【新聞】劍橋專家破解中國防火牆

[天氣預報]

劍橋專家破解中國防火牆
CNET新聞專區：Tom Espiner　　04/07/2006

劍橋大學的電腦專家宣稱，已成功破解中國政府的「網路防火牆」（The Great Firewall），並可利用其弱點對特定的中國網站發動阻絕服務式攻擊。

中國政府的網路防火牆採用思科公司（Cisco）的路由器，部分功用是監視網路交通和封鎖敏感內容，包括與官方意識型態抵觸的政治主張和團體。

劍橋的研究小組利用內含「法輪」（意指中共查禁的宗教團體法輪功）一詞的資料封包測試該防火牆系統，發現只要忽略官方路由器置入的假傳輸控制協定重組（此法通常會迫使末端放棄連結），就能繞過政府的入侵偵測系統（IDS）。

劍橋大學電腦實驗室的Richard Clayton解釋：「中國的主機允許資料封包進出，但若發現特定關鍵字，就會爆出大量重組以阻止連結。只要簡單地把所有重組封包丟到連線的兩個末端，網頁傳輸就會正常。」Clayton說，這代表中國的防火牆可被用來對境內特定的IP位址，包括政府網站，發動阻絕服務式攻擊。

中國政府的IDS使用沒有登記國家的伺服器，單獨檢查每個進出防火牆的資料封包，與之前的任何請求無關。為內含「敏感」字眼的資料封包假造來源位址，便可誘使防火牆阻擋來源位址與目標位址之間的連結，一次可長達一小時。

若攻擊者辨識出地方政府辦公室的主機，也可阻擋他們存取Windows Update，或不讓中共海外使館看到特定的中國網頁。Clayton說：「由於防火牆的設計，一個（偽裝）來自政黨高層的封包位址，便可阻擋他們的網路存取。」

儘管這種方式只能封鎖網路上特定兩點之間的通訊，研究人員認為，一名使用單一撥接連線的攻擊者仍可以發動「合理有效的」阻絕服務式攻擊。若一名攻擊者每秒製造100個觸發封包，且每個封包各造成20分鐘中斷，則在任何時刻都能阻止12萬組對點互相通訊。

Clayton表示，研究小組已將結果報告送交中國電腦緊急應變小組（The Chinese Computer Emergency Response Team）。（陳智文）

http://taiwan.cnet.com/news/software...0107683,00.htm

[wangcm]

snipped....

劍橋的研究小組利用內含「法輪」（意指中共查禁的宗教團體法輪功）一詞的資料封包測試該防火牆系統，發現只要忽略官方路由器置入的假傳輸控制協定重組（此法通常會迫使末端放棄連結），就能繞過政府的入侵偵測系統（IDS）。

此處的"假傳輸控制協定重組"是否是指fake tcp reset ....

snipped....
Clayton表示，研究小組已將結果報告送交中國電腦緊急應變小組（The Chinese Computer Emergency Response Team）。（陳智文）

http://taiwan.cnet.com/news/software...0107683,00.htm

通報給cert.or.cn幹嘛,讓他們自作自受豈不更好 ....

[琥珀]

英文版參考看看。

The Cambridge research group tested the firewall by firing data packets containing the word "Falun" at it, a reference to the Falun Gong religious group, which is banned in China.

The researchers found that it was possible to circumvent the Chinese intrusion detection systems by ignoring the forged transmission control protocol resets injected by the Chinese routers, which would normally force the endpoints to abandon the connection.

[timas]

嗯～ 我先承認我很無聊 看到這個就去玩一下
我沒接觸過法輪功 只是無聊到去中國雅虎搜尋一下法輪功看看能搜尋到什麼

幾乎清一色都是:"法輪功的邪,就是邪在他的歪理說教,蠱惑人心,失去正智和自我控制的能力"之類的
到GOOGLE搜尋 卻又不大一樣的結果

感想是：法輪功好不好我不能肯定 但是中國 資訊封鎖得徹底 倒是很肯定