更多关于国家安全局使用交通整形的信息

“流量塑造”(traffic shaming)是一种NSA技术,它的关注度远远低于它应有的水平,它是一种欺骗数据通过互联网上的特定路径以便更容易被监视的做法。这是一种强大的技术,它允许窃听者访问它无法监视的通信信道。

有一个新纸关于这项技术:

本报告描述了一组新颖且更令人不安的风险。作为技术问题,国家安全局不必等待国内通讯自然而然地出现在国外。事实上,该机构有技术方法可用于故意地重新路由Internet通信。国家安全局使用这个词流量整形“描述任何技术手段都意味着故意将互联网流量重新路由到更适合的位置,操作上,去监视。由于很难从也门内部拦截也门的国际通信,该机构可能会试图形状“交通使其通过位于更友好地区的通信电缆。把它看成是将河流的一部分转移到一个更容易(或更合法)捕鱼的地方。

国家安全局有秘密手段转移通过全球通信电缆传输的部分互联网流量。

国家安全局是否可以利用流量整形来重定向国内互联网流量——美国人之间发送的电子邮件和聊天信息,对外来的土壤说……在那里可以监视在国会权限之外进行法院呢?无法明确回答这个问题,由于许多国家安全监督计划的机密性,监管法院作出的法规甚至法律决定。尽管如此,本报告探讨了一个法律问题,技术,以及运营环境,这表明可以利用交通塑造来规避国会和监督法院施加的法律限制。

新闻文章.国家安全局文件详细介绍也门的技术。

这项工作建立在以前的研究我在博客上写的在这里.

根本的漏洞是路由信息没有经过身份验证。

发表于7月12日,2017年上午6:3229评论188滚球网站

188滚球网站评论

克莱夫鲁滨孙·7月12日,2017上午8点08分

@ Dirk Praet,

这就是我前几天说的问题,阐述了“花园小径”系统的局限性。

问题是检测上游节点对流量的影响。如果你考虑到这一点,像traceroute这样的东西是不会有帮助的,因为对手可以区分它的行为,并采取行动让你相信它不会发生。

唯一的部分解决方案是仔细测量时间,但这取决于你是否知道或计算真正的往返时间。像NSA等可以通过各种技巧慢慢改变网络时间,这样你就可以看到他们希望你看到的平均时间…

这是一个很难解决的问题,需要在节点可以信任的地方采用洋葱式路由。

诺亚·7月12日,2017上午8时17分

强大的网络本质上不是很容易受到攻击吗?即使没有欺骗路由信息,总是有多条路径(这就是使互联网强大的原因)在一条路径上放置太多流量,包被路由到另一个。你只需通过消除过程,就可以让流量去任何你想去的地方。

德克普拉特·7月12日,2017年8:52 AM

@克莱夫

这是一个很难解决的问题,需要在节点可以信任的地方采用洋葱式路由。

尽管与Freenet和I2P不同,Tor不允许显式信任单个节点,您可以将其配置为根据节点的地理位置避免节点。但是你当然仍然无法控制你的流量通过的交换机和路由器。

克莱夫鲁滨孙·7月12日,2017上午9点07分

诺亚

强大的网络本质上不是很容易受到攻击吗?

是和不是。

如果您让网络决定您的路由,那么“是”,但是如果您决定使用路由或电路交换,那么“否”,但是您的通信路径可能会无限期阻塞。

但真正的问题是“底层”物理网络。IP通常不是网络栈中的最低层,即使在PC级,您有以太网或令牌环,或者更现代的东西来进行实际的位移动。因此,即使您可以在IP级别定义“路由”,较低的层也无法到达,按设计。

由于端口镜像不是一个路由功能,它复制了数据,所以您再次无法控制它…

因此,只要元数据不受保护,SIGINT机构就可以进行更多的基本流量分析。IP网络有一个基本要求,即至少要有路由信息才能到达下一个节点。

因此,您需要保护节点之间的元数据。这可以通过洋葱路由来完成,如果设置正确(与Tor不同),则意味着攻击者可以看到的是节点之间存在的加密数据包流。由于流在点对点基础上是恒定的,因此很难收集任何信息,因为进入节点的加密数据包与离开节点的加密数据包不同。

这是一个需要思考的主题,然而,自20世纪50年代以来,军方等机构一直在有效地开展这方面的工作,所以有些问题有已知的解决方案。一些人正积极考虑与其他解决方案结合。

肛门直肠炎·7月12日,2017上午9点10分

Clive Robinson德克普拉特

“节点可以信任的洋葱式路由。”—我建议在这里要小心。首先,我希望看到一个知识渊博、反映良好的定义,即信任一个网络节点需要什么(包括我们的(我们就许多不信任个人电脑的原因进行了充分合理的讨论,更不用说移动设备了)。

我BTW.同时,我们也应该谨慎对待复杂的机制。添加层通常看起来很有诱惑力和希望,但后来通常被证明是一种诅咒而不是祝福。

简单和优雅是我们需要的。不幸的是,这需要一个精通的水平,而日益愚蠢的教育机构无法建立坚实的基础。

克莱夫鲁滨孙·7月12日,上午2017时25分25分

@ Dirk Praet,

但是你当然仍然无法控制你的流量通过的交换机和路由器。

那将永远是真的,因此,需要让这样做毫无意义,同时警告用户节点到节点的时间已更改。

如果您有受信任的节点,然后洋葱路由不仅删除所有元数据,而且删除点对点元数据,它还将数据包从输入更改为输出。因此,取消了直接进行包对包比较以识别实际源节点和接收节点的能力。这意味着攻击者必须查看长度和/或时间信息,以尝试将输入与输出数据包关联起来。我以前提到过一些技巧来处理这些问题。

然后,问题就落在了确保中间节点是可以信任的,还是在不值得信任的情况下更好地减轻。我相信有很多方法可以做到这一点,但正如生活中所有有价值的事情一样,需要涂抹一点“脑油脂”以上。

克莱夫鲁滨孙·7月12日,2017年上午9:40

@腹肌训练,Dirk Praet

我BTW.同时,我们也应该谨慎对待复杂的机制。添加层通常看起来很有诱惑力和希望,但后来通常被证明是一种诅咒而不是祝福。

虽然这经常是真的,但有一个潜在的问题。什么是不可信任的中间节点?我想说的是事实。你必须进行某种缓解过程,才能在上面画一条线,你可以在上面工作。

在一个正确实现的洋葱路由协议中,所有中间节点都知道它的层和前一个节点中有什么。解密它的层得到的所有信息都是转发刚刚打开的层的目的地。因此,节点必须与链中的所有中间节点合并。关于是否有办法减轻这一问题,这是我一段时间以来一直在想的事情。

战争极客·7月12日,2017上午11时30分

在90年代,这仅仅是BGP欺骗,当时端点还不在美国附属ISP的控制范围内。上世纪90年代末声名狼藉,中国大陆的IP地址块偶尔会从白盒窗口(windowsnt4)上发布广告。嘿…)坐在旧金山的Uunet中心。

问题是BGP有点像一个BuffCink货币,交易信息如A/NETBoo/ TIME可以被记录,并且对于第三方来说仍然可见,当他们从香港到上海的交通突然从A(DS3往返太平洋)发展到~300毫秒时,可能会犯规。哦,是的……Coppe的日子。R统治)。

MPLS是同一个幽灵的天赐之物……只是让第三层第二层的人看不到另一个法律实体。神秘的延迟可能仍然存在……尽管在OC192+世界中,这些延迟可能并不那么明显……但不再存在可见的第三层节点,以便第三方能够真正了解发生了什么。

鲍勃·迪伦快乐的脚·7月12日,2017下午12:06

这不仅是国家安全局造成的交通堵塞。联邦调查局多年来一直在做儿童色情调查。他们去了外国执法机构(fla),然后要求对美国公民做一些因为第四修正案而不能做的事情。法新社(澳大利亚联邦警察)代表联邦调查局做了大量工作。人们对FBI经营Playpen很感兴趣,但事实上是法新社在为FBI工作时破案了,然后他把数据交给联邦调查局来运行服务器。这就是我比大多数隐私权倡导者对最近规则41的变化更加乐观的主要原因。这并不是说联邦调查局实际上并没有通过某些fla来做这些大规模的黑客工作;作为一个实际问题,所有的规则41都是允许联邦调查局在内部完成部分工作,而不是依靠与佛罗里达州的合作。这并不意味着我认为对第41条规则的修改是健康的,但实际后果从来没有像一些人所说的那样可怕。

目前的一个主要问题是,各县通常会在知情的情况下违反彼此的法律。联邦调查局代表他们的政府在其他国家做肮脏的工作,而这些外国政府代表我们的政府在我们的国家做肮脏的工作,每个人都以另一种方式看待,因为网络犯罪。对美国政府来说,玩管辖权游戏并不新鲜。

CG22型·7月12日,2017下午4点44分

美国大陆,从西雅图、旧金山到Ft.Meade马里兰州是全世界的主要互联网中心。

https://www.submarinecablemap.com/

两个最重要的综合联系是(1)从北欧和西欧到美国。东海岸,(2)来自中国东部,韩国日本菲律宾,越南等。穿过国际日期变更线到达美国西海岸。

避免美国大陆的联系似乎没有那么可靠,也没有那么多的交通量。

七月,十二·7月12日,2017下午4点46分

@戴维
除了钱,康卡斯特ATT威瑞森,等。,类型流量形成问题
7月12日,2017年-网络中立性资料
(顺便说一句,有人注意到一些主要网站今天似乎没有显示网络中立性的内容)
网址:https://www.aclu.org
网址:https://www.eff.org
网址:https://www.reddit.com
https://www.battleforthenet.com网站
https://www.theguardian.com/technology/2017/jul/11/what-is-net-neutrality-threat-trump-administration
https://www.democracynow.org/2017/7/11/activitives_plan_mass_day_of_action
这件事会很快重演吗?这不是一场重要的战斗吗?
关于游说,国会,至少有些成员,可能对信息媒介不可知(电子邮件,传真,信件等;字母可能需要时间扫描,因此时间限制可能不够理想)
http://www.newyoker.com/magazine/2017/03/06/what-calling-congress-acheats
“所有的东西都读了,每一个电话和语音邮件都会被听到,“以赛亚·阿金,俄勒冈参议员罗恩·威登的副立法主任,告诉我。“在电话、电子邮件和信件方面,我们没有区别。”


7月12日,2007年-战争是地狱的东西
切尔西曼宁在视频中透露的不愉快的周年纪念
https://en.wikipedia.org/wiki/July_12,_2007_Baghdad_Airstrike cite_note-airstrike-aljazeera-56
http://news.bbc.co.uk/2/hi/americas/8603938.stm
http://www.aljazeera.com/news/americas/2010/04/201045123449200569.html指向YouTubehttps://www.youtube.com/watch?v=uaqy12vhfv4&feature=player_嵌入

贾斯梅·7月12日,2017下午5时06分

我想我读过关于中国iNet硬件的文章,它的速度足够快,可以通过使用速度来通过其硬件路由大量的iNet流量,从而有效地“塑造”形状。
请澄清我的记忆是否模糊了我对那件事的记忆。

蒂尔·7月12日,2017年7:37下午


我好像还记得德国建造的
纽约的一个物理中心
允许他们进行国内捕获的网络
使用路由。同一部纪录片似乎
认为这也用于互惠
被5只眼睛捕捉。过马路就行了
通过物理网络,获取
在方便的地方需要法律
好吧,你的行为。避免所有的不整洁
与宪法律师争论。

考虑数据短暂性的概述
没有任何物理位置的材料忽略
事实上,所有的网络都是垃圾
肉类空间中的某些类型的盒子
内在问题引起的不太多
适用于任何地方的国际法。

联合国禁止核武器法是一个典型的例子
问题。

泛光眼镜·7月12日,2017点8:13

国家安全局尽其所能。

在过去,FISA法院曾因数百起严重违规行为而传唤他们,但他们的经营方式没有任何明显的缩减或改变。这是后宪法,完全是非司法操作。他们足够聪明,不会把人们拖到古拉格集中营去,这样就避免了他们受到民粹主义的强烈反应。

好消息是国会开始发现他们创造的怪物正在收集,校对,切片,切块和分发他们的数据。有人说这在华盛顿造成了僵局,因为国会议员们正当地,偏执于他们自己的粗略的活动,…不仅仅是团队特朗普…

V·7月13日,2017凌晨3点22分

真实世界的版本是:

你正沿着州际公路巡游。附近的警察在路上放了橙色的锥状物,迫使你进入另一条车道,然后当你进入他们的管辖权时逮捕你。

一个现实世界的法庭能忍受吗?(可能,唉!

拜托,这不是什么新闻·7月13日,2017年3:37 AM

流量塑造不是黑客路由器或滥用不安全的路由协议:
https://www.google.nl/search?Q=交通+塑造

每个间谍机构都嗅到了信号从技术上讲,在互联网上是可行的:
这个使用Tor,使用信号对于任何有隐私意识的人来说,这句格言仍然是被推荐的。使用qubeos在上面运行不可变的虚拟机。

美国公民和律师仍在争论/依赖修正案和法院是今天真正的新闻。

斯帕佐·7月13日,2017年7:10 AM

我可能在这里理了一根头发,但是我对交通形态的理解与这里描述的完全不同。我对交通形成的经典理解是使用深度包或流检查(DPI)来识别交通流和交通流,然后分配优先级和排队以更好地管理容量。与以前未被管理的横截面相比,在图表或图形上以可视方式表示时,这会给所有流一个“profile”或“shape”。也许这些隐秘的机构希望公众将他们的活动与大多数公司或ISP的日常活动联系起来,以减少不祥的表现。国家安全局实际上正在做的是使用dpi自动收集和编目非法的不分青红皂白的窃听。你可以把失去灵魂/良心的人的理性理解为以下几点。美国公民们说酷刑和大规模监视应该是非法的。政府说他们的任务是保护公民的安全,因此,对非美国领土实施境外酷刑和大规模监视是可以接受的“权宜之计”。人人都赢。政府用“灰色”画笔来描绘他们的活动,市民们开始舒适地依偎在一起,“老大哥”让狼群望而却步,只要我们自己的后院没有脏活。

作记号·7月13日,2017上午11时37分

只是一个FIY:我,就个人而言,认识一个美联储成员,不为这样的人工作,把网络和电信作为他们的工作,我100%信任谁。他们在报告上的CMT是“胡说,不要相信你所读到的一切。”

正在考虑…即使有国家安全局的计算机系统,他们不可能有足够的带宽来通过路由器推送大量的流量。

德克普拉特·7月13日,2017年12:36 PM

@马克

我,就个人而言,认识一个美联储成员…我100%信任谁。

哦,你这个滑稽的人。

雷切尔·7月13日,2017下午5点13分

德克

“我认识一个美联储……我100%信任他们”

我的网状激活系统的识别度略有不同:

“我认识一个美联储成员……不要相信你所读到的一切”

或者更简明扼要地说

“我认识一个美联储的人……胡说”


上部愈伤组织·7月14日,2017点6:48

@七月
“(顺便说一句,有人注意到一些主要网站今天似乎没有显示网络中立性的内容。)

我没有注意到我每天访问的任何一个网站上有任何以网络中立为焦点的恶作剧。很多关于邪恶派和ISP想要做什么的故事,还有许多临时的叫喊,例如“我们被炒鱿鱼了。”咯咯笑的主页没有显示任何艺术作品,我无法“选择”搜索栏,但是其他的咯咯笑的东西还是像往常一样工作。

我突然想到,也许所有的抗议都依赖于javasscript的启用,和/或“ScorecardResearch[dot]com”,允许“有效测量[dot]net”和类似的愚蠢。

@privacybadger用户
参观https://www.washingtonpost.com/,在铅中杀死上述两种物质,然后冲浪到一两个故事。欣赏令人头痛的照片。可爱。

卫斯理教区·7月14日,2017点6:48

我的注意力被以下论断所吸引:

一个重要的法律原则,由美国建立最高法院认为第四修正案不适用于美国境外的外国个人。领土23

真有趣。国际法的一个原则是,如果某个国家断言某件事情的时间足够长,以制裁支持其主张,这就是所谓的习惯法。我相信,在冷战期间,美国代表苏联的持不同政见者和华沙条约的东欧成员国作出了大量的断言,并且支持他们的证明权,即使他们不是苏联公民,并且被苏联秘密警察的各种形式的间谍监视。

事实上,我敢打赌,俄罗斯联邦共和国代表持不同政见者的隐私权和私人通信权拥有大量这样的主张,存档。让我们问一下普京总统:

尊敬的普京总统

如果上述要求属实,俄罗斯联邦共和国已将美国代表苏联持不同政见者从所有和任何前华沙条约成员国获得隐私权和私人通信权的大量声明归档,请提交相关的联合国法院,国际法院,以及相关的欧洲人权法院,并要求他们就上述美国最高法院索赔的有效性发表法律意见,外国公民不受随机无保证监视的保护,即使这样的监视导致他们被中情局的无人驾驶飞机误杀。

你的等

克莱夫鲁滨孙·7月14日,2017上午10时39分

@ CG22,

避免美国大陆的联系似乎没有那么可靠,也没有那么多的交通量。

再看一下其他五个眼部阻塞点,特别是澳大利亚北部,在英国南部,靠近英国友好的中东国家…

我一直在指出,当人们谈论Tor时,这是一个奇怪的场合。

布朗沃尔·7月14日,下午2017点59分59分

为什么人们会认为国家安全局直接处理这个问题?
就像ATT一样,长途运输也将有安全的MITM房间。
当你穿过池塘时,这条光纤线路提供了一个监视点。没什么新鲜事。

输入d.c.的坐标。
谁是154.54.47.213

如果你在华盛顿追踪路线,Virginia马里兰州地区你猜怎么着?你真的认为Tor有用吗?可以。

切角·7月17日,2017上午11点34分

ARP中毒可以便宜地做到这一点。去咖啡店,毒害每个人的ARP表,捕捉交通流量并将其路由到任何您想要的地方(例如如果你这么想的话。

在这种情况下,“交通塑造”一词的使用是相当不寻常的(我期待着另一篇论文)。通常是指将数据包或帧均匀地分布在快速上,防止导致缓冲区溢出的突发事件的长距离链接。

贾里德厅·7月19日,2017年上午9:40

@cutangle:arp中毒影响本地网络。如果恶意实体可以访问本地网络,那么许多监视问题已经解决了。

@spazmo:从客户的角度看你是对的,但不是从间谍机构的角度。世纪基金会的报告定义了这个术语,因为国家安全局使用它。

@mark:你的两个要点都错了。文章(世纪基金会和国家安全局的“整形101”都引用了BGP路由欺骗的例子,这是一种永久使用的技术。我想你的朋友不认识杰克,或者在这种情况下,贾里德。因为你没有这样的朋友,可能这类活动更多地在中央情报局的权限内。国家安全局和中央情报局在企业层面的互动方式对我来说是个谜。

此外,美国国家安全局的国内间谍可以在ATM水平与聚氯乙烯重新映射。大多数运营商为此目的参与了联邦通信委员会对ATM路由的*自愿*请求。大多数电信专业人士早在斯诺登和棱镜公司就知道这一点。我写了一篇关于这个的文章。我冒昧地说,Prism可能包含世界上最大的物理和逻辑电路拓扑集合。对我来说这是国家安全局的作风。

@来吧,这几乎不是新闻:请看我在回复上的评论:@spazmo。188滚球网站有趣的是,一个人的dos和路由欺骗是另一个人的“流量塑造”!

@all:telecom networks的关键是,当橡胶碰到路面时,众所周知,使用已映射的物理网络。即使是低端商用级路由器(PAN,福蒂纳特声墙,思科,刺柏,etc)执行基于确定性/性能的策略路由。在这里,您可以根据端到端延迟和抖动等特性做出路由决策。Cisco有性能路由(PIR),通过bgp local_pref属性将其扩展到bgp。作为一个例子,您希望您的VoIP流量采用本地,地形路线。如果,通过使用bgp(如果有必要),您可以选择目标网络的入口路由,然后你可以用洪水或者其他方法来做那些本地路线。策略/性能路由开始并将这些VoIP包发送出所需的路径。不需要火箭科学。就像其他人在这篇文章前面发表的那样,随着网络和用户越来越方便,通常会出现其他无法预料的威胁。

当然,如果你在街上有脚,没有什么能比得上纤维分析仪上的夹子和Mark1眼球。读国家安全局的论文,你必须热爱这个虚构的“极客国家”。总体而言,本文是另一个过度分类的例子。我注意到它被贴上了“绝密”字样。美国,可以,丁苯橡胶NZL。为什么他们不直接用Fvey?

布朗沃尔·7月19日,下午2017点59分59分

在一个被高估的阴谋中有一个真相。

@ Cutangle
正确使用交通塑造…就像日常的身体机能。

交通状况什么?一个更好的术语是虹吸和观察。
搜索eff carolyn jewel att故事并查看看似合理的内容:
[https://www.eff.org/cases/jewel]

她失业是因为她走进安全室去解决一些瓶颈问题?什么是ATT不告诉员工的机会?给了凯拉知识和思路?嘿,我无法获得吞吐量,酋长。把国家安全局带过来解决他们的问题。

极客使我兴奋。这么有力的话。我要给国务院打电话。供变态和跟踪者使用的钥匙。

留下评论188滚球网站

允许的HTML: · · · ·

布鲁斯·施耐尔的照片。188滚球网站

188滚球网站施耐尔的安全是一个个人网站。表达的意见不一定是IBM弹性.