Разработчики анонимной сети Tor сообщили о появлении аномалий в работе на территории Республики Беларусь, которые оказались связаны с блокировкой доступа на уровне ключевого оператора связи Белтелеком. Блокировка осуществлена через подстановку TCP RST-пакетов для обрыва соединения при обращении к публичным шлюзам сети Tor. Доступ к серверам директорий Tor не блокируется (порт DirPort остаётся открытым, но обращения к ORPort обрываются).
Для обхода блокировки можно использовать не отмеченные в основном каталоге Tor скрытые шлюзы, поставляемые в базе BridgeDB. Кроме использования BridgeDB для обхода блокировки также можно настроить игнорирование TCP-пакетов с флагом RST на стороне локального пакетного фильтра (метод работает и для обхода применяемой некоторыми провайдерами блокировки по спискам Роскомнадзора):
Код:
iptables -I INPUT -p tcp --tcp-
flags RST RST -j DROP
Особенностью блокировки является отправка первого RST-пакета с неверным номером последовательности (поля SEQ и ACK заполнены нулями), что приводит к его отбрасыванию TCP/IP-стеком клиента. Подобный пакет может использоваться как маркер для обнаружения попыток подстановки пакетов. В целом, метод блокировки напоминает ранний опыт блокировки Tor в Китае, который последнее время существенно продвинулся в плане выявления и блокирования узлов Tor.
Источник: opennet.ru