Sicherheitsforscher haben eine als Wallbleed bezeichnete Schwachstelle im DNS-Injektionssystem der Great Firewall of China (GFW) identifiziert, die von 2021 bis März 2024 aktiv für forensische Analysen genutzt werden konnte. Die Lücke erlaubte das Auslesen von bis zu 125 Bytes Speicherinhalt aus den Filtergeräten des weltweit größten Internet-Filtersystems und lieferte erstmals belastbare technische Daten über die interne Architektur der chinesischen Internetzensur-Infrastruktur.
Technische Details: Speicherleck im DNS-Request-Parser
Wallbleed betrifft das DNS-Injektionssystem des GFW, das für die Blockade unerwünschter Domains zuständig ist. Unter bestimmten Abfragebedingungen gab der fehlerhafte DNS-Request-Parser Speicherinhalte der Filtergeräte preis — bis zu 125 Bytes pro Anfrage. Aus den extrahierten Daten konnten Forscher die Prozessorarchitektur (x86_64) der Filterknoten und Memory-Retention-Zeiten ableiten. Die kompromittierten Einheiten verarbeiten den Datenverkehr von mehreren hundert Millionen chinesischen IP-Adressen.
Zwei Patch-Zyklen: Wallbleed v1 und v2
Die Schwachstelle wurde in zwei Phasen dokumentiert:
- Wallbleed v1 — aktiv bis Herbst 2023; partieller Patch im September/Oktober 2023 schloss den ursprünglichen Vektor
- Wallbleed v2 — Variante, die durch den ersten Patch nicht vollständig beseitigt wurde, aktiv bis März 2024; endgültig geschlossen mit finalem Patch im März 2024
Der Zeitraum von fast drei Jahren zwischen Entdeckung und vollständiger Behebung zeigt die Komplexität des Patch-Prozesses in einer verteilten, staatlich betriebenen Infrastruktur dieser Größenordnung.
Architektur des Great Firewall: Mehrschichtige DNS-Injektion
Die Ende der 1990er Jahre entwickelte GFW-Infrastruktur verwendet mindestens drei parallel operierende DNS-Injektionssysteme. Diese Redundanz stellt sicher, dass die Umgehung eines einzelnen Sperrungsmechanismus nicht ausreicht — weitere Filterebenen greifen unabhängig. Vor Wallbleed waren öffentlich verfügbare technische Details zur internen Architektur des GFW äußerst begrenzt; die extrahierten Speicherdaten liefern nun die ersten direkt aus der Infrastruktur stammenden Belege für die zentralisierte Steuerung.
Bedeutung für Nutzer in Ländern mit Internetzensur
Wallbleed ist keine direkt ausnutzbare Angriffsfläche für Endnutzer — die Schwachstelle lag in den Filtergeräten des chinesischen Staates, nicht in Endpunkt-Software. Für Nutzer in Ländern mit ähnlichen Filterinfrastrukturen (Iran, Russland, Belarus) liefern die Erkenntnisse jedoch wichtigen Kontext: Die GFW ist keine monolithische Black Box, sondern eine technisch dokumentierbare Infrastruktur, deren Verhalten durch systematische Analyse verstanden werden kann. Tools zur Umgehung von Netzsperren können auf Basis solcher Daten präziser entwickelt werden.
Schutz- und Umgehungsmaßnahmen für betroffene Nutzer
- Für Nutzer in China und anderen Ländern mit DNS-Manipulation: Verwenden Sie verschlüsselte DNS-Protokolle (DNS-over-HTTPS oder DNS-over-TLS), die DNS-Injektionsangriffe durch Authentifizierung der Antworten unterbinden.
- VPN-Dienste mit starker Verschlüsselung und Obfuskationsprotokollen (z. B. Shadowsocks, V2Ray) umgehen DNS-basierte Sperren vollständig.
- Tor Browser bietet mehrschichtige Anonymisierung und ist unabhängig von lokaler DNS-Auflösung.
- Auf HTTPS-Verbindungen setzen — DNS-Injektion kann HTTPS-Verbindungen zwar unterbrechen, aber nicht inhaltlich kompromittieren.
Die vollständige wissenschaftliche Analyse zu Wallbleed wurde vom Forschungsteam hinter dem OONI-Projekt (Open Observatory of Network Interference) und verwandten Forschungsgruppen veröffentlicht. Die Schwachstelle ist seit März 2024 vollständig geschlossen; neue Erkenntnisse über die GFW-Architektur sind jedoch weiterhin zu erwarten, da die Infrastruktur kontinuierlich weiterentwickelt wird.
