?

Log in

No account? Create an account

Previous Entry | Next Entry

Цензура в одно касание

«Министерство связи и коммуникаций Таиланда... проинформировало о том, что для пользователей интернета проживающих на территории Таиланда заблокирован доступ как минимум к 113000 сайтам. Большинство сайтов представляют из себя букмекерские конторы, казино, разнообразные онлайн-игры, и конечно же сайты для взрослых, которых в данном списке абсолютное большинство...»
Тут стоит пояснить, что в Таиланде азартные игры полностью запрещены.

Нашего брата-технаря в первую очередь интересует, как оно работает. Довольно просто. Ваш покорный слуга провёл эксперимент. Попробовал соединиться с веб-сайтом интернет-казино www.888.com (213.52.252.81). Сначала с европейского IP, потом с тайского. В первом случае никаких препятствий не замечено. Во втором – "сайт не найден".

Тайский DNS отрабатывает нормально, сообщает верные данные. TCP-хендшейк тоже проходит успешно. А затем откуда-то прилетает FIN-пакет от имени вызываемого сайта, содержащий код 404. На этом браузер, разумеется, работу прекращает. Иногда успевают придти ещё 2-3 пакета с данными от настоящего сайта, но их уже игнорируют, поскольку коннекция закрыта.

# tcpdump -n -i nfe0 -v -v -xX -s180 'host 213.52.252.81'
...
16:26:12.587168 IP (tos 0x0, ttl 64, id 12962, offset 0, flags [DF], proto TCP (6), 
length 60) 192.168.1.33.62414 > 213.52.252.81.80: S, cksum 0x192e (correct), 
1060238141:1060238141(0) win 65535 <mss 1460,nop,wscale 3,sackOK,timestamp 57700744 0>
        0x0000:  4500 003c 32a2 4000 4006 74ca c0a8 0121  E..<2.@.@.t....!
        0x0010:  d534 fc51 f3ce 0050 3f31 f33d 0000 0000  .4.Q...P?1.=....
        0x0020:  a002 ffff 192e 0000 0204 05b4 0103 0303  ................
        0x0030:  0402 080a 0370 7188 0000 0000            .....pq.....
16:26:12.867348 IP (tos 0x0, ttl 249, id 23106, offset 0, flags [DF], proto TCP (6), 
length 44) 213.52.252.81.80 > 192.168.1.33.62414: S, cksum 0x7d63 (correct), 
3463410378:3463410378(0) ack 1060238142 win 8190 <mss 1360>
        0x0000:  4500 002c 5a42 4000 f906 9439 d534 fc51  E..,ZB@....9.4.Q
        0x0010:  c0a8 0121 0050 f3ce ce6f 72ca 3f31 f33e  ...!.P...or.?1.>
        0x0020:  6012 1ffe 7d63 0000 0204 0550 0204       `...}c.....P..
16:26:12.867392 IP (tos 0x0, ttl 64, id 12963, offset 0, flags [DF], proto TCP (6), 
length 40) 192.168.1.33.62414 > 213.52.252.81.80: ., cksum 0xb4ba (correct), 
1:1(0) ack 1 win 65535
        0x0000:  4500 0028 32a3 4000 4006 74dd c0a8 0121  E..(2.@.@.t....!
        0x0010:  d534 fc51 f3ce 0050 3f31 f33e ce6f 72cb  .4.Q...P?1.>.or.
        0x0020:  5010 ffff b4ba 0000                      P.......
16:26:12.867491 IP (tos 0x0, ttl 64, id 12964, offset 0, flags [DF], proto TCP (6), 
length 1191) 192.168.1.33.62414 > 213.52.252.81.80: P 1:1152(1151) ack 1 win 65535
        0x0000:  4500 04a7 32a4 4000 4006 705d c0a8 0121  E...2.@.@.p]...!
        0x0010:  d534 fc51 f3ce 0050 3f31 f33e ce6f 72cb  .4.Q...P?1.>.or.
        0x0020:  5018 ffff 78b6 0000 4745 5420 2f20 4854  P...x...GET./.HT
        0x0030:  5450 2f31 2e31 0d0a 486f 7374 3a20 7777  TP/1.1..Host:.ww
        0x0040:  772e 3838 382e 636f 6d0d 0a55 7365 722d  w.888.com..User-
        0x0050:  4167 656e 743a 204d 6f7a 696c 6c61 2f35  Agent:.Mozilla/5
        0x0060:  2e30 2028 5831 313b 2055 3b20 4672 6565  .0.(X11;.U;.Free
        0x0070:  4253 4420 6933 3836 3b20 656e 2d55 533b  BSD.i386;.en-US;
        0x0080:  2072 763a 312e 392e 302e 3529 2047 6563  .rv:1.9.0.5).Gec
        0x0090:  6b6f 2f32 3030 3831 3232 3230 3820 4669  ko/2008122208.Fi
        0x00a0:  7265 666f 782f                           refox/
16:26:13.120632 IP (tos 0x0, ttl 249, id 21725, offset 0, flags [DF], proto TCP (6), 
length 40) 213.52.252.81.80 > 192.168.1.33.62414: ., cksum 0x8954 (correct), 
1:1(0) ack 1152 win 9959
        0x0000:  4500 0028 54dd 4000 f906 99a2 d534 fc51  E..(T.@......4.Q
        0x0010:  c0a8 0121 0050 f3ce ce6f 72cb 3f31 f7bd  ...!.P...or.?1..
        0x0020:  5010 26e7 8954 0000 8b2e 0000 0000       P.&..T........
16:26:13.168332 IP (tos 0x0, ttl 119, id 0, offset 0, flags [none], proto TCP (6), 
length 405) 213.52.252.81.80 > 192.168.1.33.62414: F 1:366(365) ack 1152 win 9959
        0x0000:  4500 0195 0000 0000 7706 af13 d534 fc51  E.......w....4.Q
        0x0010:  c0a8 0121 0050 f3ce ce6f 72cb 3f31 f7bd  ...!.P...or.?1..
        0x0020:  5011 26e7 f1b7 0000 4854 5450 2f31 2e31  P.&.....HTTP/1.1
        0x0030:  2034 3034 204e 6f74 2046 6f75 6e64 0d0a  .404.Not.Found..
        0x0040:  4461 7465 3a20 4672 692c 2031 3620 4d61  Date:.Fri,.16.Ma
        0x0050:  7920 3230 3038 2030 393a 3038 3a30 3320  y.2008.09:08:03.
        0x0060:  474d 540d 0a53 6572 7665 723a 2041 7061  GMT..Server:.Apa
        0x0070:  6368 650d 0a43 6f6e 7465 6e74 2d4c 656e  che..Content-Len
        0x0080:  6774 683a 2032 3036 0d0a 436f 6e6e 6563  gth:.206..Connec
        0x0090:  7469 6f6e 3a20 636c 6f73 650d 0a43 6f6e  tion:.close..Con
        0x00a0:  7465 6e74 2d54                           tent-T
16:26:13.168370 IP (tos 0x0, ttl 64, id 12965, offset 0, flags [DF], proto TCP (6), 
length 40) 192.168.1.33.62414 > 213.52.252.81.80: ., cksum 0xaecd (correct), 
1152:1152(0) ack 367 win 65535
        0x0000:  4500 0028 32a5 4000 4006 74db c0a8 0121  E..(2.@.@.t....!
        0x0010:  d534 fc51 f3ce 0050 3f31 f7bd ce6f 7439  .4.Q...P?1...ot9
        0x0020:  5010 ffff aecd 0000                      P.......
...

А в этом случае вслед за ложным пакетом пришёл настоящий:

16:03:03.064495 IP 213.52.252.81.80 > 192.168.1.33.59489: . 1:1361(1360) ack 1133 
win 64378
        0x0000:  4500 0578 4a53 4000 6d06 2add d534 fc51  E..xJS@.m.*..4.Q
        0x0010:  c0a8 0121 0050 e861 96bb d456 498c bd5b  ...!.P.a...VI..[
        0x0020:  5010 fb7a 213d 0000 4854 5450 2f31 2e31  P..z!=..HTTP/1.1
        0x0030:  2034 3034 204e 6f74 2046 6f75 6e64 0d0a  .404.Not.Found..
        0x0040:  4461 7465 3a20 4672 692c 2031 3620 4a75  Date:.Fri,.16.Ju
        0x0050:  6c20 3230 3130 2031 323a 3034 3a31 3620  l.2010.12:04:16.
        0x0060:  474d 540d 0a53 6572 7665 723a 204d 6963  GMT..Server:.Mic
        0x0070:  726f 736f 6674 2d49 4953 2f36 2e30 0d0a  rosoft-IIS/6.0..
        0x0080:  7372 763a 2032 3334 3434 3332 0d0a 582d  srv:.2344432..X-
        0x0090:  4173 704e 6574 2d56 6572 7369 6f6e 3a20  AspNet-Version:.
        0x00a0:  322e 302e 3530 3732 370d 0a53 6574 2d43  2.0.50727..Set-C
        0x00b0:  6f6f 6b69 653a 204d 6169                 ookie:.Mai
16:03:03.066518 IP 192.168.1.33.59489 > 213.52.252.81.80: F 1133:1133(0) ack 1361 
win 65535
        0x0000:  4500 0028 2fdb 4000 4006 77a5 c0a8 0121  E..(/.@.@.w....!
        0x0010:  d534 fc51 e861 0050 498c bd5b 96bb d9a6  .4.Q.a.PI..[....
        0x0020:  5011 ffff bc87 0000                      P.......
16:03:03.067164 IP 213.52.252.81.80 > 192.168.1.33.59489: . 1361:2721(1360) ack 1133 
win 64378
        0x0000:  4500 0578 4a54 4000 6d06 2adc d534 fc51  E..xJT@.m.*..4.Q
        0x0010:  c0a8 0121 0050 e861 96bb d9a6 498c bd5b  ...!.P.a....I..[
        0x0020:  5010 fb7a 33a8 0000 0a3c 7363 7269 7074  P..z3....<script
        0x0030:  2074 7970 653d 2274 6578 742f 6a61 7661  .type="text/java
        0x0040:  7363 7269 7074 223e 0d0a 7661 7220 4e54  script">..var.NT
        0x0050:  5054 5f49 4d47 5352 4320 3d20 2768 7474  PT_IMGSRC.=.'htt
        0x0060:  703a 2f2f 7074 3130 3031 3237 2e75 6e69  p://pt100127.uni
        0x0070:  6361 2e63 6f6d 2f6e 7470 6167 6574 6167  ca.com/ntpagetag
        0x0080:  2e67 6966 273b 0d0a 7661 7220 4e54 5054  .gif';..var.NTPT
        0x0090:  5f48 5454 5053 494d 4753 5243 203d 2027  _HTTPSIMGSRC.=.'
        0x00a0:  6874 7470 733a 2f2f 7074 3130 3031 3237  https://pt100127
        0x00b0:  2e75 6e69 6361 2e63 6f6d                 .unica.com



Кстати, тип сервера в "цензурном" пакете чаще "Apache", но иногда "Microsoft-IIS/6.0"

"Цензурный" пакет выделить очень просто – у него неправильный TTL. Если на пакетном фильтре дропить пакеты с ttl=119, то соединение проходит нормально.

Кто же отправляет нам пакет-убийцу? Напрашивается предположение, что имеющий ttl=119 рождается в 9 хопах от нас. Ну-ка, ну-ка, что у нас на этом расстоянии?
$>traceroute www.888.com
traceroute to www.888.com (213.52.252.81), 64 hops max, 40 byte packets
 1  192.168.1.1 (192.168.1.1)  0.444 ms  0.275 ms  0.195 ms
 2  * * *
 3  10.169.214.169 (10.169.214.169)  31.510 ms  32.435 ms  29.890 ms
 4  119-46-121-85.static.asianet.co.th (119.46.121.85)  29.674 ms  32.162 ms  32.737 ms
 5  61-91-210-66.static.asianet.co.th (61.91.210.66)  30.012 ms  32.228 ms  32.476 ms
 6  203-144-144-27.static.asianet.co.th (203.144.144.27)  33.194 ms  32.043 ms  32.686 ms
 7  61-91-210-1.static.asianet.co.th (61.91.210.1)  32.518 ms  32.734 ms  32.943 ms
 8  TIG-Net28-145.trueintergateway.com (122.144.28.145)  32.577 ms  31.177 ms *
 9  SG-ICR-ANC1-26-206.trueintergateway.com (122.144.26.206)  262.687 ms  263.045 ms  *
10  tig-net26-94.trueintergateway.com (122.144.26.94)  267.114 ms  264.743 ms  263.230 ms
11  linx.telecityredbus.net (195.66.224.82)  265.838 ms  265.468 ms  264.375 ms
12  217.20.44.193 (217.20.44.193)  275.171 ms  274.265 ms  275.389 ms
13  * te1-3-dist65-01.lon7.telecity.net (217.20.44.185)  264.181 ms  265.129 ms
14  213.52.218.242 (213.52.218.242)  263.007 ms  259.713 ms  262.813 ms
15  * 213.52.255.233 (213.52.255.233)  281.345 ms  281.322 ms
16  * * * 

Там находится стык провайдера "True International Gateway Co., Ltd." (MAINT-TRUEINTERGATEWAY-TH) с большим Интернетом.

Ну, что ж... Достаточно дешёвая и эффективная система. Преодолеть её, конечно, можно. Но кто станет этим заниматься? Особенно с учётом того, что всегда можно съездить в соседнюю Камбоджу, где азартные игры разрешены, а казино начинаются ещё до пересечения камбоджийской границы, прямо на нейтральной полосе.


ЗЫ. Кстати, если вместо "httр://www.888.com/" сказать браузеру "httр://213.52.252.81/", то азартный сайт открывается как ни в чём не бывало. Ай, коллеги, неаккуратненько!

Comments

( 21 comments — Leave a comment )
(Anonymous)
Jul. 16th, 2010 04:06 pm (UTC)
ไม่เป็นไร
infowatch
Jul. 16th, 2010 06:32 pm (UTC)
Нет, всё-таки надо поправить. Хотя бы для крупнейших казино.
oshibka404
Jul. 16th, 2010 04:17 pm (UTC)
Вот с возможностью обращения по IP они лажанулись, да.
А вообще, система блокирования интересная.
(Deleted comment)
aka_author
Jul. 16th, 2010 04:46 pm (UTC)
Говорят, игроман может поставить в очень сложное положение себя и своих близких. Обществу придется так или иначе разгребать его проблемы. Он наберет кредитов, которые потом придется списывать, или сопрет что-нибудь и сядет. Зачем это надо.
infowatch
Jul. 16th, 2010 06:24 pm (UTC)
Тайцы в среднем довольно азартные люди. А теорвер и матстат знают не очень...
aka_author
Jul. 16th, 2010 07:06 pm (UTC)
Нет бы тамошнему правительству тервер и матстат в массы двигать.
aka_author
Jul. 16th, 2010 04:35 pm (UTC)
*** а казино начинаются ещё до пересечения камбоджийской границы, прямо на нейтральной полосе. ***

Осталось им только начать предоставлять морально неустойчивым соседям услуги по аренде виртуальных машин. Арендую виртуальную машину в Камбодже, захожу на нее терминалом и хоть в рулетку с нее играю, хоть сиськи-письки рассматриваю.
kastaneda
Jul. 16th, 2010 04:58 pm (UTC)
Познавательно.
(Anonymous)
Jul. 16th, 2010 06:03 pm (UTC)
Ожидал увидеть опенку, а не фряху :)
infowatch
Jul. 16th, 2010 06:35 pm (UTC)
Сейчас поправлю. ;) В листинге.
gul_kiev
Jul. 16th, 2010 06:09 pm (UTC)
Интересно.
И непонятно, как это реализовано технически. Неужели у них получается инспектировать весь внешний http-трафик Таиланда? IMHO проще было transparent proxy сделать, но тут его нет (с ним были бы свои грабли).
А то, что по IP пускает - оно понятно. Блокировка ведь не по IP, а по имени сайта, иначе можно из-за одного азартного сайта заблокировать весь хостинг с многими нормальными сайтами.
infowatch
Jul. 16th, 2010 06:37 pm (UTC)
Прокси-сервер - заведомо более ресурсоёмкая штука, чем снифер.
vabelov
Jul. 16th, 2010 08:20 pm (UTC)
Фуфло какое-то ...
Такое впечатление - будто бы тоже государственные деньги пилят,
а на сдачу - вот такое вот мастерят... ;)

Кстати, похоже самым user-friendly средством преодоления
подобных "защит" становится tor - поставить софт под винды
(на все вопросы, в том числе на просьбу ввести ip адрес - ответить "да"),
потом плагин к броузеру - и вуаля. Осталось им сделать в клиенте
по умолчанию включенным "сервер" ... ;)
infowatch
Jul. 16th, 2010 09:33 pm (UTC)
Поверишь ли, но я ничего не преодолевал. Я об этой цензуре из новостей узнал. Более того, пришлось потрудиться (целых 3 команды ввести), чтобы почувствовать эту цензуру.

Не надо ТОРа. Не надо плагинов. OpenVPN - более чем достаточно.
vabelov
Jul. 17th, 2010 08:28 pm (UTC)
опен-впн - надо куда то приземлять - а это уже явный рокет сайнс.
А тор - теперь настоящий сервис "для домохозяек"
(пусть даже они считают себя "оппозиционными журналистами") -
скачал, установил - и все, работает.

А про то, что "о цензуре из новостей узнал" -
ты что же - не играешь в покер онлайн ? ;)
infowatch
Jul. 17th, 2010 10:39 pm (UTC)
Кстати, интересная проблема вырисовывается. Пользователи из цензурируемых стран активно ставят себе ТОР, чтобы обходить цензуру. Этим они увеличивают вероятность, что "точка выхода" из ТОР-сети окажется внутри такой страны. В том числе, для пользователей из "нецензурных" стран. Называется, прокопали подземный ход в соседнюю камеру. После этого ТОР теряет популярность "на воле", и ситуация лишь усугубляется.
tassadar_ha
Jul. 18th, 2010 02:49 pm (UTC)
> Пользователи из цензурируемых стран активно ставят себе ТОР, чтобы обходить цензуру. Этим они увеличивают вероятность, что "точка выхода" из ТОР-сети окажется внутри такой страны.

Нет, точка выходы из ТОР - сервер, как она называется там - включается пользователем самостоятельно и при желании. Так что причинно-следственной связи тут нет.

alexboy_my_boy
Jul. 19th, 2010 08:36 am (UTC)
"ЗЫ. Кстати, если вместо "httр://www.888.com/" сказать браузеру "httр://213.52.252.81/", то азартный сайт открывается как ни в чём не бывало."
Защита на уровне детского сада. Еще помню в институте (закачка файлов была заблокирована на уровне прокси) я похожим образом файлы качал, меняя .rar на %2Erar. А это было 9 лет назад. Системы совершенствуются, но методы обхода защит остаются практически без изменений.
Еще такая мысль глубокая есть. Чем сложнее и навороченнее система - тем больше в ней дырок. И можно найти такой способ обхода защиты, что будет самому смешно, какой он элементарный. Главное нестандартный подход. И главное никому не говорить, а то залатают дырку. Вот в далеком моем детстве уличные таксофоны поменяли на электронные. Чтоб не по жетону звонить (а то ниточку умные люди к нему привязывали), а по карточке. Мануалов появилось... как этот чип работает (вернее не чип, а простенькая РПЗУшка с записанным кол-вом минут), байты, сдвиги, схемы, программаторы карточек. Жуть. И борьба шла нешуточная и с переменным успехом. Производители как выпустят новый чип с защитой от перешивки, так тут же лучшие фрикеры начинают думать как взломать и новые мануалы рассылают. А мне лень было возиться с паяльником и УК никто не отменял. Я вообще без карточки звонил. Надо было, например, позвонить по номеру 12-34-56 (у нас 6-значные номера), я набирал: 56, отбой, 12-34, кнопка повтора последнего номера. А аппарат думал, что я только четыре цифры из шести набрал и любезно разрешал поговорить хоть несколько часов.
infowatch
Jul. 19th, 2010 12:51 pm (UTC)
"На уровне детского сада" - это и есть то, чего добивалось тайское правительство. Ему ведь не требуется лишить доступа всяких гиков и хакеров. Ему требуется лишить доступа среднего игромана и ребёнка.

Дальнейшее усложнение системы повысило бы её эффективность на единицы процентов, а стоимость - в разы. Ваших таксофонов это тоже касается. Тут главное - вовремя остановиться.
infowatch
Oct. 28th, 2010 12:06 pm (UTC)
Мне тут подсказывают, что Великий Китайский Файервол устроен аналогично:
http://lionet.livejournal.com/28584.html
( 21 comments — Leave a comment )

Latest Month

October 2017
S M T W T F S
1234567
891011121314
15161718192021
22232425262728
293031    

Tags

Powered by LiveJournal.com
Designed by Tiffany Chow