九乡新闻网阿修罗之怒解说:躲避网络审查新工具
来源:百度文库 编辑:九乡新闻网 时间:2024/07/13 21:11:50
躲避网络审查新工具
作者:布莱恩•克雷布斯 发稿时间:2011-08-11 11:17:19 点击:213反审查软件将让审查员更难追踪和阻碍不合要求的通信 新工具可以躲避网络审查来源:麻省理工科技创业
一种新方法可以克服国家级的互联网审查机构,讽刺的是,这种方法所依赖的技术正是安全专家在政府监管中频繁使用的。
目前的反审查技术包括Tor和Dynaweb服务,它们与受限网站通过加密代理服务器网络直接连接,意在向审查机构隐藏正在访问网站的用户。但是审查机构一直都在查找并阻碍这些代理服务器。一种叫做Telex的新设计让审查机构阻碍通信链接的行为变得困难。这种设计的做法是截取那些目的地址为受限网站的信息流,并把它们伪装成那些受欢迎的、不受审查的网站。它采用审查机构经常使用的分析包数据的方法来实现这个功能。
“要绕过国家级互联网审查,人们依赖的是位于审查机构所在国之外的代理服务器,” 密歇根大学(University of Michigan)电子工程与计算机科学的助教亚历克斯·哈德曼(J. Alex Halderman)说。“困难在于,你必须和服务器所在地的人通信,不想让政府审查机构计算出代理服务器在哪,这是非常困难的。”
Telex系统有两个重要组成:众多因特网服务供应商(ISP)的“站”——把审查机构所在国国内发出的通信流与其它因特网连接来的站——和运行在想避免审查的人的计算机上的Telex客户端软件。
要伪装用户想发送的通信流,Telex采用一种叫做“速记式加密(steganography)”的加密方法,就是在可读信息中隐藏密文。
Telex客户端软件开始时创建一个向未阻塞网站发出的连接,采用和电子商务或网上银行网站相同的加密方式(浏览器地址栏是https://,而不是http://)。然后,把已审查的网站的标识记录到一个嵌入了加密请求的特殊字符串或“标签”中。一个ISP的Telex站可以检查将要到达的信息流并检测这些标签是否存在,假设它有正确的密钥。没有密钥的话,是不能从随机乱码中区别出标签的。
当Telex站检测到一个即将到达的请求中包括一个标签,它就把该连接重定向到密文中指定的网站。这个行为就像一种叫做“深度包检测(DPI)” 的有争议的技术,政府和审查机构使用该技术来阻碍或限制特定类型的互联网通信流,如点对点的文件共享。
“众所周知,DPI已经作为审查机构的一种手段,但是Telex以一种完全不同的方式使用DPI”,哈德曼说。“我们完全颠覆了这个概念,创建了一种强有力的反审查机构的工具。”
哈德曼说,如果采用Telex 站的ISP所在地被审查机构知道,对于这样的设计来说,也是无关紧要的。“关键是我们想把这样的站放在足够多的因特网点上,这样,阻碍所有通过这些点的路由就相当于让因特网不可用。”他说。“愿景是,如果我们部署了足够多的Telex,想进行审查工作的政府连接互联网就会变成一个非此即彼的命题。要么是面对人们可以访问你们想审查的网站,要么就是完全有效的终止。”
在Telex向高等计算机系统协会的安全大会(Usenix Security Symposium)提交的论文中,哈德曼和其他人详细描述了怎样抵御审查机构的攻击。
“我们收到了很多不懂该系统的人的评论,他们指出了击败这个系统的多种方法,但是几乎所有情况都是我们已经想到并且在论文中强调的,”他说,并补充说,该系统可以适应不断增加的高级审查方法。
“现在,审查过的用户已经慢慢减少成功使用常规代理服务器,但是我们看到的是参与审查的主要国家都在很快的适应,”哈德曼说。“例如,中国已经能够非常高效的阻碍Tor,伊朗已经开发了许多相当高级的应对Tor的方法。”
布鲁斯·施奈德(Bruce Schneier)是一个密码学专家兼BT的首席安全技术官,他称Telex是“经过深思熟路和精心设计的,”但是他说该系统不会被遍布世界的ISP广泛采用。
“有两种方法部署该系统:合适的价格或使之成为法律(让ISP来执行),”施奈德说。“如果世界上的政府都支持这个想法的话,那将是非常好的,因为整体上,这种事情是这项技术没有得到广泛应用的原因。没人想花钱,没人支持。”
研究人员正在致力于扩展一个Telex测试网,人们可以用它来上网数月,甚至观看YouTube视频。他们强调说,测试系统将以“可接受的稳定性和不明显的性能下降”进行工作,它在一些不可预料的压力测试下仍能工作良好。一个研究人员偶然间的失误,错把一个Telex站配置为开放的因特网代理服务器,这件事情发生在该系统被那些想隐藏身份的局外人使用之前不久。