Английские ученые взломали "Великий китайский брандмауэр"
Ученые из Кембриджского университета нашли способ организовать DoS-атаки против Китая с использованием его собственного брандмауэра. Они не только смогли проделать брешь в "великой китайской стене", но и нашли способ использовать брандмауэр для организации атаки на отказ в обслуживании, против определенных IP-адресов в этой стране.
Брандмауэр, в котором используются маршрутизаторы Cisco, работает, проверяя веб-трафик на определенные ключевые слова, которые правительство Китая хочет отфильтровать, включая термины политических идеологий и названия запрещенных групп. Исследователи Кембриджа протестировали брандмауэр пакетами данных, содержащими слово Falun из названия запрещенного религиозного течения Falun Gong. Они обнаружили, что китайские системы предупреждения вторжений (IDS) можно обойти, игнорируя искусственные сигналы сброса протокола TCP, выдаваемые китайскими маршрутизаторами, что обычно заставляет удаленные узлы разрывать соединение.
IDS использует адресный сервер без поддержки хранения адресов, который проверяет каждый пакет данных, как входящий, так и исходящей отдельно, вне зависимости от каких-либо предыдущих запросов. Фальсифицируя исходные адреса пакетов, содержащих "запрещенное" слово, можно заставить брандмауэр блокировать связь между адресами источника и конечного узла на время до одного часа.
Несмотря на то, что этот метод позволяет блокировать только связь между двумя конкретными точками в интернете, исследователи вычислили, что один злоумышленник, пользующийся dial-up соединением, может организовать "достаточно эффективную" атаку типа "denial of service". Если он будет передавать 100 запускающих пакетов в секунду, и каждый пакет вызовет 20-минутное нарушение связи, то за один сеанс можно нарушить связь между 120 тыс. пар узлов.
Брандмауэр, в котором используются маршрутизаторы Cisco, работает, проверяя веб-трафик на определенные ключевые слова, которые правительство Китая хочет отфильтровать, включая термины политических идеологий и названия запрещенных групп. Исследователи Кембриджа протестировали брандмауэр пакетами данных, содержащими слово Falun из названия запрещенного религиозного течения Falun Gong. Они обнаружили, что китайские системы предупреждения вторжений (IDS) можно обойти, игнорируя искусственные сигналы сброса протокола TCP, выдаваемые китайскими маршрутизаторами, что обычно заставляет удаленные узлы разрывать соединение.
IDS использует адресный сервер без поддержки хранения адресов, который проверяет каждый пакет данных, как входящий, так и исходящей отдельно, вне зависимости от каких-либо предыдущих запросов. Фальсифицируя исходные адреса пакетов, содержащих "запрещенное" слово, можно заставить брандмауэр блокировать связь между адресами источника и конечного узла на время до одного часа.
Несмотря на то, что этот метод позволяет блокировать только связь между двумя конкретными точками в интернете, исследователи вычислили, что один злоумышленник, пользующийся dial-up соединением, может организовать "достаточно эффективную" атаку типа "denial of service". Если он будет передавать 100 запускающих пакетов в секунду, и каждый пакет вызовет 20-минутное нарушение связи, то за один сеанс можно нарушить связь между 120 тыс. пар узлов.