Ymchwilwyr o Brifysgol Maryland fel rhan o'r prosiect ceisiodd greu i awtomeiddio canfod dulliau a ddefnyddir i sensro mynediad at gynnwys. Mae ceisio rhestru gwendidau posibl â llaw mewn systemau archwilio pecynnau dwfn (DPI) yn broses eithaf anodd ac amser-gymerol, ond ceisiodd Geneva ddefnyddio i werthuso nodweddion DPI, nodi gwallau gweithredu, a datblygu strategaeth orau ar gyfer osgoi blocio ochr y cleient. Cod y prosiect yn iaith Python.
Mae gan yr offer a ddefnyddir ar gyfer blocio DPI ei offer ei hun , gan ganiatáu ichi guddio mynediad at adnodd gwaharddedig neu osgoi blocio. Er enghraifft, yn yr achos symlaf, wrth drefnu blocio trwy roi ymateb ffug yn lle (a ddefnyddir gan DPI goddefol), mae'n ddigonol ar ochr y cleient. Ymateb ffug a anfonir gan DPI. Wrth ddefnyddio DPI gweithredol, gallwch geisio cuddio'r ffaith eich bod yn cyrchu safle sydd wedi'i rwystro trwy addasu paramedrau'r cais HTTP ychydig (er enghraifft, ychwanegu bwlch ychwanegol ar ôl "GET"), rhannu'r data negodi cysylltiad TLS yn becynnau lluosog, neu berfformio ymosodiadau TCB Teardown a TCB Desync. Mae'r ymosodiadau hyn yn cynnwys y cleient yn anfon pecyn ffug gyda data neu faneri RST/ACK i ddechrau. Ni fydd y gwesteiwr targed yn derbyn y pecyn hwn, ond bydd DPI yn ei ganfod, yn gwneud penderfyniad yn seiliedig arno, ac ni fydd yn dadansoddi'r pecyn dilynol gyda'r cais go iawn (er enghraifft, gallwch nodi SNI gwahanol yn y pecyn ffug cyntaf, ac i guddio'r pecyn hwn rhag y gwesteiwr targed, gallwch osod TTL isel, yn ogystal â swm gwirio, baneri, neu rif dilyniant TCP anghywir).
Genefa I ddatblygu dull osgoi DPI gweithredol gan ddefnyddio pedwar cyntefig trin pecynnau rhwydwaith sylfaenol: gollwng, addasu pennawd, dyblygu, a darnio. I ddewis y strategaeth orau, defnyddir algorithm genetig, gan efelychu prosesau tebyg i ddetholiad naturiol trwy gyfuniadau ar hap o wahanol opsiynau trin pecynnau. Yn y pen draw, cyfunir y cyntefigion yn "goeden weithredu" sy'n diffinio'r algorithm osgoi DPI.
Mae Geneva wedi cael ei brofi'n llwyddiannus i osgoi dulliau sensoriaeth a ddefnyddir yn Tsieina, India, a Kazakhstan. Nodwyd nifer o wendidau anhysbys o'r blaen hefyd gan ddefnyddio Geneva. Fodd bynnag, dim ond yn erbyn blocio sy'n seiliedig ar DPI y mae Geneva yn effeithiol; mae'n ddiwerth yn erbyn blocio sy'n seiliedig ar gyfeiriad IP, ac mae angen VPN. Yn ystod yr arbrofion, Mae yna sawl dwsin o strategaethau osgoi DPI nodweddiadol y gellir eu profi ar unwaith heb gynnal dadansoddiad llawn, er enghraifft:
python3 engine.py --server-porthladd 80 --strategy "[TCP:flags:PA]-duplicate(tamper{TCP:dataofs:replace:10} tamper{TCP:chksum:corrupt},),)-|" --log dadfygio
2020-01-24 20:54:41 DADDYFYGU:[PEIRIANT] Peiriant wedi'i greu gyda strategaeth \/ (ID bm3kdw3r) i borthladd 80
2020-01-24 20:54:41 DADDYGIAD:[PEIRIANT] Ffurfweddu rheolau iptables
2020-01-24 20:54:41 DADDYFYGU:[PEIRIANT] iptables -A ALLBWN -p tcp --sport 80 -j NFQUEUE --ciw-rif 1
2020-01-24 20:54:41 DADDYFYGU:[PEIRIANT] iptables -A MEWNBWN -p tcp --dporthladd 80 -j NFQUEUE --ciw-rif 2
2020-01-24 20:54:41 DADDYGIAD:[PEIRIANT] iptables -A ALLBWN -p udp --sport 80 -j NFQUEUE --ciw-rif 1
2020-01-24 20:54:41 DADDYGIAD:[PEIRIANT] iptables -A MEWNBWN -p udp --dporthladd 80 -j NFQUEUE --ciw-rif 2
Ffynhonnell: opennet.ru
