Нашли слабое место в брандмауэре Китая

Специалисты Кембриджского университета в Великобритании утверждают, что нашли слабое место в брандмауэре Китая, используя которое теоретически можно организовывать DoS-атаки на узлы внутри самой страны. Брандмауэр КНР, построенный с применением маршрутизаторов Cisco, применяется, в частности, для проверки веб-трафика на предмет наличия ключевых слов. Эти слова власти страны используют для ограничения доступа пользователей к ресурсам, содержащим материалы, например, политического характера.

Система предупреждения вторжений Китая проверяет каждый входящий и исходящий пакет, вне зависимости от предыдущих запросов. В случае если обнаруживается пакет с ключевым словом, система посылает сигнал для разрыва соединения. Однако, как сообщает CNET News со ссылкой на заявления британских учёных, если блокировать эти сигналы, что относительно несложно сделать, то пакеты данных проходят без проблем.

Более того, исследователи отмечают, что если фальсифицировать исходный адрес запроса, подставив вместо него, например, адрес какого-либо китайского ведомства, то можно нарушить связь этого ведомства с определёнными веб-узлами. В этом случае брандмауэр посчитает, что ведомство пытаются получить доступ к запрещённым материалам и оборвет связь.

Правда, данный метод позволяет блокировать соединение только между двумя конкретными точками в Сети, да и нападающему предварительно необходимо узнать адреса узлов, против которых нужно организовать атаку. Тем не менее, учёные подсчитали, что злоумышленник, использующий обычное модемное соединение, теоретически всего за несколько минут может нарушить связь между десятками тысяч пар узлов. Информация об изысканиях специалистов из Кембриджского университета уже направлена китайским экспертам по вопросам компьютерной безопасности.