Как работает Интернет в Китае

Наверно, в каждой развитой стране есть заблокированные государством сайты. То страны защищают граждан от террористов, то преследуют оппозицию по политическим мотивам. Суть в том, что в каждой стране свои причины и специфика технической реализации блокировок.

Вот в Азии, например, многое непонятно для европейцев: японские телешоу, индийские традиции, как монголы могли захватить полмира и как победить в войне с Вьетнамом или Афганистаном? А Китай — это вообще целый мир внутри отдельного мира.

Те, кто в теме, точно слышали про Великий китайский фаервол (ВКФ) — централизованную сеть фильтрации и блокировки трафика внутри страны. На английском игра слов ещё красивее: Great Wall of China, которую на самом деле не видно из космоса, и Great Firewall of China.

Как работает ВКФ и как он влияет на работу Интернета в Китае? Давайте разбираться вместе.

“Преодолевая Великую китайскую стену…”

История сети Интернет в Китае начинается поздно, как и в СССР. Железный занавес не давал щупальцам капитализма пролезть на территорию соцлагеря, поэтому сеть появилась у учёных Поднебесной аж в 1987 году.

Тогда профессор Цянь Тяньбай отправил электронное письмо: “Преодолевая Великую китайскую стену, чтобы соединиться с миром”. В следующем году соединение появилось с Европой и Северной Америкой, а доступным обывателям Интернет стал в 1993-1994 гг. Тогда появились первые интернет-кафе, вход в которые был по паспортам, а фотографии визитёров оставались у администрации. 

В то время главой Китая был Дэн Сяопин, который так сказал об Интернете: “Если вы откроете окно для притока свежего воздуха, вы должны ожидать, что с воздухом прилетят и мухи”.

Намёк все поняли, и уже в 1998 году китайские хакермены взялись за проект “Золотой щит”. Формальным поводом стала ликвидация Демократической партии Китая (да, такая была), но основная цель — обезопасить граждан от идей, которые вызовут неудобные вопросики а-ля “А когда у нас нормальные выборы будут?”.

В 2000 году Китай организовал выставку «Security China 2000», куда пригласил ведущие компании в сфере телекоммуникаций. Там и презентовали миру “Золотой щит”. Выставку устроили дорого-богато, но несоизмеримо с засекреченным бюджетом проекта.

Работать “Щит” начал в 2003 году, и именно тогда Интернет начал распространяться активнее. Это сейчас Китай — мировой лидер во многих областях и крупнейшая экономика мира, но в 1990-х — начале 2000-х всё было не так гладко: 10% страны получили доступ к нему лишь в 2006 году. Лишь 1/10, но это 130 миллионов человек — три Украины в то время.

Сейчас Интернетом в Китае пользуются невообразимо больше людей, но ВКФ всё равно работает относительно эффективно.

Как выглядит китайский Интернет

В слове “Internet” очень важна часть “net” — сеть. А любая сеть строится на связях. Если два дома можно связать витой парой и не париться, то континенты сейчас связывают оптическим волокном.

Магистральные сети связывают воедино сети поменьше и маршрутизаторы в Интернете. В случае Китая связь с внешним миром происходит через особенные серверы, которые уже связаны с магистралями. 

Телекоммуникационное оборудование на нём принадлежит шести компаниям:

  • China Academy of Information and Communications Technology;
  • China Telecommunications Corporation (China Telecom);
  • China Mobile Communications Corporation (China Mobile);
  • China United Network Communications Group Co., Ltd. (China Unicom);
  • China Radio and Television Network Co., Ltd.;
  • CITIC Networks Co., Ltd.

Часть из них государственная, часть — очень тесно с ним сотрудничает.

Всего в Китае есть 3 уровня сети:

  • национальный уровень: Пекин, Шанхай, Гуаньчжоу связаны с внешним миром;
  • основной уровень: Шэньян, Сиань, Чэнду, Ухань, Нанкин — крупные узлы сети;
  • городской уровень: все остальные узлы, которые могут подключаться лишь к основному уровню.

В 2015 году построили 7 новых крупных узлов, а часть основных подняли до национального уровня. Всё потому, что объём трафика с каждым годом сильно растёт, и старые узлы не справляются.

Как блокируют трафик в Китае

Вариантов тут много. Например, провайдер China Telecom размещает фаерволы на своих региональных сетях. China Unicom ставит фильтры прямо на магистрали. Провайдеры поменьше не ставят ничего, но весь трафик идёт к 6-ти приведённым ранее компаниям, где бережно фильтруется во имя процветания народа Китая.

Основные методы блокировки контента в Интернете Китая:

  • блокировка IP-адресов;
  • подделка DNS-запросов;
  • TCP Reset — блокировка по ключевым словам;
  • самоцензура — модераторы банят нежелательный контент вручную;
  • блокировка URL по ключевым словам;
  • блокирование узлов Tor;
  • удаление VPN-сервисов.

И о каждом из них мы поговорим подробно.

Блокировка IP-адресов

Здесь всё просто: берём список, вносим в него айпишники неугодных ресурсов и реализуем блокировку. Пограничные BGP-маршрутизаторы настроены так, чтобы сбрасывать пакеты из нежелательных ресурсов. 

В Китае пользователь даже не видит заглушку с “сайт заблокирован”, а страница просто постоянно грузится. Всё потому, что китайского трафика настолько много, что заглушки съели бы кучу мощностей и финансов. 

Чем хорош такой метод? Прост, как двери, и нагрузка на фильтры минимально. Чем плох? Список нужно постоянно обновлять: если ресурс изменит А-запись доменного имени, то выпадет из чёрного списка и станет доступным. Блокировать всю подсеть — не вариант.

Так однажды вместо сайта Фалунь Дафа китайцы заблокировали MIT. Всё бы ничего, но именно тогда институт представлял в Китае свои образовательные программы, а доступа к сайту не было. ¯\_(ツ)_/¯

Подделка DNS-запросов

В начале 2000-х Китай начал фильтровать корневые файлы DNS-серверов, в конце 2000-х — сделал так со всеми серверами. Внутренние DNS-провайдеры могут взаимодействовать только с одобренными списком серверов.

Как они это делают? Ответ DNS-сервера перенастраивается, а значит — подделывается. Так как в китайском Интернете есть свои корневые DNS, на выходе получаем вместо facebook.com сайт салона штор на Шулявке.

Кроме этого, китайцы блокируют запрещённые запросы: меняется DNS-запрос и выдаётся поддельный DNS-ответ. Из-за этого страдает всемирный веб: 15 тысяч открытых резолверов из 80 стран страдают от такой деятельности в Китае. Особенно сложно было Европе, потому что трафик из Северной Америки идёт через Поднебесную. Эту проблему почти побороли с внедрением DNSSEC-валидации.

DPI: TCP Reset

Тут уже чуть сложнее. В отличие от фаервола, DPI проверяет и заголовки, и весь трафик. Но так как просмотреть всё  — ресурсозатратно, китайцы решили проблему прослушками на границах автономных сетей.

Немного теории: протокол TCP устанавливает соединение между двумя устройствами. Сетевые программы обмениваются по нему потоками пакетов, которые в протоколе называются сегментами. В отдельных пакетах есть заголовок, содержащий бит флага сброса соединения (RST).

Почти все пакеты в RST имеют значение 0, но содержащие там 1 активируют разрыв текущего соединения в прямом и обратном направлении. TCP-соединение сразу же разрывается.

Система устроена так, что обычные межсетевые экраны отправляют копии пакетов в IDS — систему обнаружения вторжений. Уже она проверяет пакеты и разрывает соединение, если они не прошли цензуру.

Соединение разрывается не только для подцензурных пакетов, а в целом: к вам не могут поступить нормальные пакеты. Грубо говоря, Интернет пропадает совсем, поэтому юзеры начинают бояться идти против “линии партии”, чтобы всегда иметь доступ к сети.

Ещё одна фишка Китая — их язык. IDS работает по ключевым словам в пакетах: если там что-то из чёрного списка, то пиши пропало. Для создания текста иероглифов нужно намного меньше, чем букв, поэтому компьютеру намного проще.

Ключевые слова в URL

Здесь всё тоже очень просто. Например, страница disney.com/home будет доступна, а вот disney.com/cartoons/winnie_the_pooh уже нет. Всё почему? Потому, что китайские юзернеймы нашли генсека Си Цзиньпина схожим с Винни-Пухом, поэтому персонаж Алана Милна в стране забанен. 

Способ блокировки относительно гуманный: вместо недоступности Reddit правительство запрещает читать только неугодные треды.

Блокировка узлов Tor

Как работает Tor вы можете почитать здесь, это интересно. И естественно, что власти Китая борются с луковой маршрутизацией давно и упорно.

Поддельные DNS-запросы вместо https://www.torproject.org/ выдавали сайт груминга в штате Флорида, но сейчас там другая случайная страница. Теперь китайцы пошли дальше и занялись IP-спуфингом. Как это происходит?

DPI замечает подозрительный трафик и сканирует его на “луковость”. Дальше разные подконтрольные IP-адреса соединяются с потенциальным мостами и пытаются установить луковое соединение с ними. Если получается — это мост Tor, который сразу же банится на 12 часов минимум.

Удаление VPN-сервисов

Wired в 2016 году писали, что 29% китайцев пользуются VPN. Есть информация, что ВКФ использует машинное обучение для распознавания и блокирования VPN и прокси. В 2017 году вышла директива правительства Китая о том, что провайдеры должны блокировать нелегальные VPN-соединения от частных лиц. При этом международным компаниям сервисами пользоваться можно.

VPN в Китае всё равно работает и им пользуются. Даже основатель ВКФ Фань Биньсинь пользовался VPN на одной из встреч.

Итог

Хоть Великий китайский фаервол существует, экономика страны постоянно растёт невообразимыми темпами. Если вам кажется, что с открытым Интернетом без цензуры всё было бы лучше — наверняка, вы правы. Но есть одно “но”.

Получилось бы у Китая добится таких результатов, если б государство не контролировало все процессы внутри? У страны очень сложная история ещё с додинастического периода, она была далеко не самой развитой до конца XX века. Возможно, то, что мы видим — результат авторитарной политики руководства. Но диктатура — это всегда плохо.

Мы бы такой Интернет у себя не хотели. Всемирная паутина — это про глобализм, а не про национальную сеть. Да и администрировать такое счастье равносильно быть соучастником репрессий.

А что вы думаете по поводу цензуры в Интернете? Хотели бы посёрфить по волнам китайской сети? Оставьте своё мнение в комментариях и подпишитесь на наши соцсети, чтобы не пропустить новые материалы.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *