Das hier ist eigentlich nur noch fürs Archiv, da schon durch einige Medien gewandert: Man kann die technische Infrastruktur der chinesischen Firewall umgehen. Mal schauen, wie lange das noch geht. Hier gibts auf jeden Fall einen längeren Blogeintrag dazu und hier ein akademisches Paper.
Hier erklärt es Heise: Chinas „Große Firewall“ austricksen.
Zumindest die Blockade durch die Suche nach Schlüsselwörtern lässt sich laut einem Bericht von Forschern der Universität Cambridge austricksen. Aus Leistungsgründen werden die Daten nämlich nicht auf den Grenzroutern gefiltert, sondern auf zusätzlichen Rechnern. Anders als bisher angenommen werden die Pakete aber nicht wirklich verworfen. Vielmehr sendet die Filterrechner mehrere TCP-Reset-Pakete (RST) an beide Endpunkte einer Verbindung, sowohl an den Client als auch den Webserver. In der Folge beenden beide Systeme die Verbindung, der weitere Datenfluß ist unterbrochen – die Zensur hat zugeschlagen.
Diese Maßnahmen lassen sich allerdings recht einfach austricksen, indem Client und Server einfach keine Resets mehr entgegennehmen, meinen die Cambridger Forscher. Versuche, in denen die RST-Pakete einfach mit einer Firewall blockiert wurden, seien sehr gut verlaufen.
Und hier der deutsche Inquirer: Chinas „Große Firewall“ von Briten geknackt.
Das verzweigte Zensursystem überwacht die einzelnen http-Pakete von Webverbindungen und durchsucht sie nach Schlüsselwörtern. Wird ein verdächtiges Datenpaket identifiziert, so wird dieses nicht einfach geblockt, sondern beiden Seiten der Webverbindung vorgetäuscht, dass die Verbindung zu Ende sei. Dies geschieht durch sogenannte Reset-Flags, die sowohl an den chinesischen PC als auch an den Webserver im Ausland geschickt werden und signalisieren, dass der angesprochene Port geschlossen ist. Weitere Verbindungsversuche unterbleiben daraufhin.
Um die Zensur künftig zu umgehen, müssten beide Seiten die Reset-Flags lediglich ignorieren, meint Clayton. Simple Firewall-Regeln würden dazu ausreichen. Der chinesischen Zensur blieben dann zwar noch einige andere technische Maßnahmen, etwa das komplette Blockieren bestimmter Seiten, diese Methoden seien jedoch mit ungemein mehr Aufwand in Pflege und Wartung verbunden und könnten nicht so flexibel angepasst werden.