Comment le trafic crypté peut-il contourner le grand pare-feu de Chine lorsqu'il est bloqué?

Vous pourriez utiliser Sidecharnels à basse bande passante. Par exemple, on pourrait créer un site offrant des images et le site pourrait porter une "mur de vignettes". Le protocole HTTP permet de demander à ces vignettes dans n'importe quel ordre, ce qui signifie que vous pouvez utiliser vingt images que vous pouvez encoder jusqu'à 20! (C'est-à-dire environ 60 bits) dans le régime de demande. Il n'existe aucun moyen de détecter ou de bloquer un tel schéma d'analyses statistiques sur le calcul, de substitution avec la randomisation des ordres de demande, ou de l'humilier.

Un schéma plus facilement détectable, avec plus de bande passante, permet d'encoder des informations sur les en-têtes Etag et proxy.

Ensuite, on pourrait essayer plus de schémas de cloak-and-dague: par exemple, on pourrait rebondir des paquets ICMP avec une adresse source façonnée contre un hôte de confiance (par le gouvernement). Ce type d'activité malveillante n'est apparemment pas (encore) considéré comme dangereux et plusieurs hôtes pare-feu feront déformer le paquet ICMP vers la source apparente, pénétrant ainsi le pare-feu.

Là encore, incroyablement, le grand pare-feu de Chine ne semble pas se soucier du spam. Vous seriez surpris de la quantité d'emails commerciaux non sollicités, contenant souvent des images volumineuses, atteignant le reste du monde en provenance de la Chine. Probablement, tout suffisamment asymétrique vers le trafic vers le port 25/TCP est considéré comme symptomatique de la présence d'un criminel chinois, et le pare-feu a d'autres priorités. Grâce à certains spammeurs utiles de Guangdong, je peux confirmer que l'envoi de 1 Kb === Crypted, les messages d'erreur encodés Compressé et codé64 -4 n'a aucun effet, et la connexion entrante continue de demander un relais pour plus d'informations. et plus de spam, qui est accepté (et jeté). Ce canal semble être capable d'environ 64 kbit bidirectionnel.

Tout cela nécessite de encapsuler le trafic VPN à différents protocoles, semblables à ce que fait de foin. D'autres solutions existent - par ex. Freegate -, mais bien sûr, plus ils sont largement connus, le bouclier d'or plus rapide va (essayer de) les casser. Les stratégies plus simples visant à vaincre un pare-feu pouvaient entraîner une obscurcissement d'un protocole existant à l'aide d'un coussinet ponctuel et de fournir des points d'extrémité externes à changement rapide (c'est ce que l'utilitaire Ultrasurf a fait) et parier que vous pouvez trouver plus d'obscurces et plus rapidement que le Les gens de GFC peuvent proposer des correctifs.

Le risque là-bas, cependant, est que le passage de la GFC de "liste noire" à "whitelist" à "whitelist": première tondre dans le trafic de tailles gérables, puis activement réécrire Plutôt que Rerout Tous les protocoles connus, appliquant des contrôles de grammaire forts et une détection d'anomalie. Par exemple, refuser de refuser HTTPS et TLS, sauf si vous acceptez un certificat non généreux de GFC à permettre au déchiffrement SSL Man-in-the-intermédiaire (affirmant que cela "ne limite pas les citoyens responsables", à moins que "ils ont quelque chose à cacher"), et refuser autrement tous les paquets qu'il ne comprend pas parfaitement. C'est plus ou moins une réponse à la déclaration d'AI Weiwei, qui Le seul moyen de contrôler Internet est de le fermer . Et la réponse serait "bien alors, que diriez-vous de faire ça".

Steganographie a été conçu pour exactement de tels scénarios. Plus largement, recherchez le concept de Densiabilité plausible qui aide les personnes à faire face aux dangers d'activités non comptabilisées dans les environnements hostiles.

Bien entendu, dans le scénario chinois, un service dédié doit être établi dans le monde extérieur pour soutenir la communication activée par la stéganographie avec le réseau oppressé chinois. Je ne suppose pas cela comme le problème, car il y a généralement une abondance de personnes bénévoles à soutenir des valeurs de liberté en communication.

Cet "algorithme d'apprentissage" signifie probablement que le GFC détecte d'abord le trafic crypté qui pourrait être un vpn ou un mand, puis rencevoir à la destination de la communication et essaie de " Parlez "VPN ou TOR pour vérifier cette suspicion. Cette sondage active est confirmée pour que le réseau Tor (les détails sont ici ) et la technique peut être similaire si elle n'est pas la même pour le bloc récent de connexions VPN.

Maintenant, il y a beaucoup de recherches intéressantes dans le domaine de la communication résistante à la blocage. D'une part, les gens travaillent sur des protocoles de transport qui ressemblent à "aléatoire". Les exemples sont OBFS2 et la poussière. D'autres protocoles de contournement imbriquent des protocoles existants et survivent, par conséquent, un censeur qui choisit de blanchir Internet. Les exemples sont le tunnel de la Code Talker ou Stegotorus. MIMIling d'autres protocoles fournit généralement résistance plus forte mais Débit réduit en raison de la stéganographe aérien. Après tout, de nombreux censeurs agissent très différents. Le GFC n'est qu'un exemple. Par conséquent, nous avons besoin de nombreux protocoles de contournement différents pour aborder toutes les techniques de censure différentes.

Bien qu'il soit toujours possible de transmettre quelques bits de manière seconde, le défi réside dans des systèmes de latence à faible latence, ce qui permet de surfer de manière confortable. C'est ce que les gens veulent, après tout. Un aperçu de la recherche sur la sécurité liée à la censure est disponible ici .