¿Cómo bloquea un país a sus ciudadanos el acceso a un sitio?

50

Siguiendo los recientes bloques de sitios sociales de Turquía, me pregunto cómo puede lograr eso de manera eficiente como país. Similar para una gran empresa.

Bloqueo de direcciones IP → fácil de eludir (proxys, túneles, etc.) Bloqueo / redireccionamiento de DNS → escriba la dirección o similar a la anterior

Inspección profunda de paquetes → requiere muchos recursos, ¿se puede hacer en una escala de todo un país? Y nuevamente, cifrando el tráfico, HTTPS, SSH, etc.…

¿Terminando todas las conexiones en las puertas de enlace de país, inspeccionando el tráfico y luego cifrando el tráfico nuevamente? Parece mucho, mucho tiempo.

¿Hay alguna (¿obvia?) o alguna otra forma que no haya visto?

Estoy hablando en general y no para el ejemplo de Turquía. Y eliminar todo el tráfico cifrado no parece ser una opción para un país.

    
pregunta blended 03.04.2014 - 17:28
fuente

5 respuestas

34

Has cubierto los principales. En resumen: es muy difícil, si no imposible, bloquear efectivamente el sitio que desea. Puede hacerlo difícil usando las técnicas que ha mencionado: bloquear direcciones IP, redirigir DNS, bloquear solicitudes HTTP a ciertos sitios / que contienen ciertas palabras clave.

Estos métodos se pueden utilizar con proxies (en el caso de una inspección profunda de paquetes, se necesitarían proxies encriptados), por lo que terminará con una situación de persecución: al bloquear un sitio, aparecerán proxies y al bloquear esos proxies. aún más comenzará. Lo más cerca que nadie ha llegado es Corea del Norte, y lo controlan controlando todos los sitios en la intranet de su país.

Así que los métodos más efectivos:

  • Lista blanca (método de Corea del Norte): solo permite los sitios que controla.
  • Bloqueo de todo el tráfico cifrado + inspección profunda de paquetes (método de China): esta solución permite la comunicación que pasa sus criterios para lo que es aceptable y bloquea las comunicaciones de las que no puede determinar el contenido.

Ambos métodos requieren un control / autoridad total sobre toda la infraestructura de Internet en el área que desea censurar.

Como ha dicho, el bloqueo de todo el tráfico encriptado no funciona realmente. China también ha encontrado esto: aunque intentaron hacerlo, la gente está sorteando esto mediante el uso de la esteganografía, que es la práctica de ocultar mensajes, por ejemplo:

I am illustrating a hidden message because I
hate to see unanswered questions. I will help
you to understand.

La lectura de la primera palabra de cada línea revela el mensaje oculto "Te odio" (hay, por supuesto, formas más inteligentes de realizar la esteganografía, pero eso es solo una ilustración)

    
respondido por el Emily Shepherd 03.04.2014 - 17:44
fuente
12

"La eficiencia" depende de tus objetivos.

Un punto importante que se debe hacer es que todas las técnicas de bloqueo pueden ser evitadas, a un precio. Por ejemplo, una persona puede usar un teléfono satelital para obtener conectividad que no puede ser bloqueada por su país, salvo por intervención física directa de las fuerzas armadas. Pero el uso de tales sistemas es bastante caro. Los países que intentan bloquear dicho acceso ilegal a recursos externos también prohibirán la importación de elementos tecnológicos de ese tipo. P.ej. intente importar un teléfono satelital a Corea del Norte ... A nivel mundial, la aplicación de una censura estricta y efectiva contra toda su población será costosa, especialmente si dicha población tiene acceso sin tecnología a la tecnología (es más fácil bloquear todo el Internet que solo una parte) de eso).

Por otra parte, si todo lo que quieres es una postura, para apaciguar al ala más conservadora de tu propio partido, entonces es suficiente un bloqueo basado en IP. Este no es un problema que se pueda eludir fácilmente con proxies y VPN; El símbolo es lo que importa. Como variante, prohibir legalmente algún sitio puede ser suficiente para obtener la calificación legal para poner a los intrusos en problemas; En algunos países, estos trucos legalistas son importantes.

    
respondido por el Tom Leek 03.04.2014 - 17:40
fuente
5

Algunas investigaciones sobre este tema:

Análisis empírico del filtrado de Internet en China (2003)

  

Para unos 1.043 de los sitios analizados, confirmamos que los servidores DNS en China informan de un servidor web distinto del servidor web oficial designado en realidad a través de los servidores de nombres autorizados de cada sitio. Llamamos a este fenómeno "redirección de DNS", aunque otros a veces se refieren a la situación como "secuestro de DNS". De acuerdo con los informes previos de Dynamic Internet Technology, nuestros datos muestran que dichos sitios no fueron accesibles en su totalidad.

     

Filtrado en función de las palabras clave en la URL. A partir de septiembre de 2002, nuestros datos reflejan que cuando un suscriptor a un ISP chino presentó una solicitud de URL que contiene ciertas palabras o frases, normalmente sucede para las búsquedas en los motores de búsqueda, como enlace : no se recibirá ninguna respuesta.

     

Filtrado sobre la base de palabras clave o frases en la respuesta HTML. A partir de septiembre de 2002, los autores observaron que ciertas infraestructuras en las páginas de respuesta HTML parecían estar bloqueadas por la infraestructura de red china. En particular, incluso cuando una página proviene de un servidor que no está filtrado de otra manera, e incluso cuando la página presenta una URL sin términos de búsqueda controvertidos, podría ser inaccesible si la página en sí contenía términos controvertidos particulares. Dichas páginas a menudo se truncaban, es decir, se interrumpían a mitad de camino a través de su pantalla.

     

Otros efectos del filtrado chino: enrutamiento. Los autores han observado que algunos PSI estadounidenses enrutan paquetes a través de China hacia destinos más allá de China (en particular, a Hong Kong). Cuando los servidores web deseados están bloqueados desde China, tal enrutamiento generalmente se traduce en el filtrado por equipo de red en China de la solicitud de un usuario estadounidense. En respuesta a este problema, los ISP estadounidenses afectados pueden abordar la situación modificando manualmente las rutas utilizadas para llegar a los hosts en Hong Kong y en otros lugares. Sin embargo, los ISP afectados a menudo no son conscientes de la situación, y una respuesta efectiva requiere un retraso y / o causa un gasto adicional a medida que un ISP afectado encuentra los ISP socios necesarios y establece relaciones de interconexión con ellos.

Del apéndice técnico: enlace

La velocidad de la censura: Detección de alta fidelidad de una publicación de microblog Eliminaciones (2013)

  

Weibo y otros sitios populares de microblogging en China son   Bien conocido por ejercer censura interna, por cumplir.   con los requisitos del gobierno chino. Esta investigación   Busca cuantificar los mecanismos de esta censura:   Qué tan rápido y qué tan exhaustivamente se eliminan las publicaciones.   Nuestro análisis consideró 2,38 millones de mensajes reunidos durante   Aproximadamente dos meses en 2012, con nuestra atención enfocada.   en visitar repetidamente a usuarios "sensibles".

     

Encontramos que las eliminaciones ocurren con mayor intensidad en el   Primera hora después de que se haya enviado una publicación. Enfoque   En las publicaciones originales, no en las repeticiones / retweets, observamos que   casi el 30% de los eventos de eliminación total ocurren dentro de 5–   30 minutos. Casi el 90% de las eliminaciones ocurren dentro de   Las primeras 24 horas.

Documento: enlace

ConceptDoppler (2007)

  

ConceptDoppler es un rastreador del tiempo para la censura de Internet. Con ConceptDoppler podemos rastrear la lista de palabras clave que utiliza un gobierno para censurar el tráfico de Internet. Para el filtrado de palabras clave de GFC, también podemos ubicar los enrutadores que realizan el filtrado y deducir la arquitectura de este mecanismo de censura.

     

Utilizamos Análisis semántico latente para priorizar las palabras que verificamos. Del mismo modo que la comprensión de la mezcla de gases condujo a un seguimiento climático efectivo, la comprensión de la relación entre los conceptos sensibles y las palabras clave bloqueadas conducirá a un seguimiento más efectivo de la censura en Internet. Más detalles están disponibles en el papel.

Documento: enlace

Preguntas frecuentes: enlace

Sitio web con una lista de palabras clave bloqueadas: enlace

El tercer documento está un poco anticuado, pero Jedidiah R. Crandall es ahora un profesor y sigue trabajando en combatiendo la censura; El segundo papel es de su departamento. Definitivamente vale la pena echarle un vistazo.

    
respondido por el Janus Troelsen 05.04.2014 - 22:05
fuente
4

En realidad es una cuestión de recursos. Si un país estuviera dispuesto a dedicar una enorme cantidad de tiempo, dinero y experiencia al problema, creo que sería posible bloquear efectivamente algunos sitios seleccionados.

El razonamiento es que todos los métodos de elusión deben ser ampliamente difundidos entre el público objetivo para tener éxito. Un gobierno con recursos suficientes podría bloquear cada proxy, espejo o túnel tan pronto como se dieran cuenta de ello. Esto dejaría solo unas pocas fuentes de acceso afortunadas o especializadas (por ejemplo, el 0.0005% de la población que puede usar Tor), que puede ser suficiente para alcanzar sus objetivos políticos.

Sin embargo, sin desconectarse de Internet por completo , No creo que se pueda lograr un bloqueo amplio (por ejemplo, todos los sitios de noticias). Afortunadamente, The Net interpreta la censura como daño y rutas a su alrededor . (el pionero de Internet John Gilmore, co-fundador de la Electronic Frontier Foundation )

    
respondido por el scuzzy-delta 04.04.2014 - 09:41
fuente
3

Un método de censura que aún no se ha mencionado es la inyección de paquetes TCP Reset, que finaliza las conexiones no deseadas a través de paquetes TCP RST falsificados. Se sabe que el Gran Cortafuegos de China ha hecho esto durante años (fuente: enlace ) . A menudo, esto se usa junto con el DPI, como para hacer huellas digitales de protocolo en las conexiones Tor ( enlace ).

Mi empleador (EFF) ha escrito una buena guía de introducción para detectar ataques de inyección de paquetes: enlace

    
respondido por el Yan Z 05.04.2014 - 22:57
fuente

Lea otras preguntas en las etiquetas