"8 月 14 日,在加拿大温哥华举行的 FOCI 2017,研究者介绍了一个名为 Autosonda 的工具(PDF),用于自动检测防火墙的规则集和漏洞。Autosonda 旨在发现防火墙的 “模式”、“机制” 和 “技术”。模式说的是,防火墙检测的特征值,比如协议字段值。机制是如何提取特征的,比如使用正则表达式。技术是指屏蔽的效果是怎么样的,比如说一个提示被屏蔽的页面,或是注入的 RST。该系统依赖于运行在受审查的环境的客户端和在审查范围外的服务器。有些客户端测试需要 root 权限。研究者连接了纽约市的 76 个开放 Wi-Fi 作测试。他们使用访问 xvideos.com (Alexa 上成人类网站里最受欢迎的网站之一)作为网络是否受审查的预过滤器。根据模式,他们发现防火墙检查了 DNS 请求,一些则检查了 HTTP Host header,另一些解析了 Host header 的域名再与 IP 地址黑名单匹配。根据技术,一些防火墙发送了指向屏蔽提示页的伪造的 DNS 响应。根据机制,他们发送 HTTP over UDP,没有防火墙将它屏蔽。他们换用了 80 以外的端口,大多数防火墙会屏蔽。通过追加 query string 规避 URL 屏蔽是可能的,他们尝试同时发送两个 Host headers,一半的防火墙只注意到第一个,另一半的只注意到第二个,一小部分两个都看到了。11/44 的 HTTP 过滤器不重组 TCP,7 个不 IP 分片。改变 DNS 请求的大小写并不能规避过滤,不过有时改变 .com 为 .org 的时候游有用(这发生在他们都指向同一个网站时)。大多数防火墙会被改变 Host header 附近的空格所愚弄,而非大小写。作者说他们发现至少一个防火墙完全过滤了请求,但声称还需要检验。作者也承认,访问被禁止的网站取决于服务器的实现。毕竟请求 HTTP over UDP,标准的 HTTP 服务器是不会理的。
FOCI 2017 会议中另一个有趣的内容是之前提到的 TapDance,这项研究在 2015 年得到了美国国务院的资助,并得以在 ISP 上部署 TapDance。作者们不知道 TapDance 在实际中如何对抗检测,但 TapDance 如果被广泛部署了,那也没什么——因为屏蔽的代价会太高。另外 FOCI 2016 中的 GhostPost的一位论文作者 Frederick Douglas 也参与了 TapDance 的开发。GhostPost 并没有像教主说的那样,“这玩意儿被用户普遍接受后,新浪微博关闭了”,在上个月 GhostPost 作者称其服务器不再维护。 "
FOCI 2017 会议中另一个有趣的内容是之前提到的 TapDance,这项研究在 2015 年得到了美国国务院的资助,并得以在 ISP 上部署 TapDance。作者们不知道 TapDance 在实际中如何对抗检测,但 TapDance 如果被广泛部署了,那也没什么——因为屏蔽的代价会太高。另外 FOCI 2016 中的 GhostPost的一位论文作者 Frederick Douglas 也参与了 TapDance 的开发。GhostPost 并没有像教主说的那样,“这玩意儿被用户普遍接受后,新浪微博关闭了”,在上个月 GhostPost 作者称其服务器不再维护。 "