学术研究者攻破中国防火长城

--------------------------------------------------------------------------------

　　剑桥大学的计算机专家们宣称已找到突破中国防火长城的策略，并发现利用该防火墙的特性，有一种可以在中国针对特定IP地址发动拒绝服务(DoS)攻击的方法。

　　该防火墙使用思科公司的路由器实现，其部分工作是检查包含某些关键词的网络流量，这些中国政府希望审查的关键词包括其无法接受的政治意识形态和组织。

　　由于FLG被中国政府禁止，牛津大学的研究组通过持续发送含有"Falun"的数据包对此防火墙进行测试。

　　研究者发现，通过丢弃在通常情况下会导致终端放弃连接的伪造传输控制协议重置信息(forged transmission control protocol resets)，有绕开中国干扰侦测系统的可能。

　　“中国防火墙允许数据包进出，但发送一组重置信息包以关闭涉及特殊关键词的通信连接”，剑桥大学计算机实验室的Richard Clayton解释道，“如果通讯的两端都丢弃这些不重要的重置信息包，网页将正常传送。”

　　Clayton补充说，这意味着中国防火墙可以被用于发起针对指定IP地址在中国范围内的拒绝服务(DoS)攻击，包括中国政府的那些（网站或终端）。

　　该入侵检测系统使用无状态记录的服务器，单独检验每一个进出防火墙的数据包，而与先前的请求无关。通过伪造包含敏感关键词的源地址数据包，可以触发该防火墙阻止源与目的地之间的访问最多不超过一小时的一段时间。

　　如果攻击者确认了地方政府办公室电脑的IP地址，他们可以运用此方法阻止其访问Windows Update，或者防止中国海外大使馆访问特定的中国网站。

　　Clayton说：“由于防火墙的设计，一个来自官方高层的数据包同样可能导致他们被禁止访问网页。”

　　尽管此技术只能阻止互联网上两个指定终端之间的通信，研究者计算出，一个使用拨号连接的独立攻击者仍然可以发动有效的拒绝服务攻击。如果一个攻击者每秒生成100个触发包，且每个包导致20分钟的中断，那么在同一时间，12万对终端将被阻止通信。

　　在上周于英国剑桥举行的隐私增强技术第六次工作组会议上，Clayton说，研究者们已经向中国教育和科研计算机网紧急响应组(CCERT)报告他们的这些发现。