2012年11月28日星期三

(In 2012-11-28)关于eD2k服务遭审查

21:10:08: 正连接到 eDonkeyServer No2 (212.63.206.35:4242 - 支持迷惑协议) ...
21:10:09: 连接到eDonkeyServer No2(212.63.206.35:4242),发送登陆请求
21:10:09: eDonkeyServer No2 (212.63.206.35:4242)可能到达最大客户连接数了

大家有没发现上面的数据非常奇怪?既然服务器“可能到达最大客户连接数了”那服务器应该是负载很重的状态,而且实际延迟360ms左右,几乎就是瞬间报告说连不上?有种这个信息不是真正服务器发来的感觉,于是进行了抓包:

(很不幸地由于 Google 账号的问题,图片已经无法显示了)

如图,留意红色的三行,SEQ1+1490=SEQ2+2920=SEQ3
显然,GFW已经实际对国内所有客户端连接境外eD2k服务器的迷惑协议部分进行干扰,也就是说实际上国内的客户端已经无法使用迷惑协议连上境外的大部分eD2k服务器。

关于eMule模糊协定的资料:

迷惑协议的效果是使传输的数据包“缺乏固定的特征,没有办法被简单的识别出来”,也就是说,GFW对大家使用eMule下载和共享的文件非常感兴趣,但这个迷惑协议提高了审查的难度,于是GFW干脆将其阻断,迫使eMule程序使用普通连接(eMule预设的方法是当迷惑协议连接失败时会使用普通连接再连接一次,而很多eMule客户端包括官方客户端默认也没有启用迷惑协议)传输共享文件信息到服务器上,彻底审查大家共享的文件
据预测,审查位于国际出口上所有TCP协议端口的数据极其浪费审查设备的性能,事实上也没有这个必要,所以GFW应该是将所有能发现的位于境外的eD2k服务器的端口定点清除,因为通常这些端口都是公开广泛传播并且是长期固定的。

在干掉迷惑协议后,GFW便可以轻松对eD2k协议进行审查:

(很不幸地由于 Google 账号的问题,图片已经无法显示了)

1.图中①客户端向服务器端1887端口发送搜索文件的请求,图中③所示是传送的内容:e3:0a:00:00:00:16:01:06:00:e6:b5:8b:e8:af:95 ,其中 e6:b5:8b:e8:af:95 是“测试”的UTF-8的十六进制编码,显然在这里“测试”是敏感词之一。

2.留意图中②所示,20ms后马上收到3个TCP协议的RST包:SEQ1+1460=SEQ2+2920=SEQ3 ,确认是GFW发送的伪造数据包,而这3个数据包是从“服务器端的1887端口”发送过来的, 可以确定是GFW针对上述文件搜索查询而进行的连接重置。

也就是说,eMule客户端使用迷惑协议连接至境外服务器时会立即被GFW重置连接,迫使客户端使用普通连接重新连接境外服务器;而此时若客户端向境外服务器发送文件搜索查询,GFW会审查搜索的关键词,若发现存在敏感词则马上将连接重置,从而使客户端无法得到搜索结果。

以下是部分对应时间轴的日志:
01:15: 正连接到 UsenetNL.biz No1 (91.225.136.126:1887 - 支持迷惑协议) ...
01:16: 连接到 UsenetNL.biz No1 ,发送登陆请求
01:16: UsenetNL.biz No1 可能到达最大客户连接数了(被GFW连接重置迷惑协议握手)
01:16: 正在连接到 UsenetNL.biz No1 ...
01:16: 连接到 UsenetNL.biz No1 ,发送登陆请求
01:18: 连接建立于: UsenetNL.biz No1(客户端与服务器建立普通连接)
01:18: received an IP: ……, NAFC-Adapter will be checked
01:18: 新的客户ID为 ……
01:24: 失去与 UsenetNL.biz No1 的连接(搜索敏感词,GFW重置客户端与服务器之间的连接)

说白了,GFW做了这么多工作,就是想让使用eD2k网络的客户端例如eMule等无法从服务器获取部分敏感文件的来源,或者不允许任何试图通过eD2k网络共享的敏感文件散播。

而针对无服务器的Kad网络方面,现阶段收集到的反馈,由于Kad网络的迷惑协议还未实作,所以技术上审查起来还是比较容易的,但由于属于纯P2P网络系统,实际操作可能会占用大量审查设备的资源,估计也还未进行这方面的实践。
不过不能排除有关部门还会使用另外的方法干扰Kad网络的运作,例如伪造各种虚假Kad节点收集信息(参见Tor在国内被干扰的事情)或者干脆布置大量假的节点,也就是说可以频繁变换自己的身份然后利用假档和发送损坏数据的方式干扰eMule的传输(虽然eMule拥有ICH和AICH功能防止文件传输出错,但事实上如果整个网络都找不到真正可信的文件信息,它们的工作也是徒劳的),或者直接就不散布文件信息阻塞共享文件信息的传播,达到控制广泛散布的目的。

没有评论:

发表评论