Жоба аясында Мэриленд университетінің зерттеушілері құруға тырысты мазмұнға қол жеткізуді цензуралау үшін қолданылатын әдістерді анықтауды автоматтандыру. Пакеттерді терең тексеру (DPI) жүйелеріндегі ықтимал осалдықтарды қолмен санауға тырысу өте қиын және уақытты қажет ететін процесс, бірақ Женева қолдануға тырысты. DPI мүмкіндіктерін бағалау, іске асыру қателерін анықтау және клиенттік блоктауды айналып өту үшін оңтайлы стратегияны әзірлеу. Жоба коды Python тілінде.
DPI блоктау үшін қолданылатын жабдықтың өзіндік ерекшелігі бар , тыйым салынған ресурсқа кіруді жасыруға немесе блоктауды болдырмауға мүмкіндік береді. Мысалы, қарапайым жағдайда, жалған жауапты ауыстыру арқылы блоктауды ұйымдастырған кезде (пассивті DPI пайдаланады), бұл клиент жағында жеткілікті. DPI жіберген жалған жауап. Белсенді DPI пайдаланған кезде, HTTP сұрау параметрлерін сәл өзгерту (мысалы, «GET» кейін қосымша бос орын қосу), TLS қосылымының келіссөз деректерін бірнеше пакеттерге бөлу немесе TCB Teardown және TCB Desync шабуылдарын орындау арқылы бұғатталған сайтқа кіру фактісін жасыруға әрекеттенуге болады. Бұл шабуылдар клиентке бастапқыда деректер немесе RST/ACK жалаушалары бар жалған пакетті жіберуді қамтиды. Бұл пакет мақсатты хостқа қабылданбайды, бірақ DPI оны анықтайды, оның негізінде шешім қабылдайды және нақты сұраумен кейінгі пакетті талдамайды (мысалы, жалған бірінші пакетте басқа SNI көрсетуге болады және бұл пакетті мақсатты хосттан жасыру үшін төмен TTL, сондай-ақ қате TTL ретін, бақылау сомасын немесе жалаушаны орнатуға болады).
Женева Желілік пакеттерді өңдеудің төрт негізгі примитивін пайдаланып жұмыс істейтін DPI айналып өту әдісін әзірлеу үшін: түсіру, тақырыпты өзгерту, қайталау және фрагментация. Оңтайлы стратегияны таңдау үшін әртүрлі пакеттік манипуляция опцияларының кездейсоқ комбинациялары арқылы табиғи іріктеуге ұқсас процестерді имитациялайтын генетикалық алгоритм қолданылады. Сайып келгенде, примитивтер DPI айналып өту алгоритмін анықтайтын «әрекеттер ағашына» біріктіріледі.
Женева Қытайда, Үндістанда және Қазақстанда қолданылатын цензура әдістерін айналып өту үшін сәтті сынақтан өтті. Женева арқылы бұрын белгісіз болған бірнеше осалдықтар да анықталды. Дегенмен, Женева тек DPI негізіндегі блоктауға қарсы тиімді; ол IP мекенжайы негізінде блоктауға қарсы пайдасыз және VPN қажет. Тәжірибелер барысында, Бірнеше ондаған типтік DPI айналып өту стратегиялары бар, оларды толық талдаусыз дереу тексеруге болады, мысалы:
python3 engine.py --server-port 80 --strategy "[TCP:flags:PA]-қайталанатын(тампер{TCP:dataofs:replace:10} бұрмалау{TCP:chksum:corrupt},),)-|" --log отладка
2020-01-24 20:54:41 ЖАСАУ:[ENGINE] 80 портқа дейін \/ (ID bm3kdw3r) стратегиясымен жасалған қозғалтқыш
24.01.2020 20:54:41 DEBUG:[ENGINE] iptables ережелерін конфигурациялау
2020-01-24 20:54:41 ЖАСАУ:[ҚОҚМАҚ] iptables -A OUTPUT -p tcp --sport 80 -j NFQUEUE --queue-num 1
2020-01-24 20:54:41 ЖАСАУ:[ҚЫЗМЕТКІ] iptables -A INPUT -p tcp --dport 80 -j NFQUEUE --queue-num 2
2020-01-24 20:54:41 ЖАСАУ:[ҚОҚМАҚ] iptables -A OUTPUT -p udp --sport 80 -j NFQUEUE --queue-num 1
2020-01-24 20:54:41 ЖАСАУ:[ҚЫЗМЕТКІ] iptables -A INPUT -p udp --dport 80 -j NFQUEUE --queue-num 2
Ақпарат көзі: opennet.ru
