Как работает Интернет в Китае

Наверно, в каждой развитой стране есть заблокированные государством сайты. То страны защищают граждан от террористов, то преследуют оппозицию по политическим мотивам. Суть в том, что в каждой стране свои причины и специфика технической реализации блокировок.
Вот в Азии, например, многое непонятно для европейцев: японские телешоу, индийские традиции, как монголы могли захватить полмира и как победить в войне с Вьетнамом или Афганистаном? А Китай — это вообще целый мир внутри отдельного мира.
Те, кто в теме, точно слышали про Великий китайский фаервол (ВКФ) — централизованную сеть фильтрации и блокировки трафика внутри страны. На английском игра слов ещё красивее: Great Wall of China, которую на самом деле не видно из космоса, и Great Firewall of China.
Как работает ВКФ и как он влияет на работу Интернета в Китае? Давайте разбираться вместе.
“Преодолевая Великую китайскую стену…”
История сети Интернет в Китае начинается поздно, как и в СССР. Железный занавес не давал щупальцам капитализма пролезть на территорию соцлагеря, поэтому сеть появилась у учёных Поднебесной аж в 1987 году.
Тогда профессор Цянь Тяньбай отправил электронное письмо: “Преодолевая Великую китайскую стену, чтобы соединиться с миром”. В следующем году соединение появилось с Европой и Северной Америкой, а доступным обывателям Интернет стал в 1993-1994 гг. Тогда появились первые интернет-кафе, вход в которые был по паспортам, а фотографии визитёров оставались у администрации.
В то время главой Китая был Дэн Сяопин, который так сказал об Интернете: “Если вы откроете окно для притока свежего воздуха, вы должны ожидать, что с воздухом прилетят и мухи”.
Намёк все поняли, и уже в 1998 году китайские хакермены взялись за проект “Золотой щит”. Формальным поводом стала ликвидация Демократической партии Китая (да, такая была), но основная цель — обезопасить граждан от идей, которые вызовут неудобные вопросики а-ля “А когда у нас нормальные выборы будут?”.
В 2000 году Китай организовал выставку “Security China 2000”, куда пригласил ведущие компании в сфере телекоммуникаций. Там и презентовали миру “Золотой щит”. Выставку устроили дорого-богато, но несоизмеримо с засекреченным бюджетом проекта.
Работать “Щит” начал в 2003 году, и именно тогда Интернет начал распространяться активнее. Это сейчас Китай — мировой лидер во многих областях и крупнейшая экономика мира, но в 1990-х — начале 2000-х всё было не так гладко: 10% страны получили доступ к нему лишь в 2006 году. Лишь 1/10, но это 130 миллионов человек — три Украины в то время.
Сейчас Интернетом в Китае пользуются невообразимо больше людей, но ВКФ всё равно работает относительно эффективно.
Как выглядит китайский Интернет
В слове “Internet” очень важна часть “net” — сеть. А любая сеть строится на связях. Если два дома можно связать витой парой и не париться, то континенты сейчас связывают оптическим волокном.
Магистральные сети связывают воедино сети поменьше и маршрутизаторы в Интернете. В случае Китая связь с внешним миром происходит через особенные серверы, которые уже связаны с магистралями.
Телекоммуникационное оборудование на нём принадлежит шести компаниям:
- China Academy of Information and Communications Technology;
- China Telecommunications Corporation (China Telecom);
- China Mobile Communications Corporation (China Mobile);
- China United Network Communications Group Co., Ltd. (China Unicom);
- China Radio and Television Network Co., Ltd.;
- CITIC Networks Co., Ltd.
Часть из них государственная, часть — очень тесно с ним сотрудничает.
Всего в Китае есть 3 уровня сети:
- национальный уровень: Пекин, Шанхай, Гуаньчжоу связаны с внешним миром;
- основной уровень: Шэньян, Сиань, Чэнду, Ухань, Нанкин — крупные узлы сети;
- городской уровень: все остальные узлы, которые могут подключаться лишь к основному уровню.
В 2015 году построили 7 новых крупных узлов, а часть основных подняли до национального уровня. Всё потому, что объём трафика с каждым годом сильно растёт, и старые узлы не справляются.
Как блокируют трафик в Китае
Вариантов тут много. Например, провайдер China Telecom размещает фаерволы на своих региональных сетях. China Unicom ставит фильтры прямо на магистрали. Провайдеры поменьше не ставят ничего, но весь трафик идёт к 6-ти приведённым ранее компаниям, где бережно фильтруется во имя процветания народа Китая.
Основные методы блокировки контента в Интернете Китая:
- блокировка IP-адресов;
- подделка DNS-запросов;
- TCP Reset — блокировка по ключевым словам;
- самоцензура — модераторы банят нежелательный контент вручную;
- блокировка URL по ключевым словам;
- блокирование узлов Tor;
- удаление VPN-сервисов.
И о каждом из них мы поговорим подробно.
Блокировка IP-адресов
Здесь всё просто: берём список, вносим в него айпишники неугодных ресурсов и реализуем блокировку. Пограничные BGP-маршрутизаторы настроены так, чтобы сбрасывать пакеты из нежелательных ресурсов.
В Китае пользователь даже не видит заглушку с “сайт заблокирован”, а страница просто постоянно грузится. Всё потому, что китайского трафика настолько много, что заглушки съели бы кучу мощностей и финансов.
Чем хорош такой метод? Прост, как двери, и нагрузка на фильтры минимально. Чем плох? Список нужно постоянно обновлять: если ресурс изменит А-запись доменного имени, то выпадет из чёрного списка и станет доступным. Блокировать всю подсеть — не вариант.
Так однажды вместо сайта Фалунь Дафа китайцы заблокировали MIT. Всё бы ничего, но именно тогда институт представлял в Китае свои образовательные программы, а доступа к сайту не было. ¯\_(ツ)_/¯
Подделка DNS-запросов
В начале 2000-х Китай начал фильтровать корневые файлы DNS-серверов, в конце 2000-х — сделал так со всеми серверами. Внутренние DNS-провайдеры могут взаимодействовать только с одобренными списком серверов.
Как они это делают? Ответ DNS-сервера перенастраивается, а значит — подделывается. Так как в китайском Интернете есть свои корневые DNS, на выходе получаем вместо facebook.com сайт салона штор на Шулявке.
Кроме этого, китайцы блокируют запрещённые запросы: меняется DNS-запрос и выдаётся поддельный DNS-ответ. Из-за этого страдает всемирный веб: 15 тысяч открытых резолверов из 80 стран страдают от такой деятельности в Китае. Особенно сложно было Европе, потому что трафик из Северной Америки идёт через Поднебесную. Эту проблему почти побороли с внедрением DNSSEC-валидации.
DPI: TCP Reset
Тут уже чуть сложнее. В отличие от фаервола, DPI проверяет и заголовки, и весь трафик. Но так как просмотреть всё — ресурсозатратно, китайцы решили проблему прослушками на границах автономных сетей.
Немного теории: протокол TCP устанавливает соединение между двумя устройствами. Сетевые программы обмениваются по нему потоками пакетов, которые в протоколе называются сегментами. В отдельных пакетах есть заголовок, содержащий бит флага сброса соединения (RST).
Почти все пакеты в RST имеют значение 0, но содержащие там 1 активируют разрыв текущего соединения в прямом и обратном направлении. TCP-соединение сразу же разрывается.
Система устроена так, что обычные межсетевые экраны отправляют копии пакетов в IDS — систему обнаружения вторжений. Уже она проверяет пакеты и разрывает соединение, если они не прошли цензуру.
Соединение разрывается не только для подцензурных пакетов, а в целом: к вам не могут поступить нормальные пакеты. Грубо говоря, Интернет пропадает совсем, поэтому юзеры начинают бояться идти против “линии партии”, чтобы всегда иметь доступ к сети.
Ещё одна фишка Китая — их язык. IDS работает по ключевым словам в пакетах: если там что-то из чёрного списка, то пиши пропало. Для создания текста иероглифов нужно намного меньше, чем букв, поэтому компьютеру намного проще.
Ключевые слова в URL
Здесь всё тоже очень просто. Например, страница disney.com/home будет доступна, а вот disney.com/cartoons/winnie_the_pooh уже нет. Всё почему? Потому, что китайские юзернеймы нашли генсека Си Цзиньпина схожим с Винни-Пухом, поэтому персонаж Алана Милна в стране забанен.
Способ блокировки относительно гуманный: вместо недоступности Reddit правительство запрещает читать только неугодные треды.
Блокировка узлов Tor
Как работает Tor вы можете почитать здесь, это интересно. И естественно, что власти Китая борются с луковой маршрутизацией давно и упорно.
Поддельные DNS-запросы вместо https://www.torproject.org/ выдавали сайт груминга в штате Флорида, но сейчас там другая случайная страница. Теперь китайцы пошли дальше и занялись IP-спуфингом. Как это происходит?
DPI замечает подозрительный трафик и сканирует его на “луковость”. Дальше разные подконтрольные IP-адреса соединяются с потенциальным мостами и пытаются установить луковое соединение с ними. Если получается — это мост Tor, который сразу же банится на 12 часов минимум.
Удаление VPN-сервисов
Wired в 2016 году писали, что 29% китайцев пользуются VPN. Есть информация, что ВКФ использует машинное обучение для распознавания и блокирования VPN и прокси. В 2017 году вышла директива правительства Китая о том, что провайдеры должны блокировать нелегальные VPN-соединения от частных лиц. При этом международным компаниям сервисами пользоваться можно.
VPN в Китае всё равно работает и им пользуются. Даже основатель ВКФ Фань Биньсинь пользовался VPN на одной из встреч.
Итог
Хоть Великий китайский фаервол существует, экономика страны постоянно растёт невообразимыми темпами. Если вам кажется, что с открытым Интернетом без цензуры всё было бы лучше — наверняка, вы правы. Но есть одно “но”.
Получилось бы у Китая добится таких результатов, если б государство не контролировало все процессы внутри? У страны очень сложная история ещё с додинастического периода, она была далеко не самой развитой до конца XX века. Возможно, то, что мы видим — результат авторитарной политики руководства. Но диктатура — это всегда плохо.
Мы бы такой Интернет у себя не хотели. Всемирная паутина — это про глобализм, а не про национальную сеть. Да и администрировать такое счастье равносильно быть соучастником репрессий.
А что вы думаете по поводу цензуры в Интернете? Хотели бы посёрфить по волнам китайской сети? Оставьте своё мнение в комментариях и подпишитесь на наши соцсети, чтобы не пропустить новые материалы.
Узнать детально про учебные материалы ITEDUCENTER