gfw的几个特征

转自:BBS.ChinaUnix.net

IP头部分:
Identification(标识)字段:在第一批RST包中,伪源1和伪源2将其设置为一个固定的值,而正常的处理方式
点击在新窗口查看全图 CTRL+鼠标滚轮放大或缩小
是发送的每个IP报文都有不同的标识值,一般按生成次序递增。观察中发现伪源2的第二批RST包中该字段值会改变。

Flags(分片标志)字段:伪源1和伪源2处理方式不同,例如伪源1将DF(不分片)标志置0,伪源2将DF标志置1。

Time to Live(生存时间)字段:如前所述,伪源1的RST包到达客户端PC时经过的跳计数较大,而伪源2较小,且可推测与真正的源物理位置有差距。
TCP头部分:

Sequence number(序列号)字段:关键字过滤系统很可能会偶而繁忙导致本地出口堵塞,以致RST包发送延迟并晚于真正的源发回的数据包到达客户端PC,造成 RST包被客户端PC丢弃,从而整个过滤干预行为失败。考虑到这个因素,伪源还具有序列号预测功能,例如伪源2相邻的3个RST包中该值分别相差1460 (以太网默认MSS值)和2920(即1460*2)。
点击在新窗口查看全图 CTRL+鼠标滚轮放大或缩小
Window size(窗口大小)字段:伪源1和伪源2处理方式不同,例如伪源1似乎为该字段设置了一个随机值,伪源2将其置0。正常的RST包是将该字段置0。


DNS回应报文

返回的IP一般在一下四个中随机 (四个IP均已被屏蔽)一般返回四个到五个回应报文(害怕用户收不到?) 正常情况下应是一个
点击在新窗口查看全图 CTRL+鼠标滚轮放大或缩小
213.169.251.35
209.36.73.33 AT&T WorldNet Services
72.14.205.99 google
72.14.205.104 GOOGLE快照

向国外任意IP发送敏感的DNS解析请求都将返回伪造的回应报文 无论其是否提供DNS解析服务

nslookup sina.com google.com 提示timeout 超时

nslookup voanews.com google.com 返回伪造的IP

213.169.251.35


DNS回应报文 Identification(标识)字段 一般是 242 和64 , ttl可能和地理位置 路由等有关 一般有两或三个值点击在新窗口查看全图 CTRL+鼠标滚轮放大或缩小

点击在新窗口查看全图 CTRL+鼠标滚轮放大或缩小
目前国内似乎还未对URL进行过滤检测 可能仅仅是在国际出入口进行HTTP URL检测

测试 google.com/voanews.com 连接被复位 三到五分钟无法访问
测试 sina.com/voanews.com 正常

另外MSN YMSG等IM在添加某些特定好友时也存在连接复位与服务器通信失败等现象

无法以HTTPS浏览某些特定网站 如WIKIPEDIA 据称可能是SSL证书过滤或者替换SSL证书中间人攻击

总而言之 GFW在数据挖掘和协议分析上做的还比较成功 多媒体数据如音频 视频 图形图像的智能识别分析 自然语言语义判断识别 p2p IM 流媒体 加密内容识别过滤 模式匹配等等是将来的重点系统还有很大潜力可以挖掘

没有评论: