Главная » Hi-Tech » Как работает интернет в Китае

Как работает интернет в Китае

Ничего нового по части интернет-цензуры российские политики не изобрели, многое они почерпнули из опыта Китая, который вот уже 20 лет успешно контролирует трафик китайских пользователей. Массовые блокировки подсетей Amazon, Google, Digital Ocean, Azure стали главной обсуждаемой темой российского интернета.

Поэтому я подумал, что будет интересно рассказать про то, как устроена крупнейшая система интернет-цензуры и какие механизмы для этого используются.

Немного истории

В последующие 10 лет проект тщательно прорабатывали и в 2011 году он был утвержден Государственным Советом. В 1998 году Министерство общественной безопасности Китая начало подготавливать проект под названием Golden Shield Project. Golden Shield Project — крупнейшая система цензуры интернет-содержания на магистральных сетях передачи данных.

Известный китайский фаервол China’s Great Firewall (CGF) — это как раз часть проекта Golden Shield Project.

Его цель — блокировка зарубежных сайтов и замедление межграничного трафика.

Проведение реформ должно было способствовать созданию прибавочной стоимости, достаточной для финансирования модернизации китайской экономики, которая в то время находилась на грани катастрофы в результате провала политики «большого скачка». Политика регулирования интернета стала частью программы экономических реформ, которые начались в Китае в конце 1980-х годов.

Динамика проникновения интернета среди населения в Китае, России и США

Но отношение китайских властей к интернету было скорее настороженным. Начиная с 1995 года Китай быстро подключился к интернету, стали открываться первые интернет-кафе. Дэн Сяопин, тогда — лидер КНР, высказался по поводу Сети следующим образом: «Если вы откроете окно для притока свежего воздуха, вы должны ожидать, что с воздухом прилетят и мухи!»

Обозначив потенциальную опасность всемирной интернет-сети, китайское правительство вместе с освоением новой технологии установило строгий контроль над интернетом.

1998 год, президент США Билл Клинтон посещает интернет-бар в Шанхае на улице Шэньсилу. Фото: news.163.com

Гражданам запрещено пользоваться интернетом в целях:

  • Нанесения ущерба национальной безопасности; раскрытия государственных секретов; иного вреда интересам государства или общества.
  • Создания, тиражирования, поиска или передачи информации, которая противоречит Конституции КНР, законам или административным нормам.
  • Свержения правительства или социалистической системы.
  • Подрыва национального единства.
  • Искажения правды, распространения слухов или нарушения общественного порядка.
  • Поиска и распространения материалов, имеющих сексуальный характер, или поощряющего азартные игры, насилие или убийство.
  • Нанесения вреда безопасности компьютерных информационных сетей.

Коммунистическая партия считала свободный интернет угрозой для экономического развития государства.

Это комплексная система обеспечения безопасности, включающая сквозную идентификацию пользователей (аутентификация по паспорту), антивирусные системы, мониторинг «вторжений», контент-фильтрацию, видеомониторинг и даже системы распознавания лиц. Golden Shield это не только про блокировки.

Все эти системы интегрированы в единый государственный диспетчерский центр на базе Министерства общественной безопасности КНР (МОБ), что позволяет физически находить лиц, нарушающих закон.

Но даже по размаху выставки заметно, что это не миллионы долларов, и не десятки. Суммы, которые потратило правительство Китая на разработку «Щита» — секретны. Речь шла о сотнях миллионов.

Список популярных ресурсов, которые недоступны на территории Китая

Архитектура сети в Китае

Помимо контента и устройств его хранения и обработки, важны ещё и линии связи. Интернет — это не только веб. Причём важнее всего магистральные направления, так как провайдеров в городе может быть несколько, а вот соединение между городами и странами могут обеспечить немногие.

Самой быстрой средой передачи информации на большие расстояния сегодня является оптическое волокно.

Волоконно-оптические линии между Америкой, Европой и Африкой.

Как правило, магистральная сеть выстраивается на собственных или арендованных волоконно-оптических линиях с использованием высокоскоростного канального оборудования связи. Магистральная сеть связи — транспортная телекоммуникационная инфраструктура для предоставления услуг связи.

Иными словами — эта сеть связывает стратегические взаимосвязанные сети и маршрутизаторы в интернете.

Они находятся в установленных законом точках обмена трафиком. Связь между Китаем и остальным миром проходит исключительно через «специальные серверы».

Наиболее крупные: China Telecom и China Unicom. Оборудование принадлежит шести компаниям.

Полный список:

  • China Academy of Information and Communications Technology;
  • China Telecommunications Corporation (aka China Telecom);
  • China Mobile Communications Corporation (aka China Mobile);
  • China United Network Communications Group Co., Ltd. (aka China Unicom);
  • China Radio and Television Network Co., Ltd.;
  • CITIC Networks Co., Ltd.

Все из них так или иначе аффилировоаны государством.

Интернет-шлюзы разделены на несколько уровней:

  • National Level (Пекин, Шанхай, Гуанджоу) — эти города имеют доступ к международным каналам.
  • Core Level (Шэньян, Сиань, Чэнду, Ухань, Нанкинь).
  • Metropolitan Area Network (остальные точки обмена трафиком. Могут подключаться только к Core Level).

В 2015 году из-за ежегодного роста трафика на 10-15% пришлось построить еще 7 backbone-узлов в городах Чэнду, Ухань, Сиань, Шэньян, Нанкин, Чунцин, и Ченджоу, часть узлов «подняли» с уровня Core Level до National, часть построили заново.

Глобальная связность выглядит так:

Например, два крупнейших китайских интернет-провайдера China Telecom и China Unicom по-разному расставляют трафик-фильтры. Китайские интернет-провайдеры используют разные подходы к блокировке контента.

CNC Group ( China Unicom) размещает большинство своих фильтров на магистрали, ChinaNet ( China Telecom), в силу колоссального объема китайского трафика, размещает фаерволы в основном на собственных региональных сетях.

Другие мелкие провайдеры «регионального значения» и нишевые ISP (Internet service provider) не фильтруют трафик, но для передачи межграничного трафика могут подключаться только к шести операторам.

Для блокировки интернет-контента используются несколько механизмов:

  • Блокировка IP-адресов (и целых IP-подсетей).
  • DNS tampering and hijacking — подделка DNS. Существует список сайтов, содержание которых полностью закрыто для просмотра.
  • Deep packet inspection — система, которая осуществляет глубокий анализ всех проходящих через неё пакетов. Это позволяет проверять страниц на наличие запрещенных ключевых слов.
  • Самоцензура — использование модераторов для поиска распространителей нежелательного контента. Самоцензура — один из самых интересных феноменов китайского интернета, она позволяет не только осуществлять цензуру, но и бороться с распространением наркотиков.
  • Мониторинг URL на наличие запрещенных ключевых слов. Тут все довольно тривиально.
  • Блокировка TOR.
  • Удаление VPN-приложений из китайского App Store.

Далее расскажу о каждом механизме подробнее.

Если все эти терминалы вам знакомы и вы знаете как это работает, то крутите вниз до пункта про блокировку IP-адресов. Ниже я написал небольшое введение в сетевые технологии, где очень просто объясняю что такое TCP/IP-протокол, DNS и резолвер.

Краткий курс по информационным сетям

Что происходит, когда мы в браузере вбиваем нужный нам сайт www.sample.website.ru?

Браузер разбирает введенную вами строку и извлекает доменное имя. Технически мы сообщаем браузеру ссылку (URL) сайта, который хотим посетить. Сайт может обслуживаться большим количеством серверов и надо определить, к какому подключаться.

Это распределенная база данных, которая хранит информацию о доменном имени и IP-адресах машин, на которых обслуживается домен. Для этого используется система DNS. Задача вашей операционной системы — обработать DNS-запрос.

Схема отображения содержимого веб-страницы

DNS — одна из самых высоконагруженных распределенных баз в мире.

Есть корневой домен, который обозначается точкой. Пространство доменных имен имеет древовидную структуру. То есть формально правильная запись нашего адреса — sample.website.ru., но все современные браузеры дописывают её за нас.

Этот список фиксирован. Далее идут доменные адреса первого порядка — уровня стран (com, ru, org, cn, de и так далее). Здесь наверное правильно будет сделать отступление и сказать, что такое домен. Их называют TLD (Top-Level Domain). Домен — поддерево в дереве DNS, то есть это определенный узел, включающий в себя все подчиненные узлы.

Древовидная структура DNS

Некоторые домены второго уровня имеют дальнейшее ветвление (для нашего примера это sample). Далее идут домены второго уровня (в нашем примере это website).

Зона — часть базы DNS, которая обслуживается конкретной организацией. База DNS разделена на зоны. В одной зоне хранится информация о некоторой части доменов. В каждой зоне имеется минимум один авторитетный сервер DNS, который хранит всю информацию о зоне, за которую он отвечает. Остальная информация делегируется на хранение другим зонам.

В большинстве случаев ваш интернет-провайдер имеет свой DNS-сервер, и его адрес он сообщает по специальному протоколу. На вашем устройстве, будь то компьютер или смартфон, существует дефолтный DNS-сервер.

В частности все организации прописывают адреса своих DNS-серверов на этом DNS-сервере. В этой зоне корневых DNS-адресов находятся домены второго и третьего уровня. Поэтому у крупных компаний есть свои DNS-серверы. Для больших организаций было бы неправильно хранить свои домены на DNS-сервера рунета — это повысило бы нагрузку на корневой сервер.

Изначально он не знает ничего про sample.website.ru, однако он знает адреса корневых серверов. Когда браузеру необходимо преобразовать запрос, ему известен только DNS-сервер провайдера. Корневой сервер тоже не знает ничего про sample.website.ru, но он видит домен .ru, и он возвращает IP-адреса серверов рунета. К ним он и отправляет запрос.

DNS-сервер рунета все равно не знает адрес sample.website.ru, но он знает адрес website.ru и его возвращает серверу провайдера. DNS-сервер провайдера повторяет свой запрос, но уже к одному из серверов рунета. Это сервер знает адрес sample.website.ru и возвращает его браузеру. И в третий раз DNS-сервер провайдера повторяет запрос, но уже к DNS-серверу website.ru.

Более детальная схема получения IP-адреса

Кэширующие серверы хранят в памяти (кэше) ответы на предыдущие запросы, если этот сервер получил запрос, то он сначала просматривает информацию в кэше, и если в кэше не оказалось необходимого ответа, то отправляет запрос вышестоящему серверу DNS. Если бы каждый раз запрос шел на корневой сервер, то он бы просто не выдержал такой колоссальной нагрузки, поэтому его ответ кэшируется на DNS-сервере провайдера.

Кэширование DNS-запроса

Таким образом домен может в себя включать большое количество разнообразных зон.

Коммуникация браузера с сервером происходит через специальные сетевые протоколы. После того, как IP-адрес установлен, браузеру необходимо отправить запрос на веб-сервер. Сетевые протоколы образуют стек, то есть одни протоколы используют функции, которые предоставляют другие протоколы.

Стек сетевых протоколов

Однако браузер и сервер не общаются напрямую друг с другом с помощью этого протокола. Запрос отправляется с помощью HTTP-протокола.

  • Сперва браузер устанавливает IP-адрес сервера с помощью DNS-протокола.
  • Затем браузер устанавливает TCP-соединение. Этот протокол обеспечивает надежную последовательную доставку данных между программами. На веб-сервере может быть запущено несколько программ и надо указать какой именно программе мы хотим передать данные. Для этого необходимо указать специальный TCP-порт, который указывает к какой программе мы хотим обратиться. При установке соединения происходит обмен данными, которые называют пакетами.

Коммуникация по стеку

Вернемся к теме статьи. Надеюсь, на каком-то уровне стало понятно, как работает наш любимый интернет.

Блокировка IP-адресов

В китайском интернете «Черный лист» IP-адресов содержит адреса нежелательных сайтов вроде New York Times или публичный IP-адрес DNS резолвера Google. Блокировка IP-адресов — это простой и дешевый способ. Полный список заблокированных сайтов можно найти здесь.

Все пакеты, которые отправлены по IP-адресам из «черного списка», просто скидываются . Схема блокировки IP-адресов стандартная, с использованием BGP-маршрутизаторов. При попытке зайти на тот или иной ресурс вам покажут «вечную загрузку» сайта, без заглушек.

Схема блокировки IP-адресов с использованием BGP-маршрутизаторов. Источник

Учитывая объем китайского трафика это слишком дорого, и вообще решение не очень. Иначе пришлось бы строить серверные фермы, которые при любом обращении к запрещенному ресурсу выдавали страницу-предупреждение.

Проблема такого способа — надо регулярно обновлять «черный список», заблокированный сайт может просто поменять в А-записях адрес доменного имени. Главное преимущество этого метода фильтрации — он относительно прост в реализации и создает минимальную нагрузку на фильтры интернет-провайдеров. В таком случае фильтрам надо блокировать всю подсеть, а это может «задеть» добропорядочные ресурсы.

Falun Dafa быстро менял IP в записях DNS, а регулятор тут же меняли блэк-листы. Подобная ситуация произошла в 2008 году, когда правительство боролось с ресурсом Falun Dafa (религиозная секта). Из-за этого случайно были заблокированы IP-адреса образовательного сайта MIT.

Однако сайт открыть не получилось, так как он оказался заблокированным. Всё это произошло в тот момент, когда официальная делегация из Массачусетса приехала в Китай, что бы заключить соглашение и показать массу MOOC на китайском языке.

Подделка DNS-запросов

К 2007 году в стране не осталось DNS, которые бы не управлялись правительством. Еще с 2002 года Китай начал фильтровать ответы корневых DNS-серверов и подделывать их. Все внутренние DNS-провайдеры общаются только с серверами из доверенного списка.

Схема работы подделки DNS-запроса. DNS-серверы вдоль маршрута также кэшируют измененные ответы DNS. Источник

То же самое, но в немного упрощенном виде. Источник

Работает это следующим образом: ответ, который возвращает DNS-сервер, фальсифицируется посредством преднамеренной конфигурации.

При обращении пользователя к доменному имени twitter.com пользователю выдаются ложные ответы. В ChinaNet имеются собственные «корневые DNS». Таким образом пользователь может запросить IP-адрес twitter.com а в ответ получить сайт шиномонтажного салона из Кореи.

Но кроме обычного вмешательства в DNS-записи, маршрутизаторы GFW еще умеют блокировать подцензурные запросы, подменяя DNS-запросы с запрещенными ключевыми словами, выдавая поддельные DNS-ответы.

Исследование показало, что подделка DNS-запросов сказалась на 15 тысячах открытых резолверов за пределами Китая в 79 странах. У такого подхода есть и негативные последствия для мирового веба. Больше всего пострадали сайты в европейской доменной зоне, потому что через Китай пролегает трафик из Соединенных Штатов и Японии в условную Германию.

Если путь к TLD проходит через Китай, то китайский фаервол вернет американскому резолверу поддельный ответ, который тот у себя закэширует. Например, американский DNS-резолвер для доступа к www.epochtimes.de должен отправить запрос в DNS TLD (top level domain) — службу в Германии.

Рабочий способ не допустить такой ситуации — использовать DNSSEC-валидацию. Таким образом пользователь не зайдет на нужный ему немецкий сайт, находясь в условном Бостоне. Сегодня практически все крупные регистраторы доменных имен и NS-серверы поддерживают DNSSEC. Технология помогает однозначно удостовериться в подлинности DNS-информации при помощи криптографической подписи.

DPI и Атака TCP Reset

В отличие от брандмауэров, DPI анализирует как заголовки пакетов, так и полное содержимое трафика. DPI — это технология накопления статистических данных, проверки и фильтрации сетевых пакетов по их содержимому.

Поэтому мониторить весь трансграничный трафик это довольно долго и дорого. Возможности DPI-решений сильно зависят от скорости и памяти фильтрующих элементов .

Им не обязательно блокировать все TCP-соединения китайцев. Проблема решается с помощью «прослушек» (Wiretap), которые установлены на всех границах автономных систем.

Сетевое ПО, такое как браузер и веб-сервер, обменивается данными в форме потоков пакетов. В отличие от других протоколов (например, UDP), TCP предполагает установку соединения между двумя компьютерами. Каждый TCP-пакет содержит заголовок, в котором есть бит флага сброса (RST) соединения.

Сброс TCP моментально разрывает соединение. У большинства пакетов этот бит установлен в 0, но если он установлен в 1, это значит, что получатель должен немедленно прекратить использовать текущее соединение: не посылать пакетов с текущим идентификатором (на текущий порт), а также игнорировать все последующие пакеты этого соединения (согласно информации в их заголовках).

Golden Shield использует систему «отправки запросов в ноль» с добавлением блокировки входящих пакетов.

Ключевым элементом тут является «whitetrap» — обычный межсетевой экран, который направляет копии каждого пакета на умную машину IDS.

Если по каким-то признакам пакет не проходит, то клиенту, которому этот пакет направляется, шлется TCP Reset, то есть сброс соединения. И вот уже IDS проверяет пакеты на легитимность.

Схема работы китайского DPI

Это позволяет блокировать дальнейшее соединение даже для безобидных запросов, которые ранее не были заблокированы. После блокировки соединения система поддерживает состояние потока относительно IP-адресов источника и получателя, номера порта и протокола отклоненных запросов.

Так, пользователи начинают вообще опасаться каких-либо «неправильных ресурсов», поскольку связь может быть приостановлена не только в браузере, но и, например, во время мультимедийной сессии или телефонного разговора.

Система анализирует контент сайтов на соответствие «национальному черному списку» ключевых слов. Фильтрация осуществляется по ключевым словам. Если запрещенные слова находятся, то соединение сбрасывается.

Запрещенный иероглиф легче распознать, поэтому проводить семантический анализ текста не приходится, что ускоряет фильтрацию. Китайцам «помог» их собственный язык.

Блокировка по ключевым словам в URL

Тут все довольно просто.

Например, www.stanford.edu/group/falun заблокирован, а www.stanford.edu — нет.

Скажем, в Китае работает как Github, так и Reddit. Несмотря на свою простоту это один из самых «демократичных» способов блокировки. Однако при попытке зайти на репозиторий или сабред shadowsocks (сетевой протокол для обхода блокировок) вы увидите «вечную загрузку».

Блокировка TOR

C TOR у китайцев долгое и интересное противостояние.

Так, например, с помощью подделки DNS-запросов весь трафик на сайт Tor Project, откуда можно скачать браузер, долгое время перенаправлялся на сайт груминга из Флориды.

GFW использует IP-спуффинг для сканирования Tor-мостов.

Как только обнаруживается Tor-соединение, запускается специальный сканер. Система DPI осуществляет и так называемый поведенческий анализ трафика, который позволяет распознать приложения, не использующие для обмена данными заранее известные заголовки и структуры данных. В случае успеха он блокирует мост. Он подключается к соответствующему мосту С разных китайских IP-адресов и пытается установить TOR-соединение. По разным исследованиям мост остается заблокированным на протяжении 12 часов.

Шифрование

Первая директива в этом отношении вышла еще в 1999 году. Важный элемент обеспечения информационной безопасности в Китае — регулирование всего, что касается шифрования.

Так, криптостойкость не должна превышать уровень, установленный государством. Производить и продавать продукты шифрования в коммерческом секторе возможно только с разрешения государственных органов и в соответствии с установленными правилами. Например, для пользовательских гаджетов — это вторичная функция, и на них этот запрет не действует. Позже власти разъяснили, что эти правила применяются к продуктам, основной функцией которых является шифрование.

Например, в 2003 году правительство сделало WAPI обязательным для любого беспроводного продукта, продаваемого в Китае. Начиная с 1999 года власти развивали идею контроля средств шифрования и разрабатывали национальные стандарты. 11 временно оказался под запретом, но в процессе диалога с Международной организацией по стандартизации (ИСО) ограничение смягчили, а ряд вендров пошли по пути компромисса. Набор стандартов IEEE 802. Например, Apple с поддержкой WAPI в рамках 3GS iPhone.

Обходы блокировок

Важно понимать, что Китай не живет в условиях глобальной изоляции. Обход блокировки прежде всего подразумевает получение доступа к международным ресурсам. Но в большинстве крупных китайских городов пользователи знают как обходить ограничения, чтобы зайти в Twitter или на Facebook. Да, скажем, человеку из китайской деревни сложнее прочитать статью из Guardian. Даже китайцы-эмигранты используют WeChat для общения с родственниками. Другой вопрос в том, что в этом нет большой необходимости.

Согласно Wired, на 2016 год 29% населения использовало VPN. Тем не менее Китай сейчас — один из лидеров среди стран по глобальному проникновению VPN-сервисов среди населения. Для сравнения, у Spotify на 2017 год 75 млн пользователей используют платную подписку, которая стоит примерно столько же. Это 243 млн пользователей с платной подпиской (VPN же не бесплатный).

При этом компании, работающие на территории страны, могут продолжать использовать официально зарегистрированные VPN-сервисы. В июле 2017 года правительство КНР сообщило локальным провайдерам и телекоммуникационным компаниям о необходимости блокировки незаконного использования VPN частными лицами.

Например, при заходе на сайт одного из крупнейших провайдеров GreenVPN в 2017 году можно увидеть такое сообщение.

Короткий перевод: —Мы больше никогда не встретимся. GreenVPN закрывается с 1 июля 2017 года».

Причем, если вы откажетесь, то вам предложат подключиться к другому сервису, который находится вне зоны юрисдикции китайской цензуры. Далее идут вопросы по возврату денег за услуги и кнопка «Отказаться от абонентской платы».

Обнаружение VPN-трафика

По некоторым источникам, GFW использует техники машинного обучения, чтобы распознать и блокировать VPN и прокси-соединения.

Ключевые слова «машинное обучение» и «Китай» способны навлечь страх на любого, но надо признать, что ничего передового в технологиях обнаружения нет.

Самая простая эвристика: если 99% трафика идет на один адрес, он зашифрован и содержит одинаковые заголовками. Пару секунд гугления позволят вам найти массу интересной и доступной литературы по использованию статистического обучения для классификации интернет-трафика.

А вот с этим китайцы справляются лучше других. Намного сложнее — разметить, где VPN-соединение, а где нет. Вся интернет-цензура Китая держится на ручном труде.

При желании это спокойно гуглится. Про обходы блокировок писать не здесь не буду. Также можете подписаться на мой канал в Telegram, где я про это в скором времени расскажу.

Я хотел простым языком объяснить, как работает одна из самых сложных систем по цензуре интернета. Этот текст несет ознакомительный характер. Рассуждения о моральных и этических принципах блокировок я оставлю за рамках этой статьи.

Что можно еще почитать

Если у вас возникло желание поглубже изучить технические аспекты китайского интернета, то ниже список отличных источников.

#китай


Оставить комментарий

Ваш email нигде не будет показан
Обязательные для заполнения поля помечены *

*

x

Ещё Hi-Tech Интересное!

«Перекрёсток» открыл в Москве первый «магазин без покупателей»

«Перекрёсток» открыл в Москве первый «магазин без покупателей» Поиск Написать Войти Уведомлений пока нет Пишите хорошие статьи, комментируйте,и здесь станет не так пусто «Перекрёсток» рассказал о планах открывать супермаркеты в формате dark store в феврале 2018 года. Dark store — ...

«Люди — не машины»: полный текст письма Арианны Хаффингтон с просьбой к Илону Маску не истощать себя

«Люди — не машины»: полный текст письма Арианны Хаффингтон с просьбой к Илону Маску не истощать себя Основательница Huffington Post и член совета директоров Uber Арианна Хаффингтон узнала о том, что Илон Маск работает по 120 часов в неделю, и ...