剑桥大学的研究小组发出包含敏感词汇的数据包来测试这个防火墙。研究人员发现,通过忽略中国的路由器发出的虚假的传输控制协议重置信号可以绕过中国的入侵检测系统。
剑桥大学计算机实验室的Richard Clayton表示,中国的那些机器允许数据包进出,但是,如果这些机器发现一些特殊的关键词,就会发出一些重置的指令关闭这些连接。如果你向连接的两端同时发出所有的这些重置数据包,网页的传输就非常好。而这样做是非常容易的。
Clayton补充说,这就意味着中国的防火墙能够用来对中国内部的具体IP地址实施拒绝服务攻击,包括中国政府本身的IP地址。
中国的入侵检测系统使用一种无国籍的服务器。这种服务器检查单独进出防火墙的数据包,这些数据包与以前的任何请求都没有关系。通过伪造包含一个“敏感的关键词”的数据包的源地址,人们可以引发这个防火墙封锁源地址和目标地址之间的通讯,每次封锁时间可达一个小时。
如果攻击者识别出这些机器是地区政府办公室使用的,他们就可以封锁访问Windows更新,或者阻止境外的中国大使馆访问具体的中国网站的内容。
Clayton表示,由于这个防火墙的设计,一位官员讲话中关键词的数据包就可能阻止他们的网站的访问。
尽管这个技术只能封锁互联网上两点之间的通讯,但是,研究人员推算,一个单独的攻击者使用一个拨号网络就能够发动“有很大影响”的拒绝服务攻击。如果一个攻击者每秒钟能够发出100个可以引发攻击的数据包,每个数据包可以引起20分钟的网络通讯中断,每一次攻击就可以造成12万对端点无法进行通讯。
Clayton表示,研究人员已经把他们的研究结果报告给了中国计算机应急反应小组。