comに接続するために、ブラウザは最初にインターネットサービスプロバイダのDNSサーバーに接続し、www.example.comのIPアドレスを要求します。次に、取得したIPへの暗号化された接続を構築します。そのため、政府はISPにDNSサーバーを設定して、ブロックするWebサイトにIPアドレスを返さないか、偽のIPアドレスを返すように指示しています。
これをテストするには、Googleの8.8.8.8などの別のDNSサーバーを使用するようにネットワーク設定を構成します。これを行う方法はオペレーティングシステムによって異なりますが、ガイドは簡単に見つけられるはずです。
Webフィルタリングのもう1つの方法は、IPアドレス自体によるものです。 ISPは、example.comのIPアドレスへのすべてのトラフィックをブロックするようにファイアウォールを構成するだけです。このようなフィルターは、DNSフィルターよりも回避するのは困難ですが、付随的な被害が大きくなります。大規模なWebホスティング業者は、同じIPアドレス上で完全に無関係な数千または数百万ものWebサイトをホストすることがよくあります。 ISPがIPでブロックする場合、IPを共有する他のすべてをブロックせずに特定のサイトをブロックすることはできません。
HTTPS Webサイトに接続すると、接続しているWebサイトのホスト名がネットワーククリアテキストでTLSハンドシェイク の一部として送信されます。サーバーの certificate には常にホスト名が含まれています。これは、サーバーに対してauthenticates自体がクライアントに対して行われるためです。「私は、www.foo.exampleのコンテンツを提供する権限があるサーバーです、ジム・ボブのベイトショップと認証局によると」最新のブラウザ1 また、ホスト名をクリアテキストでclientからserverに送信し、 " Server Name Indication "メッセージで送信して、多くのHTTPSをホストできるようにします。 1つのIPv4アドレス上のWebサイト。
これは、安全なチャネルを設定する数学が機能するために必要です。基本的に、サーバーは、「鍵合意」のプロセスが開始する前に、暗号化されずに偽造できないホスト名(および他のいくつかのもの、最も重要なのは「公開鍵」)を平文で表明する必要があります。そうしないと、クライアントはそれを確認できません。 中間の人 通信を傍受することはありません。
ただし、「ディープパケットインスペクション」ファイアウォールは、特定のWebサイトに接続しようとしていることを認識し、アクセスをブロックすることができます(たとえば、TCP RSTパケットを偽造することにより)。そのサイトとの通信のcontentを盗聴している場合、および他の方法で通信したいサイトのホスト名を明らかにしていない場合でも。
1 この場合、「今日遭遇する可能性が高いすべてのもの、IE、および3.0より前の標準のAndroidブラウザの例外;残念ながら、どちらも私たちが望むよりも一般的です。」.
HTTPSは、WebサイトのIPとホスト名、またはWebサイトに接続しているという事実を非表示にすることはできません。その接続を介して送信されるトラフィックのみを暗号化します確立されると。
そのため、回線を制御している誰かが特定のサイトの接続を終了することは簡単です。 HTTPSが(うまくいけば)ユーザーが行うことを妨げているのは、サイトと交換される情報を監視または変更することですが、それに接続しているという事実は常に表示されます。
機関および企業[例:ホットスポットプロバイダー]は通常、次の2つの方法でこれに対処します。
- 他のIPを指すようにDNSサーバーに指示する:これは弱い障害です。技術に詳しいユーザーはDNSサービスを簡単に変更でき、サイトをブロックすることがそれほど重要でない場合に使用されます。これは、たとえばイタリア政府が行っていることだと思います。国のISPは、禁止されたサイトへの要求が代わりに政府がホストするページにリダイレクトされるようにDNSサーバーを変更するように求められます。
- ドメインベースではなくIPベースで接続をブロックする:これには通常、透過プロキシ(特にホットスポットプロバイダーなどで使用)または詳細なパケット検査を備えたファイアウォール(中国のファイアウォールなど)が必要です。ユーザーが禁止されたIPに接続するのを防ぐために、いくつかの手法が使用されます-それらの中で、TCPリセットパケットの注入、パケットのリダイレクト、または単にそれらをドロップします。
ターゲットサイト自体が問題のソースIP範囲からのアクセスを妨げている可能性があります。
私は、その地域から来るハッカーへの暴露を最小限に抑える以外の理由で国をブロックしない多くの大規模組織を直接知っています。