天氣預報
2006-07-04, 02:01 PM
劍橋專家破解中國防火牆
CNET新聞專區:Tom Espiner 04/07/2006
劍橋大學的電腦專家宣稱,已成功破解中國政府的「網路防火牆」(The Great Firewall),並可利用其弱點對特定的中國網站發動阻絕服務式攻擊。
中國政府的網路防火牆採用思科公司(Cisco)的路由器,部分功用是監視網路交通和封鎖敏感內容,包括與官方意識型態抵觸的政治主張和團體。
劍橋的研究小組利用內含「法輪」(意指中共查禁的宗教團體法輪功)一詞的資料封包測試該防火牆系統,發現只要忽略官方路由器置入的假傳輸控制協定重組(此法通常會迫使末端放棄連結),就能繞過政府的入侵偵測系統(IDS)。
劍橋大學電腦實驗室的Richard Clayton解釋:「中國的主機允許資料封包進出,但若發現特定關鍵字,就會爆出大量重組以阻止連結。只要簡單地把所有重組封包丟到連線的兩個末端,網頁傳輸就會正常。」Clayton說,這代表中國的防火牆可被用來對境內特定的IP位址,包括政府網站,發動阻絕服務式攻擊。
中國政府的IDS使用沒有登記國家的伺服器,單獨檢查每個進出防火牆的資料封包,與之前的任何請求無關。為內含「敏感」字眼的資料封包假造來源位址,便可誘使防火牆阻擋來源位址與目標位址之間的連結,一次可長達一小時。
若攻擊者辨識出地方政府辦公室的主機,也可阻擋他們存取Windows Update,或不讓中共海外使館看到特定的中國網頁。Clayton說:「由於防火牆的設計,一個(偽裝)來自政黨高層的封包位址,便可阻擋他們的網路存取。」
儘管這種方式只能封鎖網路上特定兩點之間的通訊,研究人員認為,一名使用單一撥接連線的攻擊者仍可以發動「合理有效的」阻絕服務式攻擊。若一名攻擊者每秒製造100個觸發封包,且每個封包各造成20分鐘中斷,則在任何時刻都能阻止12萬組對點互相通訊。
Clayton表示,研究小組已將結果報告送交中國電腦緊急應變小組(The Chinese Computer Emergency Response Team)。(陳智文)
http://taiwan.cnet.com/news/software/0,2000064574,20107683,00.htm
贊助商連結
CNET新聞專區:Tom Espiner 04/07/2006
劍橋大學的電腦專家宣稱,已成功破解中國政府的「網路防火牆」(The Great Firewall),並可利用其弱點對特定的中國網站發動阻絕服務式攻擊。
中國政府的網路防火牆採用思科公司(Cisco)的路由器,部分功用是監視網路交通和封鎖敏感內容,包括與官方意識型態抵觸的政治主張和團體。
劍橋的研究小組利用內含「法輪」(意指中共查禁的宗教團體法輪功)一詞的資料封包測試該防火牆系統,發現只要忽略官方路由器置入的假傳輸控制協定重組(此法通常會迫使末端放棄連結),就能繞過政府的入侵偵測系統(IDS)。
劍橋大學電腦實驗室的Richard Clayton解釋:「中國的主機允許資料封包進出,但若發現特定關鍵字,就會爆出大量重組以阻止連結。只要簡單地把所有重組封包丟到連線的兩個末端,網頁傳輸就會正常。」Clayton說,這代表中國的防火牆可被用來對境內特定的IP位址,包括政府網站,發動阻絕服務式攻擊。
中國政府的IDS使用沒有登記國家的伺服器,單獨檢查每個進出防火牆的資料封包,與之前的任何請求無關。為內含「敏感」字眼的資料封包假造來源位址,便可誘使防火牆阻擋來源位址與目標位址之間的連結,一次可長達一小時。
若攻擊者辨識出地方政府辦公室的主機,也可阻擋他們存取Windows Update,或不讓中共海外使館看到特定的中國網頁。Clayton說:「由於防火牆的設計,一個(偽裝)來自政黨高層的封包位址,便可阻擋他們的網路存取。」
儘管這種方式只能封鎖網路上特定兩點之間的通訊,研究人員認為,一名使用單一撥接連線的攻擊者仍可以發動「合理有效的」阻絕服務式攻擊。若一名攻擊者每秒製造100個觸發封包,且每個封包各造成20分鐘中斷,則在任何時刻都能阻止12萬組對點互相通訊。
Clayton表示,研究小組已將結果報告送交中國電腦緊急應變小組(The Chinese Computer Emergency Response Team)。(陳智文)
http://taiwan.cnet.com/news/software/0,2000064574,20107683,00.htm
贊助商連結