sesawe.net

دلايل بسياري وجود دارد كه چرا تكنيكهاي ساده، مانند استفاده از نسخه‌هاي ذخيره شده صفحه‌ها در موتورهاي جستجو يا استفاده از يك پراكسي وب ساده، براي دسترسي به محتواي مسدود شده، كافي نمی باشند.

در بعضي موارد اين تكنيكهاي ساده براي دور زدن بطور موثر عمل نمی کنند. در ساير موارد، محدوديتها ممكن است بر سرويسهايي فراتر از مرور وب – مانند پيام آني، اي‌ميل يا پخش ويدئو – تاثير بگذارند. در اين صورت، احتمالا پراكسي‌هاي وب مشكل‌گشاي شما نخواهند بود.

ممكن است مواردي باشد كه بخواهيد از اينترنت مسدود شده عبور كنيد، اما بخواهيد از دخالت نهاد بلوكه كننده نیز جلگیری کرده و اجازه ندهید بدانند که شما به چه صفحه‌هايي دسترسي داريد يا حتا در وحله اول از فيلترينگ عبور کرده و می کنید.

در اين سناريوها، تكنيكهاي پيشرفته بسياري وجود دارد و هر كدام مساله‌هاي متفاوتي را به شيوه‌هاي متفاوت حل مي‌كند.

اين فصل برخي مفاهيم تكنيكي كليدي را معرفي مي‌كند كه به شما كمك خواهد كرد تا درباره راه حل قابل اعمال در يك موقعيت، انتخابي آگاهانه داشته باشيد. همچنين بسياري از راههاي دسترسي به اطلاعاتي را كه شايد مسدود شده باشند، با مقداری جزييات، ارايه مي‌كند.

پورت‌ها و پروتكل‌ها

اينترنت بر پايه مجموعه‌اي از پروتكل‌هاست، مجموعه‌هاي استاندارد شده‌اي از قوانين كه بر چگونگي ارتباط كامپيوترهاي شبكه‌ها حكمفرمايي مي‌كند. مجموعه اصلي پروتكل‌ها براي مديريت اتصال‌ها و بسته های پيام براي اينترنت TCP/IP (TCP روي IP) است. پروتكل‌ها مي‌توانند حجم وسيعي از داده‌ها را، با نرم‌افزاري براي تکه کردن داده‌هاي ارسالي بزرگ به بسته های كوچكتر و شماره شده براي ارسال، و دوباره بهم وصل كردن بخشهاي داده‌ها در نقطه دريافت، مديريت كنند. معمولترين روش براي تعيين اينكه چه پروتكلي بكار رود اين است كه بسته ها به يك شماره پورت معين ارسال شوند. براي مثال، HTTP براي وب طبيعتا از پورت 80 استفاده مي‌كند و POP3 براي دريافت اي‌ميل بطور طبيعي از پورت 110 استفاده مي‌كند. مسدود كردن ترافيك در يك پورت خاص در يك آدرس IP خاص دسترسي معمول، به يك سرويس در آن سايت را از كار مي‌اندازد، در حاليكه ساير سرويسها قابل دسترسی، هستند. راه‌اندازي سرويس در يك پورت غيراستاندارد ساده‌ترين راه براي دور زدن يك پورت بلوكه شده است، اما اينكار فقط توسط گرداننده سرويس قابل انجام است، و نه كاربر.

مدل لايه‌اي شبكه

پروتكلهاي شبكه اغلب بصورت مجموعه‌اي از لايه‌ها توصيف مي‌شوند. براي اينترنت، پايين‌ترين لايه (لايه اتصال ناميده مي‌شود) که نزديكترين لايه به سخت‌افزار است و بالاترين لايه (لايه كاربرد ناميده مي‌شود) که نزديكترين لايه به كاربر انساني است. پروتكلهاي مهم بين دو لايه عبارتند از TCP (پروتكل كنترل انتقال)، كه لايه انتقال است، و IP (پروتكل اينترنت)، كه در "زير" آن در لايه اينترنت است. به اين دو با هم معمولا TCP/IP مي‌گويند. UDP (پروتكل ديتاگرام كاربر) لايه‌اي كمتر شناخته شده ولي مهم است كه در همان سطح TCP است. بيشتر سرويسها (ولي نه همه) كه روي TCP ارايه مي‌شوند روي UDP هم موجودند، در حاليكه برخي سرويسها فقط روي UDPقابل استفاده هستند.

بالاترين لايه كه لايه كاربرد نام دارد شامل پروتكلهايي است مانند DNS (براي نامهاي دامنه)، FTP (انتقال فايل)، HTTP (وب)، IRC (چت)، NNTP (يوزنت)، POP3 (بازيابي اي‌ميل)، SIP (صدا روي IP) و SSH (ارتباطهاي رمزگذاري شده). IANA (متولي انتساب نامهاي اينترنت) شماره پورتها را براي هر يك از اين سرويسهاي كاربردي انتساب مي‌دهد، مانند پورت 53 براي درخواستهاي پيداكردن DNS، 80 براي HTTP و 110 براي POP3 (پروتكل دفتر پست شماره 3). اين انتسابها پيش فرضهايي براي سهولت کار است و استفاده از آنها بطور كلي يك نياز تكنيكي براي پروتكلها نيست؛ در واقع هر داده‌اي روي هر پورتي مي‌تواند ارسال شود. پورتهاي پيش‌فرض انتسابي زيادي نيز براي UDP هست كه به همان شكل عمل مي‌كند. در برخي موارد، يك سرويس مي‌تواند روي يك پورت يكسان با استفاده از TCP يا UDP در دسترس قرار گيرد. يك استثنا NTP (پروتكل زمان شبكه) است كه فقط روي UDP ارايه مي‌شود. UDP بطور عادي براي كاربردهاي چندرسانه‌اي زمان-واقعي مانند پروتكل صدا روي IP (VoIP) نيز بكار مي‌رود كه بعضي از آنها روي TCP موجود نيست.

كاربران بطور طبيعي با انتساب پورتهايي كه بصورت خودكار از مقادير پيش‌فرض استفاده مي‌كنند، مشكلي ندارند. ولي استفاده از پورتهاي استاندارد اجباري نيست. با هماهنگي قبلي بين ارايه كنندگان سرويس و كاربران، مديران سيستم مي‌توانند سرویس دهنده ها را براي دسترسي به سرويسهاي استاندارد روي شماره پورتهاي غيراستاندارد راه‌اندازي كنند. اين امر به نرم‌افزار اجازه مي‌دهد تا بلوكه كردن‌هاي ساده پورت را كه استفاده از اين سرويسها را منع مي‌كند دور بزند.

بعضي از نرم‌افزارها مي‌توانند براي استفاده از شماره پورت غيراستاندارد تنظيم شوند. URLها هم يك راه استاندارد ساده ويژه براي تعيين يك شماره پورت درون URL دارند. براي مثال http://www.example.com:8000/foo/ يك درخواست HTTP روي پورت 8000 به جاي پورت پيش فرض 80 به example.com مي‌فرستد.

تكنيكهاي فيلترينگ پيشرفته

[اقتباس از "دسترسي ممنوع"، فصل 3، نوشته Steven J. Murdoch و Ross Anderson]

اهداف راه‌اندازي يك مكانيزم فيلترينگ، بسته به انگيزه‌هاي سازماني كه آنها را راه‌اندازي مي‌كند، متفاوت است. ممكن است آنها يك سايت وب خاص (يا يك صفحه وب مشخص) را براي كساني كه مي‌خواهند آن را ببينند غيرقابل دسترسي كنند، آن را غيرقابل اعتماد كنند، يا حتا در درجه اول كاربران را از تلاش براي دسترسي به آن برحذر دارند. انتخاب مكانيزم به توانايي سازماني كه خواهان فيلترينگ است نيز بستگي دارد – اینکه آنها به كجا دسترسي دارند، افرادي كه آنها مي‌توانند به خلاف خواسته‌شان وادار كنند و هزينه‌اي كه مي‌خواهند بپردازند. ساير ملاحظات عبارتند از تعداد خطاهاي قابل پذيرش، آيا فيلتر بايد آشكار باشد يا پنهان، و چقدر قابل اطمينان است (هم در مقابل كاربران اتفاقي و هم كساني كه مي‌خواهند از آن عبور كنند).

در اين بخش در مورد اينكه وقتي ليست منابعي كه بلوكه مي‌شود تهيه گرديد چطور محتواي مشخصي مي‌تواند بلوكه شود، توضيح مي‌دهيم. ساخت اين ليست يك چالش قابل توجه و نقطه ضعف مشترك در سيستمهاي راه‌اندازي شده است. نه تنها وجود تعداد بسيار زيادي سايت وب با محتواي ممنوع ساخت يك ليست جامع را با مشكل مواجه مي‌كند، بلكه جابجايي محتوا و تغيير آدرس IP سايتهاي وب نيز تلاش فراواني را براي به روز رساني ليست مي‌طلبد. علاوه بر اين، اگر گرداننده يك سايت بخواهد در بلوكه كردن دخالت كند، سايت مي‌تواند سريعتر از آنچه انتظار مي‌رود جابجا شود.

فيلترينگ سرآيند بسته (هِدِر) TCP/IP

يك بسته IP شامل يك سرآيند و به دنبال آن داده‌هايي است كه بسته حمل مي‌كند (پي‌لود). مسیریابها بايد سرآيند بسته را بررسي كنند، اين نقطه ای است كه آدرس IP مقصد قرار دارد. براي جلوگيري از دسترسي به ميزبانهاي مقصد، مسیریابها مي‌توانند بگونه‌اي تنظيم شوند كه آدرسهاي IP مقصد موجود در يك ليست سياه را قطع كنند. ولي، هر ميزبان ممكن است چند سرويس را ارايه دهد، مانند ميزباني سايتهاي وب و سرویس دهنده های ايميل. بلوكه كردن منحصر به IP، همه سرويسهاي هر ميزبان قرار گرفته در ليست سياه را غيرقابل دسترس مي‌كند.

بلوكه كردن با كمي دقت بيشتر مي‌تواند با تهيه ليست سياه شماره پورت بدست آيد كه آن نيز در سرآيند TCP/IP قرار دارد.

بلوكه كردن پورت

دسترسي به پورتها ممكن است توسط مدير شبكه سازماني كه ميزبان كامپيوتر مورد استفاده شماست، كنترل شود – چه شركتي خصوصي يا كافه اينترنتي، چه توسط ISP كه دسترسي اينترنت را فراهم مي‌كند، يا شخص ديگري مانند سانسوركننده دولتي كه به اتصالهاي موجود در ISP دسترسي دارد. دلايل زياد ديگري به جز سانسور وجود دارد كه ممكن است پورتها بلوكه شوند – براي كاهش اسپم، يا كنترل هزينه‌هاي مربوط به استفاده از پهناي باند بالا مانند اشتراك فايل نقطه-به-نقطه.

اگر يك پورت بلوكه شود، همه ترافيك روي اين پورت براي شما غيرقابل دسترس مي‌شود. سانسوركنندگان اغلب پورتهاي 1080، 3128 و 8080 را بلوكه مي‌كنند چون اينها معمول‌ترين پورتهاي پراكسي هستند. اگر اين مورد وجود دارد، بايد پراكسي‌هايي پيدا كنيد كه به يك پورت غيرمعمول گوش مي‌دهند. پيداكردن اينها مي‌تواند مشكل باشد.

با استفاده از Telnet مي‌توانيد امتحان كنيد كه چه بورتهايي در اتصال شما بلوكه هستند. فقط يك خط فرمان (ترمينال يا خط فرمان DOS) باز كنيد، " telnet login.icq.com 5555" يا " telnet login.oscar.aol.com 5555" را تايپ كنيد و Enter را فشار دهيد. عدد تايپ‌شده پورتي است كه مي‌خواهيد امتحان كنيد. اگر علامتهاي غیر معمولی به شما برگرداننده شد، اتصال موفقيت‌آميز بوده است.

از سوي ديگر، اگر كامپيوتر فورا گزارش دهد كه اتصال شكست خورده (failed)، از حد گذشته (timed out)، يا وقفه ايجاد شده (interrupted)، قطع شده (disconnected) يا بازشروع شده (reset)، احتمالا آن پورت مسدود شده است. (بخاطر داشته باشيد كه بعضي از پورتها مي‌توانند فقط در ارتباط با آدرسهاي IP معيني بلوكه شوند.)

برخي از معمول‌ترين پورتهاي استفاده شده عبارتند از:

• 20 و 21 – FTP (انتقال فايل)
• 22 – SSH (دسترسي راه دور پوسته امن)
• 23 – Telnet (دسترسي راه دور ناامن)
• 25 – SMTP (ارسال اي‌ميل)
• 53 – DNS (تبديل يك نام كامپيوتر به يك آدرس IP)
• 80 – HTTP (مرور عادي وب؛ همچنين گاهي براي يك پراكسي بكار مي‌رود)
• 110 – POP3 (دريافت اي‌ميل)
• 143 – IMAP (ارسال/دريافت اي‌ميل)
• 443 – SSL (اتصالهاي HTTPS امن)
• 993 – IMAP امن
• 995 – POP3 امن
• 1080 – پراكسي SOCKS
• 1194 – OpenVPN
• 3128 – پراكسي squid
• 3389 – دسك‌تاپ راه دور
• 8080 – پراكسي سبك HTTP استاندارد

براي مثال، در يك دانشگاه ممكن است، فقط پورتهاي 22 (SSH)، 110 (POP3)، 143 (IMAP)، 993 (IMAP امن)، 995 (POP3 امن) و 5190 (ICQ پيام آني) براي اتصالهاي خارجي باز باشد. به اين معني كه لازم است يك سرویس دهنده پراكسي يا VPN كه روي يكي از اين پورتها اجرا مي‌شود پيدا كنيد، يا دوستي را متقاعد كنيد تا در خارج از دانشگاه سرویس دهنده را روي پورتي اينچنين راه‌اندازي كند، و با ان سرویس دهنده متصل شوید. توانايي اجراي سرویس دهنده ها روي پورتهايي به غير از آنهايي كه بطور عادي روي آنها اجرا مي‌شوند چيزي است كه به چند تكنيك امكان‌پذير دور زدن مي‌انجامد.

فيلترينگ محتواي TCP/IP

فيلترينگ سرآيند TCP/IP فقط مي‌تواند ارتباطها را بر اساس اينكه بسته ها به كجا مي‌روند يا از كجا مي‌آيند مسدود كند، نه آنچه كه محتواي آنهاست. اين امر مي‌تواند براي سانسورچی مساله ساز باشد، خصوصا اگر تهيه ليست كاملي از آدرسهاي IP حاوي محتواي ممنوع امكان‌پذير نباشد، يا اگر آدرس IP حاوي محتواهاي بدون تخلفي باشد كه بلوكه كردن همه ارتباطها با آن قابل توجیه نباشد. روش بهتری برای كنترل طبقه‌بندي وجود دارد: محتواي بسته ها مي‌توانند براي كلمه‌هاي كليدي ممنوع بازرسي شوند. از آنجا كه مسریابها بطور طبيعي فقط سرآيند بسته را امتحان مي‌كنند نه محتواي آن را، ممكن است تجهيزات اضافه‌اي لازم باشد. سخت‌افزار معمولي ممكن است قادر به انجام عكس‌العمل لازم و سريع براي بلوكه كردن بسته های متخلف نباشند، بنابراين بجاي آن بايد از ابزارهاي ديگري براي بلوكه كردن اطلاعات استفاده كرد. چون بسته ها اندازه ماكزيمم دارند، محتواي كامل ارتباط احتمالا به چند بسته شكسته مي‌شود. بنابراين در حاليكه بسته خاطي عبور میکند، ارتباط مي‌تواند با مسدود كردن بسته های بعدي مختل شود.اين امر ممكن است با مسدود کردن كردن مستقيم بسته يا با فرستادن يك پيام به هردوي طرفهاي ارتباطي مبني بر درخواست پايان محاوره، حاصل شود. تاثير ديگر اندازه حداکثر بسته ها آن است كه كلمه‌هاي كليدي ممكن است در مرز بسته شكسته شوند. پس ممكن است دستگاههايي كه هر بسته را جداگانه بازرسي مي‌كنند براي تعيين كلمه‌هاي كليدي متخلف با شكست مواجه شوند. براي آنكه بازرسي بسته بطور كامل امکان پذیرباشد، جريان [بسته ها] بايد دوباره به هم وصل شوند، كه خود پيچيدگي بیشتری بدنبال دارد. يك فيلتر پراكسي به عنوان جايگزين مي‌تواند استفاده شود كه پیشتر توضيح داده شد.

مداخله در DNS

بيشتر ارتباطهاي اينترنت، بخصوص مرور وب، از نام دامنه‌ها بجاي آدرسهاي IP استفاده مي‌كنند. بنابراين اگر مرحله تبديل نام دامنه بتواند فيلتر شود، دسترسي به سايتهاي خاطي به شكل موثري مي‌تواند مسدود شود. با اين استراتژي، به سرویس دهنده DNSي كه كاربران به آن دسترسي دارند، لیستي از نام دامنه‌هاي ممنوع داده مي‌شود. وقتي يك كامپيوتر آدرس IP معادل يكي از اين نامهاي دامنه را درخواست مي‌كند، يك پاسخ خطا (يا هيچ) داده مي‌شود. بدون آدرس IP، كامپيوتر درخواست كننده نمي‌تواند ادامه دهد و يك پيام خطا نمايش خواهد داد.

توجه كنيد كه در مرحله‌اي كه بلوكه كردن انجام مي‌شود، كاربر هنوز درخواست صفحه‌اي نكرده است، به همين علت است كه همه صفحه‌هاي تحت يك نام دامنه بلوكه خواهند شد.

فيلترينگ پراكسي HTTP

راه جايگزين براي تنظيم يك شبكه آنستكه به كاربران اجازه دسترسي مستقيم به سايتهاي وب داده نشود بلكه همه كاربران را مجبور (يا فقط تشويق) كرد كه از طريق يك سرویس دهنده پراكسي به آن سايتها دسترسي داشته باشند. علاوه بر اين، براي بازفرستادن درخواستها، ممكن است سرویس دهنده پراكسي صفحه وب را موقتا در يك حافظه نهان ذخيره كند. مزيت اين شيوه اين است كه اگر كاربر دومي از همان ISP، همان صفحه را درخواست كند، آن صفحه بجاي اتصال به سرویس دهنده وب اصلی براي مرتبه دوم، مستقيما از حافظه نهان برگردانده خواهد شد. اين از ديد كاربر بهتر است چون صفحه وب سريعتر ظاهر خواهد شد، همانطور كه آنها هرگز مجبور نيستند به خارج از ISP خود وصل شوند. اين براي ISP نيز بهتر میباشد، چون اتصال به سرویس دهنده، وب پهناي باند را مصرف خواهد كرد (که ممکن است گران باشد) و بجاي اينكه مجبور باشند صدها بار صفحه‌ها را از يك سايت عمومي منتقل كنند، فقط لازم است اينكار يك بار انجام شود.

اما، در كنار بهبود كارايي، يك پراكسي HTTP مي‌تواند سايتهاي وب را بلوكه نيز بكند. پراكسي تصميم مي‌گيرد كه آيا به درخواستها براي صفحه‌هاي وب بايد اجازه داده شود، و اگر چنين است، درخواست را براي سرویس دهنده وبي كه ميزبان محتواي درخواستي است مي‌فرستد. چون محتواي كامل درخواست موجود است، صفحه‌هاي وب مشخص مي‌توانند، هم براساس نام صفحه‌ها و هم محتواي واقعي صفحه، فيلتر شوند.

TCP/IP و پراكسي HTTP تركيبي

از آنجا كه درخواستهاي قطع شده توسط يك پراكسي HTTP بايد از روي بسته های اصلي دوباره بهم وصل، رمزگشايي و سپس دوباره ارسال شوند، سخت‌افزار مورد نياز به همراه يك اتصال اينترنت پرسرعت خيلي گرانقيمت است. سيستمهايي هست كه امكانات فيلترينگ پراكسي HTTP را با هزينه كمتر فراهم مي‌كند. آنها با ايجاد ليستي از آدرسهاي IPی سايتهاي ميزبان محتواي ممنوع كار مي‌كنند، ولي بجاي مسدود كردن جريان داده‌ها به اين سرویس دهنده ها، ترافيك به يك پراكسي HTTP پنهان هدايت مي‌شود. در آنجا آدرس وب بطوركامل بازرسي مي‌شود و اگر محتواي ممنوعي وجود داشته باشد بلوكه مي‌شود و درغيراينصورت درخواست بصورت عادي عبور داده مي‌شود.

رد سرويس

اگر سازمانی فيلترينگی راه‌اندازي كند كه امکان اضافه كردن مكانيزمهاي مسدود سازی رایج را نداشته باشد (يا به زيرساخت شبكه دسترسي نداشته باشد)، مي‌توان با تحميل بار اضافه به سرویس دهنده يا اتصال شبكه، سايتهاي وب را غيرقابل دسترس نمود. اين تكنيك، كه بعنوان حمله رد سرويس (DoS) شناخته مي‌شود، مي‌تواند روي يك كامپيوتر با اتصال خيلي پرسرعت شبكه نصب شود؛ معمول‌تر آنستكه تعداد زيادي كامپيوتر براي راه‌اندازي يك DoS توزيع شده (DDoS) بكار گرفته شوند.

لغو دامنه

همانطور كه پيشتر اشاره شد، اولين مرحله درخواست وب تماس با سرویس دهنده DNS محلي براي پيدا كردن آدرس IP محل مطلوب است. ذخيره همه نامهاي دامنه موجود غيرممكن است، بنابراين جستجوگرهاي بازگردان اشاره‌گرهايي در ساير سرویس دهنده هاي DNS كه احتمالا جواب را مي‌دانند نگهداري مي‌كنند. اين سرویس دهنده ها جستجوگر بازگشتي را به سرویس دهنده های DNS بيشتري هدايت مي‌كنند تا اينكه يك سرویس دهنده بتواند جواب را برگرداند.

سيستم نام دامنه بصورت سلسله مراتبي سازمان‌دهي مي‌شود، با دامنه كشورها مانند ".uk" و ".de" در سطح بالاتر پسوندهای غيرجغرافيايي مانند ".com" و ".org" نیز مطرح است. سرویس دهنده هاي مسوول اين دامنه‌ها مسووليت زيردامنه‌هايي مانند example.com را به ساير سرویس دهنده هاي DNS محول مي‌كنند و درخواستها براي اين دامنه‌ها را به آنجا هدايت مي‌كنند. بنابراين اگر سرویس دهنده DNS براي يك دامنه سطح بالا نام دامنه‌اي را لغو كند، جستجوگر‌هاي بازگشتي نخواهند توانست آدرس IP را كشف كنند و بنابراين سايت را غيرقابل دسترس مي‌كنند.

دامنه‌هاي سطح بالاي كشوري معمولا از سوي دولت یک كشور يا سازمان منصوب از سوي آنها اداره مي‌شود. بنابراين اگر سايتي تحت دامنه‌ كشوري كه محتوا را ممنوع مي‌كند ثبت شود، آن سايت در خطر لغو شدن قرار خواهد داشت.

از كار انداختن سرویس دهنده

سرویس دهنده هاي ميزبان محتوا طبیعتا بايد از نظر فيزيكي در محلي قرار داشته باشند، همانند مديراني كه آنها را اداره مي‌كنند. اگر اين مكانها تحت كنترل قانوني يا فراقانوني كسي باشد كه مخالف محتوا باشد، سرویس دهنده ممکن است منع فعالیت شده يا گردانندگانش ملزم به از كار انداختن آن شوند.

نظارت

مكانيزمهاي بالا عملا مانع از دسترسي به موارد ممنوع مي‌شود، اما مشکل اینجاست که این مکانیزمها هم پیش پا افتاده اند و هم امكان دور زدن آنها وجود دارد. ديدگاه ديگر كه ممكن است به موازات فيلترينگ اعمال گردد، نظارت بر سايتهاي وبي است كه مشاهده مي‌شوند. اگر محتواي ممنوع مورد دسترسي قرار گيرد (يا سعي شود مورد دسترسي قرار گيرد)، ابزرارهاي قانوني (يا فراقانوني) مي‌توانند بعنوان مجازات اعمال شوند.

اگر اين امر بصورت وسيعي فراگیر شود، موجب میگردد تا سايرين جرات دسترسي به محتواي ممنوع را از دست بدهند، حتا اگر ابزارهاي تكنيكي براي جلوگيري از دسترسي ناكارامد باشند.

رمزنگاري

رمزنگاري – از میان ساير روشها – در واقع به مثابه دفاعي تكنيكي است برای مقابله با نظارت، كه از تكنيكهاي پيچيده رياضي براي درهم ريزي ارتباط و بي‌معني كردن آنها براي يك استراق سمع كننده استفاده مي‌كند. رمزنگاري همچنين مي‌تواند گرداننده يك شبكه را از تغيير ارتباطها باز دارد و يا حداقل اين تغييرات را قابل كشف كند.

تصور مي‌شود که شیوه های رمزنگاري مدرن آنقدر مشكل است كه در مقابل ابزارهاي فنی مقابله گر شكست‌ناپذير است؛ نرم‌افزارهاي رمزنگاري زيادي موجود است كه به كاربران امكان حفاظت از حريم شخصي را در مقابل استراق سمع مي‌دهد. ازسوي ديگر، رمزگذاري مي‌تواند با چندين ابزار دور زده شود، از جمله بدافزارهاي هدف گرفته شده، يا در كل از راه مشكلات مديريت-كليد و تبادل-كليد، وقتي كاربران از روالهاي الزامي براي كاربرد رمزگذاري امن پيروي نكنند يا نتوانند پيروي كنند. براي مثال، كاربردهاي رمزگذاري معمولا به راهي براي تشخيص هويت شخص يا كامپيوتري كه در انتهاي ديگر يك اتصال شبكه‌اي است نياز دارند؛ درغيراينصورت ارتباط مي‌تواند زمانیکه يك استراق سمع كننده خود را جاي يكي از طرفهاي ارتباط جا مي‌زند تا در ارتباط خصوصي مداخله كند، آسیب پذیر جلوه کند. اين تشخيص هويت به شكلهاي مختلف توسط نرم‌افزارهاي مختلف انجام مي‌شود، اما چشم‌پوشي يا عبور از مرحله تشخيص مي‌تواند موجب اسیب پذیری در برابر نظارت شود.

تحليل ترافيك تكنيك نظارتی ديگري است كه که در آن از اطلاعات درباره ارتباط استفاده مي‌شود تا به چيزهايي در مورد محتوا، مبدا، مقصد يا معناي ارتباط پي برده شود، حتا اگر استراق سمع كننده قادر به درك محتواي ارتباط نباشد. تحليل ترافيك مي‌تواند تكنيك بسيار قدرتمندي باشد و دفاع در مقابل آن بسيار مشكل است؛ اين تكنيك نگراني ويژه سيستمهاي گمنام است، جايي كه تكنيكهاي تحليل ترافيك شايد به شناسايي يك گروه گمنام كمك كند. سيستمهاي گمنام پيشرفته مانند Tor حاوي ابزارهايي هستند براي كاهش تاثير تحليل ترافيك، ولي هنوز ممكن است بسته به توانايي‌هاي استراق سمع كننده، در مقابل ان اسیب پذیر باشند.

تكنيكهاي اجتماعي

مكانيزمهاي اجتماعي اغلب براي دلسرد كردن كاربران از دسترسي به محتواي نامناسب استفاده مي‌شوند. براي مثال، خانواده‌ها ممكن است براي دلسرد كردن بچه‌ها از دسترسي به سايتهاي نامناسب، PC را به جاي اينكه در محلي خصوصي قرار دهند در اتاق نشيمن بگذارند جايي كه صفحه آن براي همه قابل مشاهده باشد. يك كتابخانه ممكن است PCها را بگونه‌اي بچيند كه صفحه همه آنها از ميز كتابدار قابل مشاهده باشد. يك كافه اينترنتي شايد يك دوربين نظارتي CCTV داشته باشد. ممكن است اينگونه دوربينها نيازمند يك قانون محلي باشند و همچنين نيازمند آنكه كاربران با شناسه عكس صادر شده دولتي ثبت شوند. طيفي از كنترلها از آنچه كه بسياري آن را قابل درک مي‌دانند تا آنچه كه بسياري مخالف آن هستند متفاوت می باشد.