web-dev-qa-db-ja.com

国はどのように国民がサイトにアクセスするのをブロックしますか?

トルコの最近のソーシャルサイトブロックに続いて、国としてそれを効率的に達成するにはどうすればよいのでしょうか。大企業も同様です。

IPのブロック→回避が簡単(プロキシ、トンネルなど)DNSのブロック/リダイレクト→上記と同様にアドレスを入力

ディープパケットインスペクション→非常に多くのリソースを必要とします。国全体の規模で実行できますか?また、トラフィックの暗号化、HTTPS、SSHなど…

国のゲートウェイですべての接続を終了し、トラフィックを検査してから、トラフィックを再度暗号化しますか?非常に時間がかかるようです。

私が見逃した(明白な?)または他の方法はありますか?

私は一般的に話しているのであり、トルコの例ではありません。また、すべての暗号化されたトラフィックをドロップすることは、国にとっての選択肢のようではありません。

encryptiontlsprivacyaccess-control
49
blended

あなたは主要なものをカバーしました。つまり、必要なサイトを効果的にブロックすることは、不可能ではないにしても非常に困難です。 IPのブロック、DNSのリダイレクト、特定のサイトへのHTTPリクエストのブロック/特定のキーワードを含む、前述の手法を使用することで、これを困難にすることができます。

これらの方法はプロキシによって阻止されます(ディープパケットインスペクションの場合、暗号化されたプロキシが必要になります)。その結果、追跡状況が発生します。サイトをブロックすると、プロキシが起動し、それらのプロキシをさらにブロックすると開始。最も近い人は北朝鮮であり、彼らは国のイントラネットですべてのサイトを制御することによってこれを管理します。

したがって、最も効果的な方法:

  • ホワイトリスト(北朝鮮の方法)-管理しているサイトのみを許可します。
  • 暗号化されたすべてのトラフィックをブロック+ディープパケットインスペクション(中国の方法)-このソリューションは、許容できる基準を通過する通信を許可し、コンテンツを判別できない通信をブロックします。

これらの方法は両方とも、検閲するエリアのすべてのインターネットインフラストラクチャに対する完全な制御/権限を必要とします。

あなたが言ったように、すべての暗号化されたトラフィックをブロックすることは実際には機能しません-中国もこれを発見しました:彼らは試みましたが、人々はメッセージを隠す習慣であるステガノグラフィーを使用してこれを回避しています:例えば:

I am illustrating a hidden message because I
hate to see unanswered questions. I will help
you to understand.

各行の最初の単語を読むと、「私はあなたが大嫌いです」という隠されたメッセージが明らかになります(もちろん、ステガノグラフィへのよりインテリジェントな方法がありますが、それは単なる実例です)

35
Emily Shepherd

「効率」はあなたの目標に依存します。

注意すべき重要な点は、すべてのブロッキング手法は、代償を払って回避できるということです。たとえば、個人は 衛星電話 を使用して、国ではブロックできない接続を取得でき、軍の直接的な物理的介入によって節約できます。しかし、そのようなシステムを使用すると、かなり高価になります。このような外部資源への違法アクセスを阻止しようとする国々も、その種の技術要素の輸入を禁止するでしょう。例えば。北朝鮮に衛星電話をインポートしてみてください...世界的に、全人口に対して厳格で効果的な検閲を適用すると、特にそうでなければその人口が技術への禁止されていないアクセスを持っている場合は費用がかかります(一部だけよりもインターネット全体をブロックする方が簡単です)それの)。

一方、あなたが望むすべてが姿勢であるならば、あなた自身のパーティーの最も保守的な翼を和らげるためには、いくつかのIPベースのブロッキングで十分です。これは、プロキシとVPNで簡単に回避できる問題ではありません。 symbolが重要です。バリアントとして、legallyを禁止することは、侵入者をトラブルに巻き込むための法的資格を取得するのに十分である可能性があります。一部の国では、そのような合法的な仕掛けが重要です。

12
Tom Leek

このトピックに関するいくつかの研究:

中国のインターネットフィルタリングの実証分析(2003)

テストした約1,043のサイトについて、中国のDNSサーバーが、各サイトの正式なネームサーバーを介して実際に指定された公式Webサーバー以外のWebサーバーを報告していることを確認しました。この現象を「DNSリダイレクション」と呼びますが、「DNSハイジャック」と呼ばれることもあります。ダイナミックインターネットテクノロジーによる以前のレポートと一致して、私たちのデータは、そのようなサイトが全体として一貫して到達不能であったことを示しています。

URLのキーワードに基づくフィルタリング2002年9月以降、当社のデータは、中国のISPの加入者が、特定の単語またはフレーズを含むURLリクエストを送信したときに反映されます-これは通常、 http://www.google.com/search?q=jiang+zemin のような検索エンジンの検索で発生します-応答は受信されません。

HTML応答のキーワードまたはフレーズに基づくフィルタリング。2002年9月以降、著者はHTML応答ページの特定のキーワードが中国のネットワークインフラストラクチャによってブロックされているように見えることを観察しました。特に、ページが他の方法でフィルタリングされていないサーバーからのものである場合や、ページに問題のある検索用語のないURLが表示されている場合でも、ページ自体に特定の問題のある用語が含まれていると、アクセスできない場合があります。そのようなページは、しばしば切り捨てられました。つまり、表示の途中で中断されました。

中国のフィルタリングのその他の影響:ルーティング。著者は、一部のアメリカのISPが中国を経由して中国を越えた宛先(特に香港)に向けてパケットをルーティングすることを確認しています。必要なWebサーバーが中国からブロックされている場合、このようなルーティングは通常、アメリカのユーザーの要求を中国のネットワーク機器でフィルタリングすることになります。この問題に対応して、影響を受けるアメリカのISPは、香港などのホストに到達するために使用されるルートを手動で変更することにより、状況に対処できます。ただし、影響を受けるISPは状況を認識していないことが多く、影響を受けるISPが必要なパートナーISPを見つけてそれらとのピアリング関係を確立するため、効果的な応答には遅延が必要になるか、追加費用が発生します。

技術付録から: http://cyber.law.harvard.edu/filtering/china/appendix-tech.html

検閲の速度:マイクロブログ投稿の削除の高忠実度検出(2013)

Weiboやその他の人気のある中国のマイクロブログサイトは、中国政府の要件に準拠するために内部検閲を行っていることでよく知られています。この調査は、この検閲のメカニズムを数値化することを目的としています。投稿が削除される速度と包括的削除の速度。私たちの分析では、2012年に約2か月に収集された238万件の投稿を検討しました。

削除は、投稿が送信されてから最初の1時間で最も頻繁に発生することがわかりました。再投稿/再ツイートではなく、元の投稿に注目すると、削除イベント全体のほぼ30%が5〜30分以内に発生することがわかりました。削除の約90%は、最初の24時間以内に発生します。

論文: http://www.cs.unm.edu/~crandall/usenix13.pdf

ConceptDoppler(2007)

ConceptDopplerは、インターネット検閲用の気象トラッカーです。 ConceptDopplerを使用して、政府がインターネットトラフィックを検閲するために使用するキーワードのリストを追跡できます。 GFCキーワードフィルタリングの場合、フィルタリングを実行しているルーターを特定し、この検閲メカニズムのアーキテクチャを推定することもできます。

潜在的意味分析 を使用して、チェックする単語に優先順位を付けます。ガスの混合の理解が効果的な気象追跡につながったのと同じように、デリケートな概念とブロックされたキーワードの関係を理解することは、インターネット検閲のより効果的な追跡につながります。詳細については、ペーパーを参照してください。

論文: http://www.csd.uoc.gr/~hy558/papers/conceptdoppler.pdf

FAQ: http://www.cs.unm.edu/~crandall/cd/faq.html

ブロックされたキーワードのリストがあるウェブサイト: http://www.conceptdoppler.org/

3番目の論文は少し古くなっていますが、 Jedidiah R. Crandall は教授になり、検閲との闘いに取り組んでいます。 2番目の論文は彼の部門からです。間違いなくチェックアウトする価値があります。

5
Janus Troelsen

それは実際にはリソースの問題です。国がこの問題に莫大な時間、お金、専門知識を費やすことをいとわないのであれば、いくつかの選ばれたサイトを効果的にブロックすることは可能だと思います。

その理由は、成功するためには、すべての回避方法自体を対象者に広く公表する必要があるからです。十分なリソースを持つ政府は、気づいたらすぐに、各プロキシ、ミラー、またはトンネルをブロックできます。これにより、幸運な、または特殊なアクセスソース(Torを使用できる人口の0.0005%など)が残り、政治目標を達成するのに十分な場合があります。

ただし、 インターネットから完全に切断する がないと、幅広いブロック(たとえば、すべてのニュースサイト)を達成できないと思います。ありがたいことに、The Netは、検閲を損傷と解釈し、 それを迂回する(インターネットのパイオニアであるJohn Gilmoreの共同創設者- 電子フロンティア財団

4
scuzzy-delta

まだ言及されていない検閲方法の1つは、TCPリセットパケットインジェクションです。これは、偽造による不要な接続を終了させますTCP RSTパケットです。中国の大ファイアウォールは、これは何年にもわたって行われることが知られています(ソース: http://www.icir.org/vern/papers/reset-injection.ndss09.pdf )。これは、DPIと組み合わせて使用​​されることがよくあります。 Tor接続でプロトコルフィンガープリントを行うことについて( http://www.cs.kau.se/philwint/pdf/usenix-login-2012.pdf )。

私の雇用主(EFF)は、パケットインジェクション攻撃を検出するための優れたイントロガイドを作成しました。 https://www.eff.org/wp/detecting-packet-injection

3
Yan Z