In che modo un paese blocca i suoi cittadini dall'accedere a un sito?

50

Seguendo i recenti blocchi di siti sociali turchi, mi chiedo come si possa farlo in modo efficiente come paese. Simile per una grande azienda.

Blocco degli IP → facile da aggirare, (proxy, tunnel, ecc.) Blocco / Reindirizzamento DNS → digitare l'indirizzo o simile come sopra

Deep Packet Inspection → richiede molte risorse, può essere fatto su una scala di un intero paese? E ancora, crittografia del traffico, HTTPS, SSH ecc ...

Chiudendo tutte le connessioni ai gateway nazionali, ispezionando il traffico e quindi crittografando nuovamente il traffico? Sembra molto molto tempo.

C'è qualche (ovvio?) o altro modo in cui mi sono perso?

Parlo generalmente e non per l'esempio della Turchia. E lasciare cadere tutto il traffico crittografato non sembra un'opzione per un Paese.

    
posta blended 03.04.2014 - 17:28
fonte

5 risposte

34

Hai coperto i principali. In breve: è molto difficile, se non impossibile, bloccare in modo efficace un sito che si desidera. Puoi renderlo difficile usando le tecniche che hai menzionato: bloccare gli IP, reindirizzare il DNS, bloccare le richieste HTTP verso determinati siti / contenere determinate parole chiave.

Questi metodi sono neutralizzabili dai proxy (nel caso di deep packet inspection, sarebbero necessari proxy crittografati) per cui si finisce con una situazione di inseguimento: mentre blocchi un sito, i proxy si generano e mentre blocchi questi proxy inizierà ancora di più. La persona più vicina è arrivata è la Corea del Nord, e lo gestiscono controllando tutti i siti nella rete Intranet del loro paese.

Quindi i metodi più efficaci:

  • Whitelist (metodo della Corea del Nord) - Permetti solo i siti che controlli.
  • Blocco di tutto il traffico crittografato + deep packet inspect (metodo cinese) - questa soluzione consente la comunicazione che trasmette i tuoi criteri per ciò che è accettabile e blocca le comunicazioni che non sei in grado di determinare il contenuto di.

Entrambi questi metodi richiedono il controllo e l'autorità completi su tutta l'infrastruttura internet nell'area che si desidera censurare.

Come hai detto, il blocco di tutto il traffico criptato non funziona davvero - la Cina ha trovato anche questo: anche se ci hanno provato, la gente si aggira usando Steganography che è la pratica di nascondere i messaggi, ad esempio:

I am illustrating a hidden message because I
hate to see unanswered questions. I will help
you to understand.

Leggendo la prima parola di ogni riga si rivela il messaggio nascosto "Ti odio" (ci sono, naturalmente, dei modi più intelligenti per Steganography ma è solo un'illustrazione)

    
risposta data 03.04.2014 - 17:44
fonte
12

"Efficienza" dipende dai tuoi obiettivi.

Un punto importante da fare è che tutte le tecniche di blocco possono essere aggirate, ad un prezzo. Ad esempio, un individuo può utilizzare un telefono satellitare per ottenere la connettività che non può essere bloccata dal suo paese, salvo tramite intervento fisico diretto delle forze armate. Ma l'uso di tali sistemi è piuttosto costoso. I paesi che intendono bloccare tale accesso illegale alle risorse esterne vieteranno anche l'importazione di elementi tecnologici di questo tipo. Per esempio. prova ad importare un telefono satellitare in Corea del Nord ... Globalmente, l'applicazione di una censura rigorosa ed efficace contro tutta la tua popolazione sarà costosa, specialmente se la suddetta popolazione ha un accesso altrimenti non ordinato alla tecnologia (è più facile bloccare l'intero Internet che solo una parte di esso).

D'altra parte, se tutto ciò che si desidera è una postura, per placare l'ala più conservatrice della propria parte, è sufficiente un blocco basato su IP. Questo non è un problema che è facilmente aggirabile con proxy e VPN; il simbolo è ciò che conta. Come variante, vietare legalmente un sito può essere sufficiente per ottenere la qualifica legale per mettere in difficoltà i trasgressori; in alcuni paesi, questi espedienti legali sono importanti.

    
risposta data 03.04.2014 - 17:40
fonte
5

Alcune ricerche su questo argomento:

Analisi empirica del filtraggio di Internet in Cina (2003)

For some 1,043 of sites tested, we confirmed that DNS servers in China report a web server other than the official web sever actually designated via each site's authoritative name servers. We call this phenomenon "DNS redirection," though others sometimes refer to the situation as "DNS hijacking." Consistent with prior reporting by Dynamic Internet Technology, our data show that such sites were consistently unreachable in their entirety.

Filtering on the basis of keywords in URL. Beginning in September 2002, our data reflect that when a subscriber to a Chinese ISP submitted a URL request that itself contains certain words or phrases -- this typically happens for search engine searches, like http://www.google.com/search?q=jiang+zemin -- no response would be received.

Filtering on the basis of keywords or phrases in HTML response. Beginning in September 2002, the authors observed that certain keywords in HTML response pages seemed to be blocked by Chinese network infrastructure. In particular, even when a page came from a server not otherwise filtered, and even when the page featured a URL without controversial search terms, it might nonetheless be inaccessible if the page itself contained particular controversial terms. Such pages were often truncated, i.e. interrupted midway through their display.

Other Effects of Chinese Filtering: Routing. The authors have observed that some American ISPs route packets through China towards destinations beyond China (in particular, to Hong Kong). When the desired web servers are blocked from China, such a routing typically yields to filtering by network equipment in China of an American user's request. In response to this problem, affected American ISPs can address the situation by manually altering the routes used to reach hosts in Hong Kong and elsewhere. However, affected ISPs are often unaware of the situation, and an effective response requires delay and/or causes additional expense as an affected ISP finds the necessary partner ISPs and establishes peering relationships with them.

Dall'appendice tecnica: link

The Velocity of Censorship: rilevamento dell'alta fedeltà di Microblog Post Delezioni (2013)

Weibo and other popular Chinese microblogging sites are well known for exercising internal censorship, to comply with Chinese government requirements. This research seeks to quantify the mechanisms of this censorship: how fast and how comprehensively posts are deleted. Our analysis considered 2.38 million posts gathered over roughly two months in 2012, with our attention focused on repeatedly visiting “sensitive” users.

We found that deletions happen most heavily in the first hour after a post has been submitted. Focusing on original posts, not reposts/retweets, we observed that nearly 30% of the total deletion events occur within 5– 30 minutes. Nearly 90% of the deletions happen within the first 24 hours.

Carta: link

ConceptDoppler (2007)

ConceptDoppler is a weather tracker for Internet censorship. Using ConceptDoppler we can track the list of keywords that a government uses to censor Internet traffic. For GFC keyword filtering, we can also locate the routers performing filtering and deduce the architecture of this censorship mechanism.

We use Latent Semantic Analysis to prioritize the words we check. Just as an understanding of the mixing of gases led to effective weather tracking, understanding the relationship between sensitive concepts and blocked keywords will lead to more effective tracking of Internet censorship. More details are available in the paper.

Carta: link

Domande frequenti: link

Sito web con elenco di parole chiave bloccate: link

Il terzo articolo è un po 'datato, ma Jedidiah R. Crandall è ora un professore e continua a lavorare su combattere la censura; il secondo documento è del suo dipartimento. Sicuramente vale la pena dare un'occhiata.

    
risposta data 05.04.2014 - 22:05
fonte
4

In realtà è una questione di risorse. Se un paese fosse disposto a dedicare un'enorme quantità di tempo, denaro ed esperienza al problema, credo che sarebbe possibile bloccare in modo efficace alcuni siti selezionati.

Il ragionamento è che tutti i metodi di elusione stessi devono essere ampiamente pubblicizzati tra il pubblico di destinazione per avere successo. Un governo dotato di risorse sufficienti potrebbe bloccare ogni proxy, specchio o tunnel non appena ne viene a conoscenza. Ciò lascerebbe solo alcune fonti di accesso fortunate o specializzate (ad esempio, lo 0,0005% della popolazione che può utilizzare Tor), il che potrebbe essere sufficiente per raggiungere i loro obiettivi politici.

Tuttavia, senza disconnettersi completamente da Internet , Non credo che si possa ottenere un blocco ampio (ad es. Tutti i siti di notizie). Per fortuna, The Net interpreta la censura come danno e percorsi intorno ad esso . (pioniere di Internet John Gilmore, co-fondatore della Electronic Frontier Foundation )

    
risposta data 04.04.2014 - 09:41
fonte
3

Un metodo di censura che non è stato ancora menzionato è TCP Reset packet injection, che interrompe connessioni indesiderate tramite pacchetti RST TCP forgiati. Il Grande Firewall della Cina è noto per averlo fatto per anni (fonte: link ) . Spesso questo viene utilizzato in combinazione con DPI, come ad esempio il fingerprinting del protocollo sulle connessioni Tor ( link ).

Il mio datore di lavoro (EFF) ha scritto una buona guida introduttiva per rilevare gli attacchi di iniezione di pacchetti: link

    
risposta data 05.04.2014 - 22:57
fonte

Leggi altre domande sui tag