IP头部分:
Identification(标识)字段:在第一批RST包中,伪源1和伪源2将其设置为一个固定的值,而正常的处理方式
 
是发送的每个IP报文都有不同的标识值,一般按生成次序递增。观察中发现伪源2的第二批RST包中该字段值会改变。
Flags(分片标志)字段:伪源1和伪源2处理方式不同,例如伪源1将DF(不分片)标志置0,伪源2将DF标志置1。
Time to Live(生存时间)字段:如前所述,伪源1的RST包到达客户端PC时经过的跳计数较大,而伪源2较小,且可推测与真正的源物理位置有差距。
TCP头部分:
Sequence number(序列号)字段:关键字过滤系统很可能会偶而繁忙导致本地出口堵塞,以致RST包发送延迟并晚于真正的源发回的数据包到达客户端PC,造成RST包被客户端PC丢弃,从而整个过滤干预行为失败。考虑到这个因素,伪源还具有序列号预测功能,例如伪源2相邻的3个RST包中该值分别相差1460(以太网默认MSS值)和2920(即1460*2)。
Window size(窗口大小)字段:伪源1和伪源2处理方式不同,例如伪源1似乎为该字段设置了一个随机值,伪源2将其置0。正常的RST包是将该字段置0。
DNS回应报文
返回的IP一般在一下四个中随机 (四个IP均已被屏蔽)一般返回四个到五个回应报文(害怕用户收不到?) 正常情况下应是一个
213.169.251.35
209.36.73.33 AT&T WorldNet Services
72.14.205.99 google
72.14.205.104 GOOGLE快照
向国外任意IP发送敏感的DNS解析请求都将返回伪造的回应报文 无论其是否提供DNS解析服务
nslookup sina.com google.com 提示timeout 超时
nslookup voanews.com google.com 返回伪造的IP
213.169.251.35
DNS回应报文 Identification(标识)字段 一般是 242 和64 , ttl可能和地理位置 路由等有关 一般有两或三个值
目前国内似乎还未对URL进行过滤检测 可能仅仅是在国际出入口进行HTTP URL检测
测试 google.com/voanews.com 连接被复位 三到五分钟无法访问
测试 sina.com/voanews.com 正常
另外MSN YMSG等IM在添加某些特定好友时也存在连接复位与服务器通信失败等现象
无法以HTTPS浏览某些特定网站 如WIKIPEDIA 据称可能是SSL证书过滤或者替换SSL证书中间人攻击
总而言之 GFW在数据挖掘和协议分析上做的还比较成功 系统还有很大潜力可以挖掘 |
发表于 2007-8-22 16:13:54
发表于 2007-8-23 15:17:15