Как спецслужбы запрещают доступ к некоторым сайтам?
Я из Республики Молдова, и во время недавних событий в апреле наше правительство ограничивало доступ к некоторым веб-сайтам, которые представляли новости не из официальных источников, а также ограничивало доступ к Facebook и через социальные сети.
Мне интересно, как это делается.
ПРИМЕЧАНИЕ: ограничение может быть преодолено с помощью плагина Firefox Tor.
5 ответов
Есть множество способов заблокировать нежелательный трафик.
- Определите все связи с внешним миром
- Проинструктируйте владельцев этих соединений:
- Блокируйте определенные веб-сайты на основе их IP-адреса (т. Е. Не направляйте пакеты, адресованные определенным IP-адресам в черном списке)
- Блокировать результаты DNS на основе подстановочных знаков (поэтому *news* может блокировать все запросы DNS, в которых есть "новости" в любом месте их имени)
- Используйте инспектор пакетов для отслеживания HTTP и другого трафика по ключевым словам и отправьте пакет разъединения TCP, если обнаружены определенные триггеры в контенте.
- Блокировка трафика без портов 80 и 25
Обратите внимание, что правительство не может контролировать всех интернет-провайдеров (те, у кого есть тарифные планы на спутниковую связь, в порядке, поскольку у компании нет офиса в стране, на которую они могут оказать давление).
Кроме того, некоторые тактические приемы не могут быть использованы из-за нагрузки - инспектор пакетов, работающий даже на относительно медленной магистральной линии 10 Гбит / с, требует тонны вычислительной мощности и скорости, чтобы не отставать от трафика. Компромиссы должны быть сделаны.
С другой стороны, 99% населения страны будут заблокированы простой схемой блокировки DNS. Те, кто легко могут пройти, также смогут обойти большую часть другого блока.
Цель такой программы не в том, чтобы запретить кому-либо доступ, а в том, чтобы привлечь наибольшую часть публики и убедиться, что они получают ваше сообщение и только ваше сообщение.
В политических битвах этого обычно достаточно.
-Адам
Самый простой способ заблокировать сайты - это перенаправить запись DNS.
Самый простой способ проверить это - использовать DNS-сервер из другой страны или настроить свой собственный DNS, который не блокировал сайты. (другими словами, выполняет ли полная проверка от root dns для каждого нового сайта, к которому вы пытаетесь получить доступ.
Можно предположить, что на большинстве (всех?) Подключений интернет-провайдеров к "за пределами Молдовы" установлены маршруты "черной дыры". Это будет хорошо сочетаться с "работами по обходу через TOR" (поскольку пакет, предназначенный для IP-адреса сервера, будет инкапсулирован до, вероятно, за пределами Молдовы).
Насколько я понимаю TOR, разрешение имен по-прежнему происходит в обычном режиме на клиентском компьютере, поэтому любой перехват DNS все равно вызвал бы блокировку. Опция маршрута "черная дыра" также хороша с точки зрения производительности сети, так как она не требует дополнительной работы с "заблокированными" или "неблокированными" пакетами, это все еще обычная маршрутизация пересылки пакетов.
Если вы можете получить ssh-доступ к серверу за пределами страны (любое решение общего хостинга, такое как dreamhost, может обеспечить это, возможно, за 10 баксов в месяц), вы можете затем туннелировать свой трафик через этот сервер, используя ssh. Если вы туннелируете как веб-трафик, так и DNS-трафик через ssh, вы сможете просматривать все что угодно. Я написал, как это сделать, в своем блоге, здесь написано, как это сделать с Firefox (надеюсь, что плагин в порядке, если нет, дайте мне знать, и я отредактирую свой пост).
Ну... Возможно, с помощью какой-то технологии брандмауэра, которая должна быть запущена на всех интернет-провайдерах страны, чтобы проверять и блокировать трафик на выбранные внешние сайты.
И не для того, чтобы дать им какие-либо идеи, но... Согласно вики-странице на Tor, это должно быть возможно заблокировать и для такой организации, как правительство. По крайней мере, это возможно для правительства США.