GFW Report
2️⃣ 可用性攻击 (Availability Attack): 我们发现,任何人都可以利用GFW作为武器发动可用性攻击,从而借GFW之手,阻断中国与世界其他地区之间任意主机间的UDP通讯。
鉴于可用性攻击的严重性,我们遵循了“负责任的漏洞披露”原则,向中国国家互联网应急中心 (CNCERT) 及方滨兴本人通报了此漏洞。我们在论文中讨论了他们对此的反应。
用 GFW 来发射赵弹……而且看了下这个问题根本没法彻底修复
😅## 缓解措施
由于此攻击可能造成的严重危害,我们敦促立即采取行动解决这一问题。UDP是一种无连接协议,很难完全防止伪造攻击。因此,最彻底的缓解措施是禁用负责阻断UDP连接的审查设备。除了导致这些有害攻击,防火长城还通过阻止信息访问,侵犯了基本人权。
一种较不彻底的缓解措施是部署出口过滤以防止IP数据包伪造,但只要攻击者能够找到一个能够伪造数据包的位置,即使在中国境外,此攻击仍然可能实现。鉴于此,我们建议:1)立即且永久性地禁用QUIC审查过滤设备;2)在边缘网络部署出口过滤以限制IP伪造。
