科技时代新浪首页 > 科技时代 > 互联网 > 正文

剑桥专家称中国防火墙有缺陷 可引起DOS攻击


http://www.sina.com.cn 2006年07月04日 11:15 赛迪网

  【赛迪网讯】7月4日消息,剑桥大学的计算机专家称,他们不仅突破了中国的防火墙,而且还找到了一种方法可以利用这个防火墙对中国具体的IP地址实施拒绝服务攻击。

  剑桥大学的研究小组发出包含敏感词汇的数据包来测试这个防火墙。研究人员发现,通过忽略中国的路由器发出的虚假的传输控制协议重置信号可以绕过中国的入侵检测系统。

  剑桥大学计算机实验室的Richard Clayton表示,中国的那些机器允许数据包进出,但是,如果这些机器发现一些特殊的关键词,就会发出一些重置的指令关闭这些连接。如果你向连接的两端同时发出所有的这些重置数据包,网页的传输就非常好。而这样做是非常容易的。

  Clayton补充说,这就意味着中国的防火墙能够用来对中国内部的具体IP地址实施拒绝服务攻击,包括中国政府本身的IP地址。

  中国的入侵检测系统使用一种无国籍的服务器。这种服务器检查单独进出防火墙的数据包,这些数据包与以前的任何请求都没有关系。通过伪造包含一个“敏感的关键词”的数据包的源地址,人们可以引发这个防火墙封锁源地址和目标地址之间的通讯,每次封锁时间可达一个小时。

  如果攻击者识别出这些机器是地区政府办公室使用的,他们就可以封锁访问Windows更新,或者阻止境外的中国大使馆访问具体的中国网站的内容。

  Clayton表示,由于这个防火墙的设计,一位官员讲话中关键词的数据包就可能阻止他们的网站的访问。

  尽管这个技术只能封锁互联网上两点之间的通讯,但是,研究人员推算,一个单独的攻击者使用一个拨号网络就能够发动“有很大影响”的拒绝服务攻击。如果一个攻击者每秒钟能够发出100个可以引发攻击的数据包,每个数据包可以引起20分钟的网络通讯中断,每一次攻击就可以造成12万对端点无法进行通讯。

  Clayton表示,研究人员已经把他们的研究结果报告给了中国计算机应急反应小组。

  作者:天虹

发表评论

爱问(iAsk.com)



评论】【论坛】【收藏此页】【 】【多种方式看新闻】【下载点点通】【打印】【关闭




科技时代意见反馈留言板 电话:010-82628888-5595   欢迎批评指正

新浪简介 | About Sina | 广告服务 | 联系我们 | 招聘信息 | 网站律师 | SINA English | 会员注册 | 产品答疑

Copyright © 1996 - 2006 SINA Inc. All Rights Reserved

新浪公司 版权所有