Rostelecomによるサイトのブロックメカニズムの調査とそれを回避する方法

ロック結果

 HTTP / 1.1 302が見つかりました
接続：閉じる
場所：http://95.167.13.50/?st=0&dt=192.237.142.117&rs=grani.ru/

 f-8
転送エンコード：チャンク
接続：キープアライブ

 6d7
 <！DOCTYPE HTML>
 <html lang = "ru" xmlns：fb = "http://www.facebook.com/2008/fbml">
   <head>



     <メタ文字セット= "utf-8">

     <タイトル>
       Grani.ru：
      主なもの
     </ title>
 ...

 HTTP / 1.1 200 OK
サーバー：nginx / 1.2.1
日付：日曜日、2015年2月1日17:34:03 GMT
 Content-Type：テキスト/ html; 文字セット= utf-8
転送エンコード：チャンク
接続：キープアライブ

 6d7
 <！DOCTYPE HTML>
 <html lang = "ru" xmlns：fb = "http://www.facebook.com/2008/fbml">
   <head>



     <メタ文字セット= "utf-8">

     <タイトル>
       Grani.ru：
      主なもの
     </ title>
 ...

ブロックされるものと方法

より深く探る

• クエリの最初の行では、HTTPメソッドの名前、スペース、URL、スペース、または？ または/。
  
  GET、POST、HEAD、DELETE、OPTIONS、TRACEメソッドに反応します。 PUTメソッドは明らかに忘れられていますが、スキップします。 他のメソッド名もスキップされます。 大文字と小文字が変更されたメソッドの名前も欠落しています。
  
  
  
  チェックは最初の行でのみ発生します。リクエストの先頭に空の行を挿入すると、リクエストは成功します。
  
  URLが「/」の場合、メソッドの名前のみが検索されます。
  
  
  
  メソッド名の後に余分なスペースを追加すると、URLが「/」と等しくない場合でも、リクエストは問題なく通過します。
  
  どうやら、URLはスペース文字「？」があると終了したと見なされます。 または「/」。 URLに他の文字を追加すると、リクエストは成功します。 含む、改行文字を追加する場合、すなわち リクエストから「HTTP / 1.1」を削除します。
• URLエンコード（urlencode）は、異なるレジスタを含む検閲の克服には役立ちません。 最初のスラッシュ（％2F）をエンコードしても、リクエストはブロックされますが、Webサーバーはこれをもう理解しません。
• 次に、Hostヘッダーが検索されます。
  
  そして、同じパッケージで検索されます。
  
  そして、「Host：<HOST>」という形式の必須一致で検索されます。 ヘッダー名（ホスト、HOST）の余分な文字または大文字と小文字の変更により、要求を渡すことができます。
  
  ただし、ドメイン自体の文字の大文字小文字を変更しても効果はありません。ロックがトリガーされます。

回避策

• クエリの先頭に空白行を追加します。 すべてのWebサーバーが理解できるわけではありません。特に、nginxは理解できません。
• URLの前にスペースを追加します。 一般的なWebサーバーはこれを理解しています。 ただし、まれに（ ここなど）問題が発生する場合があります
• URLの後に文字を追加します。 明らかに、これはWebサーバーが無視するシンボルの一種でなければなりませんが、検閲部門はこれがURLの一部であると判断します。 私はそのようなシンボルを見つけることができませんでした。
• プロトコル名とバージョン（「HTTP / 1.1」）を削除します。 この場合、要求はWebサーバーによってHTTP / 1.0として認識され、このバージョンのプロトコルにはHostヘッダーがなかったため、多くのサイトでは機能しません。
• URLとホストを異なるパッケージで送信します。
  
  リクエストの最初の行（HTTPメソッドとURL）でsendを呼び出すだけで、残りのリクエストを通常の方法で送信できます。
  
  これらの行の間に十分な大きさのヘッダー（パッケージ全体を確実に埋めるために約1530バイト）を追加できます。
  
  このような場合、Webサーバーに問題はありませんでした。
• Hostヘッダーの変更。
  
  大文字小文字を変更し、ドメインの前後にスペースを追加できます。
  
  このような場合、Webサーバーに問題はありませんでした。

実用的な実装

 pcre_rewrite cliheader dunno "Host：" "X-Something：\ r \ nHost："

 pcre_rewrite cliheader dunno "ホスト：" "ホスト："

 ＃DNSサーバー
 nserver 77.88.8.8
 nserver 8.8.8.8
 ＃キャッシュDNS
 nscache 65536
 ＃バックグラウンドで作業する
デーモン
 ＃プラグイン接続、フルパスを指定する価値があります
プラグインPCREPlugin.ld.so pcre_plugin
 ＃上記のルールの1つ
 pcre_rewrite ...
 ＃プロキシを起動し、オプション-aを使用すると、Forwarded-ForおよびViaヘッダーを削除できます
プロキシ-a -p8080 

Rostelecomからインターフェイスに着信するトラフィックを見るとすぐに。 DPIはおそらく直列ではなく並列に接続されており、そこにはクライアントトラフィックのみが入ります。 なぜなら DPIはWebサイトよりも明らかに近く、DPIからのロケーションを持つパッケージはサイトからの実際の最初のパッケージよりも早く到着し、サイトからのパッケージはOSカーネルによって再送信としてすでに破棄されているため、Linuxを使用している場合、iptablesの1行でロックをバイパスできます：

iptables -A INPUT -p tcp --sport 80 -m string --algo bm --string "http://95.167.13.50/?st" -j DROP
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

実際、再送信があります。 私はトラフィックを見ましたが、明らかに十分に慎重ではありませんでした。

最初にHTTP 302とロケーションのみを含むパケットが送信され、次に通常のサイト応答を含むパケットが送信されます。

ただし、システムは2番目のパケットを破棄せず、1番目のパケットと統合します。

つまり パッケージが来る

1

 HTTP / 1.1 302が見つかりました
接続：閉じる
場所：http://95.167.13.50/?st=0&dt=192.237.142.117&rs=grani.ru/

2

 HTTP / 1.1 200 OK
サーバー：nginx / 1.2.1
日付：日曜日、2015年2月1日17:34:03 GMT
 Content-Type：テキスト/ html; 文字セット= utf-8
転送エンコード：チャンク
接続：キープアライブ

 6d7
 <！DOCTYPE HTML>
 ...

そして、アプリケーションはこれを見ます

だから

 HTTP / 1.1 302が見つかりました
接続：閉じる
場所：http://95.167.13.50/?st=0&dt=192.237.142.117&rs=grani.ru/

 f-8
転送エンコード：チャンク
接続：キープアライブ

 6d7
 <！DOCTYPE HTML>
 ...

これは、WindowsとLinuxの両方で見られます。



しかし、上記のiptablesルールは実際に問題を解決します。