Monthly Archives: February 2013

GFW封锁OpenVPN 与 加密流分类的学术论文

一篇有方校长署名的一篇综述文章“网络流量分类研究进展与展望”,其中介绍了流量分类面临的挑战与技术手段,部分内容似乎与最近封锁OpenVPN有关: 4.2 加密流量分类 随着网络资源和带宽的逐渐完善,用户更注意保护隐私,加密应用被广泛使用,加密流分类成为流量 分类中的挑战性问题之一。 传统的基于熟知端口号的流分类方法在大多应用 端口随机可变和端口共用情况下已经失效,而基于有 效负载的流分类方法对加密流量也束手无策,并且存 在隐私侵犯的问题,耗费资源较大。 2006年以来,在流量分类领域,对加密流的分类 问题成为一个重要的研究方面,大多数研究都采用了 基于流特征的统计识别方法。目前研究的加密流量主 要包括四类典型流量:SSH隧道、IPSEC隧道、SSL, 以及P2P的加密流量。其中,对于SSH的研究较多, 主要侧重于对SSH隧道中的应用进行有效的分类识 别,使用的方法基本都是基于流特征的识别,主要使 用机器学习的方法,例如朴素贝叶斯、C4.5决策树、 SVM、k-means、k-nearest neighbor等算法,还有 基于高斯混合模型(Gaussian mixture models)、 隐马尔可夫模型(hidden Markov model, HMM)和 最大似然分类等,另外还有使用基于主机行为的分类 方法[37],主要基于协议连接模型,通过源IP、目的 IP和连接特征等特征值来识别,但这种方法自身具有 一定局限性,且不容易达到高精确度,因此研究者一 般较少使用。 对于SSL和SSH流量的分类通常分为两步[38][39], 第一步根据协议自身特性(如协议首部特定字节的特 征或密钥交换特征等)识别出SSL或SSH流量,第二步 对加密隧道中的不同应用数据流进行分类。Dusi[40] 等人使用高斯混合模型(GMM)和支持向量机(SVM) 技术,对运行在SSH隧道中的应用(假设同一时刻SSH 隧道中只有一种应用)进行分类(包括HTTP、POP3、 POP3S、EMULE、unknown)。实验选取包长度和数据 包方向(服务器到客户端或客户端到服务器)作为特 … Continue reading

Posted in Uncategorized | Leave a comment

天朝御用骇客是如何暴露的?

最近2星期的热点话题是:天朝61398部队的御用骇客。今天转载一些网文和图片,八卦一下御用骇客被曝光的过程。 话说美国方面这次掌握的材料已经很充分了(看完本文,你会意识到这点)。但是天朝外交部摆出一副”死猪不怕开水烫”的架势,打死不承认。 ★图片若干 在此次事件中,最有价值的信息,就是美国计算机安全公司 Mandiant 发布的报告(共76页,下载链接在”这里“)。这份报告算是比较详细的,介绍了御用骇客的种种事迹和入侵手法。对网络安全有兴趣的同学,这份报告值得一读。 考虑到很多读者比较懒,俺贴出该报告的其中几张截图,再配上俺的简要解说。 ◇中国电信授权61398部队接入上海005中心 这是中国电信的一个内部文件(截图下方是发现该文件的网址)。 里面明确提到了:61398部队隶属总参三部二局,位于高桥(上海浦东)。 ◇御用骇客常用的工具 这是御用骇客收集用户口令的工具。 这是御用骇客收集 Windows 系统信息的批处理脚本。 ◇御用骇客使用的 IP 地址 下面几张是美国方面监控到的,入侵美国公司所用的 IP 地址,有相当多的攻击来源,是来自于上海市浦东区高桥镇。 如果你看过俺写的《如何隐藏你的踪迹,避免跨省追捕》可能会觉得奇怪:这帮御用骇客难道不用代理吗? 俺来解释一下: 1. 御用骇客的人数很多,素质也是参差不齐。 人多了之后,难免会有人不遵守纪律。有些人估计是嫌麻烦,没做到 “入侵的全过程都通过代理”。 只要有 1% 的人出现疏忽,那么整个团队所在的位置就会被曝光。 2. 御用骇客跟民间骇客不同。民间骇客搞入侵,一旦暴露有可能会被抓。所以,有经验的民间骇客会更小心谨慎。而御用骇客是朝廷的人,不用担心被抓。因为缺乏心理上的顾虑,也就没有那么小心谨慎。 某些替朝廷辩护的五毛会说,这是别国的黑客利用中国的肉鸡做跳板。 如果真的是这样,那就非常奇怪了:为啥别国的黑客碰巧都用了上海浦东区高桥镇的网段当肉鸡?而且碰巧高桥镇还驻扎着一个解放军的网络战部队? ◇被人肉的骇客之一:汪东(网名 Ugly Gorilla) 他暴露的主要问题在于,他使用了相同的邮箱(uglygorilla@163.com),相同的网名(UglyGorilla)注册了如下网站: 1. 中国军网 … Continue reading

Posted in Uncategorized | Leave a comment