Firewall в китае что это
Недавно едва ли не все белорусы узнали, что такое VPN, а соответствующие сервисы заняли первую двадцатку мест среди самых скачиваемых в нашей стране приложений. Однако, как показал опыт, даже VPN не может служить стопроцентной гарантией доступа в интернет. Очевидно, что со временем у многих государств появляется все больше желания перенять опыт Китая в таком соблазнительном деле, как контроль интернета. Посмотрим, как устроен и на что способен «Великий китайский файрвол».
Фильтрация контента в социальных сетях
Китайская интернет-цензура не так проста, как это кажется на первый взгляд. Анализ фильтрации контента в социальных сетях показал, что ее цель – не тотальное искоренение какой-либо политической или общественной критики, а недопущение ее перерастания в политические выступления, панику или политическое движение, в том числе виртуальное.
По некоторым оценкам количество задействованных сотрудников как государственных, так и частных компаний в секторе обеспечения информационной безопасности КНР составляет около 100 тысяч
Так, например, американским исследователям удалось выделить темы, которые подвергались цензуре в период с июля по август 2012 года:
- Наводнение в Пекине, повлекшее смерть нескольких десятков человек, и связанные с ним сюжеты (ключевая общественно-политическая тема периода)
- Антироссийские и антикитайские заявления сирийских боевиков
- Экологические протесты в Восточном Китае по поводу строительства трубопровода
- Повторный арест правозащитника Ли Гуижи
- Фотографии группового секса с участием региональных чиновников
- Избиение японского корреспондента, который брал интервью у участников политических протестов
- Слух об обрушении одной из станций метро в Пекине
В стране запрещён доступ к ряду популярных веб-сервисов и онлайн-медиа. Среди них: Facebook, Twitter, Gmail (заблокированный в конце 2014 года), Wikipedia, CNN, New York Times и другие.
«Отец» Фан Биньсин
Официальная информация о «Великом китайском файрволе» до сих пор остается государственной тайной. Тем не менее сегодня о нем известно довольно много.
Вероятно, работы по созданию системы интернет-цензуры начались в 1998 году силами подразделения, специально созданного при министерстве промышленности и информационных технологий. Позднее это подразделение получило название Национального центра по противодействию киберугрозам.
Изначально «Великий китайский файрвол» был лишь одним из множества проектов «Золотого щита». Однако позднее важность системы фильтрации интернет-контента стала настолько очевидной, что ее выделили из «Золотого щита» в отдельную единицу и переподчинили местному интернет-регулятору.
Создателем «Великого китайского файрвола» считается Фан Биньсин. К моменту начала работ над системой ему не было и 40. В детстве Фан считался вундеркиндом, в 20 лет он уже получил степень бакалавра в Харбинском политехническом университете, а в 29 защитил докторскую диссертацию. К концу 1990-х Фан Биньсин фактически отвечал за информационную безопасность страны.
«Великий китайский файрвол» в целом был готов где-то в 2001-м. Затем на протяжении пары лет правительство испытывало систему. Тренировались в основном на китайской версии Google, которую время от времени блокировали в экспериментальных целях.
Тестирование решений
Но перед тем, как непосредственно создавать варианты стейджингов, крутить ручки, оптимизировать работу сайта и его скорость, нужно выбрать инструмент для его тестирования, чтобы видеть, какие наши действия улучшают или наоборот ухудшают работу сайта.
Наш инструмент для тестирования должен был соответствовать двум главным требованиям:
- он должен иметь возможность запуска тестов из Китая,
- он должен иметь браузерные тесты.
Так мы нашли Catchpoint! У них отличное покрытие точками тестирования по всему миру. В Китае через этот инструмент можно запускать тесты тоже из 100500 провинций. В каждой по несколько разных провайдеров + возможность делать Backbone-тесты (что-то типа виртуалки в датацентре) и Lastmile-тесты (максимально приближенные к пользовательским условиям, aka рабочая станция). Последний тип тестов стоит дороже.
Заключив годовой контракт (меньше нельзя), мы приступили к изучению инструмента. Признаться, мы были приятно удивлены его функционалом. Можно запускать:
- DNS-тесты,
- Web-тесты (браузерные, простой GET/POST, эмуляция мобильного клиента и т.д.),
- Транзакционные проверки (например, логин),
- API-тесты,
- Ping, traceroute, NTP и т.д.
Всего не перечислишь. И что самое главное, каждый тест можно довольно хорошо кастомизировать, добавив пачку заголовков и других параметров. На выходе получается огромное количество информации, полностью описывающей твой тест. Если говорить о самом интересном для нас (браузерные тесты), то результат включает в себя:
- Connect, Wait, Load, SSL, DNS time,
- TTFB, TTLB, Document complete, Render time, DOM load,
- Response (что-то близкое к Time To First Byte), Webpage Response (что-то близкое к Time To Last Byte),
- Любые percentile, Average, Median time
- И т.п.
Соответственно, все эти метрики отлично помогают видеть изменения и понимать, стало ли лучше. Мы, в основном, смотрели на Response, Webpage Response, Median, 75 и 95 Percentiles.
Важный вопрос, который витал в воздухе с самого начала: а можно ли верить Catchpoint? Отражает ли этот инструмент реальную скорость загрузки сайта в Китае из разных городов или же это просто какой-то тест в вакууме, не имеющий ничего общего с real user experience?
Это большая проблема, потому что находясь в России практически невозможно достоверно узнать, как работает сайт из Китая. Делая socks-proxy через виртуалку, на выходе получаешь загрузку сайта в течение пары минут, что для тестов просто неприемлимо, поэтому единственным вариантом ручного тестирования остается curl и простые GET из консоли с замером времени. Это помогает, потому что данный тест хорошо отражает скорость работы сетевого решения, а если есть еще и браузерные тесты, то совсем хорошо.
Позже мы сами съездили в Китай и убедились, что Catchpoint верить можно, он довольно точно отражает реальные показатели скорости работы.
ICP-лицензия
Для того, чтобы иметь возможность размещать свой сервис в пределах Китая (Mainland China) и проводить тесты, нужно сначала получить ICP-лицензию на домен.
Если пользовательский трафик вашего сайта терминируется в пределах Mainland China, и если у вашего домена нет лицензии ICP, ваш трафик будет блокироваться на стороне провайдера/хостинга. Интересно, что в ICP-лицензию вписывается конкретный провайдер, будь то Cloudflare или Alibaba Cloud. Поэтому, если вы получали ICP-лицензию для Cloudflare и размещали свой сайт у них, в последствии “бесшовно” переехать на Alibaba Cloud у вас не получится. Необходимо будет добавлять в эту лицензию еще один хостинг.
Получив ICP-лицензию на домен, мы смогли придумывать и реализовывать конкретные технические идеи и решения.
Cloudflare China Network
Схема данного тестового стенда представлена ниже.
Для нас это прекрасный вариант. Получается, что второй домен будет тоже за CF, что не прибавляет количество решений, используемых в компании, а также практически не усложняет инфраструктуру.
Мы запустили браузерные тесты, и вот что получилось:
Красные ромбики — это фейлы тестов. Фейлы снизу — DNS ошибки (resolve timeout). Фейлы сверху — таймауты.
Uptime: 86.6
Median: 18s
75 Percentile: 29.3s
95 Percentile: 60s
В каждый тест можно зайти и посмотреть Waterfall и другие более подробные параметры. Мы начали исследовать причины ошибок, и если для таймаутов все более менее понятно: интернет в Китае “то съезжается, то разъезжается”, из-за этого скорость коннекта и загрузки ресурсов из-за границы нестабильна и неодинакова, то DNS-ошибки нас сильно удивили. Мы обнаружили, что PoP у Cloudflare действительно находятся в Китае, адрес сайта резолвится в один anycast IP, но DNS-серверы используются американские, из-за чего DNS-запросы вынуждены проходить через границу, поэтому иногда они фейлятся.
Уточнив этот вопрос у CF, выяснилось, что своих DNS-серверов в Китае у них нет, а когда будет — пока неизвестно.
Поэтому мы решили потестировать только DNS Cloudflare и поменяли механизм работы Cloudflare для нашего сайта на режим “Только DNS”. Это такой режим, когда Cloudflare не проксирует трафик через себя, а значит, не предоставляет DDoS-защиты, CDN и прочие фичи, и работает в режиме обычного DNS-сервера.
Данный стенд схематично представлен на следующем рисунке. На рисунке учтены появившиеся знания о том, что DNS-сервера Cloudflare за фаерволом.
В Catchpoint мы запустили простые GET-тесты (не браузерные), которые показали очень много фейлов. Причиной их были все те же DNS ошибки.
Начали дебажить эти ошибки с помощью dig и обнаружили, что при первом запросе адрес определяется правильно, а при повторном запросе мы получаем каждый раз SERVFAIL и not found. Это с чего вдруг?
При запросе NS-серверов Cloudflare напрямую таких ошибок нет:
Значит, проблема на стороне “локального” DNS-сервера или сервера провайдера.
Дальнейшее расследование показало, что SERVFAIL мы получаем на резолве AAAA-записи.
Оказалось, что при запросе у Cloudflare АААА-записи, которой в домене нет, Cloudflare отвечал А-записью, что является ошибкой и несоответствием RFC. Из-за чего локальному резолверу (x.x.x.x) это не нравилось, и он отвечал SERVFAIL. В логе ниже это поведение отчетливо видно:
Мы отправили bug-репорт Cloudflare, и они это исправили через какое-то время. Оказалось интересно: на настоящий момент в Китае до сих пор нет поддержки IPv6, поэтому Cloudflare не мог выдавать там свой IPv6 адрес в ответе на запрос АААА-записи. В итоге все решилось так, что для Китая Cloudflare стал отвечать NODATA на такие запросы.
Так, ошибки DNS в тестах Catchpoint резко уменьшились, но не до конца. Таймауты тоже никуда не делись:
И мы начали искать другое решение.
В следующей части я расскажу, как мы тестировали китайское облако Alibaba Cloud, как с помощью небольшой "магии" Nginx мы смогли быстро создавать PoC (Proof of Concept) решений, как мы создавали Multi-Cloud решения, одно из которых в итоге очень сильно помогло ускорить работу сервиса из Китая.
"Путь один - это китайский вариант". Сказано этого было еще пять лет назад - тогдашним советником президента по вопросам развития Интернета Германом Клименко. И тогда вызвало взрыв возмущения. С тех пор если что и изменилось в спорах о маршрутах развития отечественной Сети, то это прекращение споров. Теперь-то уже всем очевидно: идем на Восток.
Ввиду этого информация о рождении и становлении китайской модели Интернета вызывает уже далеко не только узкопрофессиональный интерес. Это, что называется, воспоминания о будущем. А в какой-то степени - уже и о настоящем.
Фото: Global Look Press
КНР - во всем пример
Дело, понятно, не только в Интернете. Изменения, происходящие с российской частью Сети, - часть общего политического тренда. Пожалуй, наиболее ярко суть его выразила Маргарита Симоньян:
"Не может большое государство существовать без контроля над информацией. И те, кто заставил нас написать в нашу Конституцию, что цензура запрещена прекрасно это понимают. Это не в нашей исторической традиции.
Цензура изначально возникла на Руси еще до того, как возникли какие бы то ни было известные письменные памятники.
"Не может быть развитой экономики там, где нет развитой, свободной политической системы". Это все чушь собачья! Посмотрите на Китай. Что, там есть какая-то свобода в политической, в информационной жизни страны? Близко нет. И не было никогда. И может быть, это и неплохо? Может быть, и хорошо?"
Высказывание, конечно, не бесспорное. Во многих отношениях. В том числе и в том, что касается китайского опыта. Во-первых, не следует забывать, что есть два Китая: помимо Китайской Народной Республики существует просто Китайская Республика - частично признанное (и категорические не признаваемое КНР) государство, занимающее остров Тайвань. Так вот, на Тайване свободная политическая система и нет цензуры - во всяком случае, в понимании коммунистической КНР. И, несмотря на это, Тайвань демонстрирует как минимум не меньший, чем в континентальном Китае, уровень технологического развития и значительно более высокий уровень жизни.
А во-вторых, свободу в политической и информационной жизни довелось вкусить и Китайской Народной Республике. Причем по историческим меркам сравнительно недавно.
Свобода, правда, была относительной: окошко гласности приоткрылось ненамного и ненадолго. Но последствия оказались такими, что и сегодня оказывают определяющее влияние на общественно-политическое развитие этой страны. В том числе и на развитие Чайнанета - китайского сегмента глобальной Сети.
Китайская перестройка была начата в 1978 году, после прихода к власти Дэн Сяопина. В Китае это называлось политикой реформ и открытости. Точно так же, как через семь лет в СССР, первоначально речь шла лишь о модернизации экономики, но затем в обществе появились и все более усиливались силы, требовавшие политических изменений. Сейчас трудно в это поверить, но в конце 1980-х годов с экранов государственного телевидения КНР звучали открытые призывы к преобразованиям по западному образцу.
Перелом произошел весной 1989 года: 15 апреля в Пекине начались массовые уличные акции, участники которых протестовали против коррупции и требовали демократизации политической жизни. Ядром протестующих была студенческая молодежь, а эпицентром событий - площадь Тяньаньмэнь.
3 июня 1989 года в город были введены войска, которым был отдан приказ стрелять на поражение. Утром 4 июня все было кончено: "китайский майдан" был потоплен в крови. По официальным данным, в ходе событий погиб 281 человек, но все независимые наблюдатели считают эту цифру многократно заниженной. Оценки числа жертв тяньаньмэньской бойни колеблются от тысячи до 10 тысяч.
Компартия Китая сделала выводы из случившегося: после этого никакого вольнодумства в стране, действительно, не допускалось. Ни в политической, ни в информационной сфере. После этого гайки только закручивались. Впрочем, китайский Интернет все-таки успел какое-то время побыть свободным.
От стены до стены
У "Чайнанета" есть точная дата рождения. 20 сентября 1987 года профессор Пекинского научно-исследовательского института вычислительных машин Цянь Тяньбай отправил первое электронное письмо, адресованное коллегам из университета в Карлсруэ (ФРГ). Текст, составленный на немецком и английском языках, гласил: "Через Великую стену мы достигнем всех уголков мира". Символично, кстати, что уже в этом, самом первом послании, переданном из Китая посредством глобальной Сети, присутствуют слова "великая стена".
Китайский ученый, естественно, имел в виду преодоление прежних, архаичных барьеров, а не возведение новых. Но сегодня виртуальная "Великая защитная стена", "Великий китайский файрвол", - система фильтрации глобальной Сети, "оберегающая" страну от "тлетворного влияния" заграницы, - является таким же символом Китая, как памятник архитектуры. Причем символ этот куда как "живой" - действующий со все большей интенсивностью.
Но все по порядку. Первоначально власти не видели в Интернете угрозы. Слишком узок был круг пользователей, слишком далеки они были от народа. Скажем, в 1994 году доступ к сети имели всего две тысячи человек. В основном это были ученые.
"Изменения произошли резко и мгновенно, - пишет в своей книге "Великий китайский файрвол" британский журналист Джеймс Гриффитс (живет и работает в Гонконге). - Два года спустя в стране появился первый коммерческий интернет-провайдер. Многие жители Китая обзавелись компьютерами. На серверах университетов открывались электронные доски объявлений, где можно было обсуждать спорные темы и делиться запрещенной информацией. Некоторое время ни КПК, ни ее противники не замечали, как в Интернете вызревают семена общественных перемен, но вскоре ситуация изменилась".
1 февраля 1996 года правительство издало постановление "О временных мерах по регулированию компьютерных информационных сетей и Интернета". Согласно этому документу, "государству предоставлялась абсолютная власть над Интернетом и его развитием, - пишет Гриффитс. - На следующий год министерство общественной безопасности вынесло ряд постановлений, которые запрещали, в частности, использовать Интернет для подстрекательства к свержению правительства или социалистического строя. Надзор над Интернетом был полностью передан в ведение органов безопасности".
Тем не менее исход "великого похода" за подконтрольный государству Интернет на тот момент еще не был очевиден. "Усилия китайских властей обречены на поражение, - писала в те годы американская Wall Street Journal. - Да, какие-то сайты заблокировать можно, но в целом для пользователей из Китая не составляет особых трудностей получить самую разнообразную информацию о политике. Все больше китайских пользователей заводят аккаунты на почтовых сервисах с веб-интерфейсом, которые не могут отследить спецслужбы".
Но уже скоро оптимизм поборников свободного Интернета резко пошел на убыль. В 1998 году Министерство общественной безопасности Китая запустило проект "Золотой щит" - презентованный как "комплексная система безопасности в Интернете". То, что с легкой руки авторов американского журнала Wired получило название "Великий файрвол", - одна из составных частей "Щита", отвечающая, так сказать, за защиту внешних рубежей. Это первый уровень цензуры.
К 2003 году была готова первая версия "Золотого щита", представляющая собой многоуровневую систему баз данных. Появился черный список сайтов. Недостатком этой системы - с точки зрения цензоров - было то, что требовалось непрерывно обновлять список блокируемых IP-адресов, причем угнаться за нарушителями закона было достаточно сложно: запрещенный ресурс легко мог преодолеть файрвол путем смены IP.
Однако мысль разработчиков виртуальной стены не стояла на месте. В конце 2000-х система была серьезно усовершенствована: версия 2.0 предусматривала фильтрацию информации по ключевым словам. И чем дальше, тем фильтры становились все тоньше и изощреннее.
"Великий файрвол – гораздо более продвинутая система, чем файрволы в школах или на рабочих местах, - описывает современное состояние проекта Джеймс Гриффитс. - Иначе его можно было бы легко обойти самыми простыми способами, например, созданием зеркал запрещенных сайтов на незаблокированных адресах или серверах. или заходом на заблокированные страницы через прокси-серверы.
Как показала практика, Великий файрвол практически невозможно обойти такими способами: он анализирует сам трафик, а не только исходящий запрос и адрес назначения. Например, если пользователь попытается зайти на ранее не заблокированный сайт с информацией о запрещенном религиозном движении "Фалуньгун", файрвол по ключевым словам отследит этот запрос и перекроет соединение, после чего отметит сайт для повторной проверки.
В некоторых случаях остановить анализ удается с помощью шифрования трафика или использования прокси в сочетании с более совершенными методами вроде виртуальных частных сетей (VPN), но эти способы отнюдь не панацея для борьбы с цензурой.
Если пользователь из Пекина постоянно шифрует свой трафик и перенаправляет его через VPN-сервер в Калифорнии, ему наверняка есть, что скрывать от цензоров. В этом случае файрвол не может заблокировать сайты, на которые заходит этот пользователь, потому что не видит его трафик.
Однако файрвол может снизить скорость подключения к Интернету или полностью перекрыть соединение, так чтобы пользователь при следующем выходе в Сеть не смог подключиться к VPN-серверу.
Гораздо серьезнее то, что такого пользователя могут вызвать на беседу, его могут навестить спецслужбы с целью выяснить, что он пытается скрыть. Когда на политическом фронте особенно неспокойно, цензоры блокируют сами протоколы, на которых работают VPN. Тогда подключиться к ним нельзя вообще никому. "
Цели и средства
При всем своем совершенстве "Великий файрвол" не обеспечивает стопроцентную "защиту" от запрещенного в Китае контента, признает Гриффитс. Но наличие в этой стене щелей и трещин ни о чем не говорит. "Герметичность файрвола сама по себе ничего не значит, - считает исследователь. - Сам по себе контент для китайской цензуры не важен. Важно не дать людям установить солидарность.
Главная задача цензуры не в том, чтобы скрыть информацию о бойне на площади Тяньаньмэнь, запрещенном религиозном движении "Фалуньгун" (в 2020 году деятельность организации была запрещена и на территории России. - "МК") или коррупции в высших эшелонах. Главное – не дать людям самоорганизоваться без участия партии. Солидарность сотен тысяч людей во время протестов в Пекине и других городах Китая в 1989 году или миллионов во время "арабской весны" – самая страшная угроза для авторитарного режима.
И вот с этой задачей, судя по устойчивости режима, "Великий файрвол" справляется как раз на все сто. Обратная сторона устойчивости - неудобства для пользователей. Для граждан КНР недоступны не только иностранные информационные ресурсы, но и большинство глобальных социальных сетей, поисковых систем, видеохостингов, мессенджеров и прочих интернет-сервисов. Но, во-первых, кто их, этих граждан спрашивает? Как справедливо отмечает тот же Герман Клименко, "Китай менее щепетилен к мнению общества".
А во-вторых, иностранным интернет-брендам в КНР создана замена. Скажем, вместо Google здесь поисковик Baidu, вместо YouTube и Netflix - видеохостинг Youku, вместо Facebook (запрещен в России) - социальная сеть Renren, вместо WhatsApp - мессенджер WeChat, вместо Twitter и Instagrаm (также запрещены в России)- сервис микроблогов Sina Weibo. Короче говоря - полное импортозамещение.
Получится ли все это у России? Кому-то, возможно, вопрос покажется праздным в виду предельно четко обозначившей политической тенденции. Надо - значит надо. Какие разговоры! Но, помимо амбиций, решение задачи такого масштаба требует очень серьезной "амуниции" - огромных денежных средств и доступа к передовым технологиям. У Китая, когда он начинал строить свой "Великий файрвол", проблем с "амуницией" не было.
"Своей бесперебойной работой система отчасти обязана американским корпорациям и усилиям американских инженеров, - рассказывает Гриффитс. - Согласно подсчетам канадского Международного центра развития демократии и прав человека за 2001 год, объем закупок телекоммуникационного оборудования Китаем составлял 20 миллиардов долларов в год. Это 25 процентов мирового рынка. Основными партнерами КНР по этим сделкам были американские компании. По образному выражению историков Интернета Тима Ву и Джека Голдсмита, Великий файрвол возведен из американских кирпичей".
В распоряжении строителей "Великой русской стены" таких кирпичиков, по известным причинам, нет. А своего стройматериала и подавно. "Мы вдруг выяснили благодаря тому, что сейчас происходит, что наши представления о наших технологиях несколько завышены, - сокрушается в своем недавнем выступлении Герман Клименко, занимающий ныне пост председателя совета Фонда развития цифровой экономики. - То, что происходит с процессорами, вызывает просто слезы".
В общем, вся надежда - на тот же Китай и на параллельный импорт. Но если не сработает и эта ставка, придется, пожалуй, серьезно скорректировать маршрут.
Интернет уже давно стал неотъемлемой частью жизни, и его регулирование со стороны государства неизбежно. Внедренная в Китае система фильтрации контента по-своему уникальна, но многие китайские эксперты утверждают, что такая цензура сильно тормозит развитие данной отрасли. Комиссия по управлению киберпространством КНР осуществляет каждодневную проверку сети, блокируя всевозможные вредоносные, по их мнению, сайты.
По свободе доступа граждан к информации через интернет Китай занимает одно из самых низких мест, оказавшись на одном уровне с Кубой, Сирией и Ираном
Методы фильтрации
На данный момент «Золотой щит» использует следующие методы фильтрации:
- Блокировка IP-адресов
- Фильтрация DNS-запросов и их переадресация
- Блокировка интернет-адресов (URL)
- Фильтрация на этапе пересылки пакетов
- Блокировка соединений, осуществляемых через VPN
Иностранные поисковые машины, работающие в Китае, включая Yahoo и Bing, аналогичным образом фильтруют результаты поиска.
В случае если пользователь вбивает в панель поиска запрещенные слова, доступ к данному поисковику блокируется на 90 секунд, при этом пользователь имеет возможность посещать остальные ресурсы
Таким образом, он сочетает в себе практически все возможные на сегодняшний день технические методы фильтрации, используя их выборочно по отношению к тем или иным ресурсам. Одни могут блокироваться полностью, а другие лишь частично.
Примеры постоянно заблокированных ключевых слов: демократия — 民主, права человека — 人权, диктатура — 独裁, митинг — 集会, красный террор — 红色恐怖, репрессии — 抑制, независимость Тибета — 西藏独立 и другие. Также в списке заблокированных поисковых запросов – большинство имен китайских диссидентов и лидеров запрещенного религиозного культа Фалуньгун — 法轮功.
Что в итоге?
«Золотой щит» затрудняет получать доступ к информации, тем самым усложняя жизнь бизнесменам, работающим в Китае и общающимся с коллегами через сервисы вроде Gmail или Twitter. С его помощью правительство страны пытается построить альтернативную интернет-среду, которую будет легче контролировать сверху. Фильтры, с одной стороны, не пропускают материалы с критикой китайского правительства, с другой – ограждают национальные интернет-компании от сильных зарубежных конкурентов.
Способы ограничения использования интернет-ресурсов в КНР
«Золотой щит» — лишь одна из ступеней целого ряда ограничений на использование интернета в Китае. В стране существуют правила, регламентирующие работу поисковых систем. Эти правила описывают, как поисковики должны фильтровать информацию.
Ещё один способ ограничения — ручная фильтрация контента в социальных сервисах. В Китае существует так называемая «интернет-полиция» – те, кто блокирует доступ к контенту. В крупных интернет-компаниях сотрудники «полиции» входят в штат и занимаются различного рода фильтрацией контента.
Проправительственные блогеры – неотъемлемая часть контроля интернет-ресурсов. По подсчетам гарвадских ученых количество онлайн-цензоров достигает 1000 человек. Довольно интересно, что в социальных сетях с учетом тематик и всех общих сфер они удаляют лишь 13% от всех постов.
Пол юаня – именно столько получают блогеры за свои посты
Впрочем, особенности китайского языка помогают пользователям обходить ограничения блокировки различных слов и выражений. Так, иероглиф «цензура» в сети заменяют иероглифом «речной краб», который при различном написании одинаково произносится. Уловки такого типа затрудняют работу цензоров, но при возникновении кризисной информационной ситуации замаскированный контент также подвергается удалению.
«Золотой щит», он же «Великий китайский файрвол»
Проект «Золотой щит» – система интернет-фильтрации, которая блокирует доступ к запрещенным коммунистической партией ресурсам из внешнего интернета. По всему миру «Золотой щит» известен также как «Великий китайский файрвол» (The Great Firewall of China). Цензура не распространяется на специальные административные районы Гонконг и Макао, в этих двух городах доступ к интернету полностью свободный.
Разработка Золотого щита началась еще в 1998 году, а официальный запуск состоялся в 2003. По оценкам экспертов, стоимость ее создания составила около $800 миллионов, а в ее разработке принимали участие крупные американские корпорации, в частности, IBM.
Так, если вы хотите прочесть те или иные материалы про каких-либо исторических персонажей, связанных с контрреволюцией, то на сайте, содержащем такие ключевые слова, как, например, «контрреволюционный», выскочит диалоговое окно с надписью: «Контрольная система информации обнаружила запрещенную фразу: контрреволюционный». Щелкнув OK, веб-страница переключается на сайт полиции сети со следующим содержанием:
«К сожалению, вы посетили или затребовали информацию, которая содержит ключевые слова, запрещенные отделом цензуры страны, или вашему IP запрещён доступ к этому вебсайту, ваши действия незаконны, система зафиксировала ваш IP и данные, которые вы представили. Пожалуйста, запомните, не предоставляйте никакой информации опасного содержания, или информации, нарушающей национальные инструкции!
Запрещенные ключевые слова: контрреволюционный.
Если у вас возникли какие-нибудь вопросы, пожалуйста, свяжитесь с вашим интернет-провайдером».
Выглядит это примерное вот так
К запрещенным сайтам относятся:
- Сайты с политически некорректным, с точки зрения китайских властей, содержанием (например, темы, связанные с критикой Коммунистической партии Китая)
- Сайты с распространенной критикой в адрес правительства со стороны пользователей
- Сайты и прочие порталы, так или иначе связанные с развитием свободы слова в стране
- Сайты порнографического содержания
- Любые другие сайты, не удовлетворяющие требованиям китайского законодательства
В тоже время критика на сайтах отдельных чиновников среднего звена вполне может и допускаться, особенно если она проходит в рамках периодически проводимых правительством антикоррупционных кампаний.
Смысл интернет-цензуры в Китае заключается не в пресечении пропаганды, а в том, чтобы она не переросла во что-то большее. Если принимать во внимание эту точку зрения, то разного рода восстания или антиправительственная пропанганда в Китае заранее исключаются
Список известных сервисов и сайтов, заблокированных в Китае:
New York Times, New York Times Chinese, Bloomberg, Bloomberg Businessweek, BBC Chinese, Chosun Chinese, WSJ, WSJ Chinese, Flipboard, Google News, YouTube, Vimeo, Dailymotion, LiveLeak, Break, Crackle, некоторые статьи Wikipedia,Wikipedia, Wikileaks
Google, DuckDuckGo, Baidu Japan, Baidu Brazil, Yahoo Hong Kong, Yahoo Taiwan
Microsoft OneDrive, Dropbox, Slideshare, iStockPhoto, Google Drive, Google Docs, Gmail, Google Translate, Google Calendar, Google Groups, Google Keep
Существуют сайты, способные проверить, заблокирован ли сайт на территории КНР или нет. Также, с помощью ресурсов типа Cloud 360 можно вводить конкретный URL и измерять скорость загрузки сайта в каждой китайской провинции.
Скрытая угроза
Вы наверняка слышали, что в Китае фактически сформировался собственный интернет. В нем нет места Twitter, YouTube, Vimeo, Facebook, американским/европейским новостным сайтам и прочим «опасным» ресурсам. Китайское представление об интернете сегодня в корне отличается от того, к чему привыкли мы. По большому счету пользователям этой страны вообще не нужны сайты, потому что все необходимое предлагают три монстра: коммуникационно-развлекательный комбайн WeChat, соцсеть Weibo и поисковик Baidu.
А ведь начиналось все как у всех. Первые электронные письма из Китая дошли до остального мира во второй половине 1980-х. Как и везде, еще долгие годы чудесами техники того времени баловались в основном ученые да военные. Лишь в 1994-м между Китаем и США протянули кабель, появились первые домены .cn.
Широкое распространение интернет стал приобретать во второй половине 1990-х. Появились первые коммерческие ресурсы, никто не блокировал западные новостные сайты, а в крупнейших городах открывались интернет-кафе, у дверей которых собирались очереди из желающих прикоснуться к невиданному.
Дальновидные политики поняли: за незначительным на первый взгляд событием могут последовать ростки ненужного свободолюбия. Решение об ограничении потенциально опасного явления приняли то ли в 1996-м, то ли в 1997 году. Для завсегдатаев интернет-кафе опубликовали свод правил. Так, сеть нельзя было использоваться для распространения материалов, способных нанести вред национальной безопасности и обществу, раскрывающих гостайны, а также пропагандирующих насилие, азартные игры и тому подобное.
Высочайшим повелением внешний трафик должен был проходить только через узлы, контролируемые правительством. Попасть в сеть в обход этих узлов не представлялось и не представляется возможным.
Для острастки вскоре последовало несколько громких дел, связанных с использованием интернета. Сначала к тюремному заключению приговорили китайского программиста, передавшего американскому изданию десятки тысяч адресов электронной почты жителей Китая. Позднее власти жестко отреагировали на сетевые призывы к митингам от местного религиозного движения. Ни у кого из руководства страны не оставалось сомнений, что такой «опасный» инструмент, как интернет, пора брать под контроль.
Проблемы китайского интернета
Даже самый далекий человек от специфики сетевого администрирования хотя бы раз, да слышал о Великом Китайском Фаерволе. Ууу, звучит круто, да? Но что это такое, как оно работает на самом деле — вопрос довольно сложный. В интернете можно найти много статей, посвященных этому, но с технической точки зрения устройство этого фаервола нигде не описано. Что, впрочем, неудивительно. Признаюсь сразу, по итогам года работы я не смогу сказать точно, как он работает, но смогу рассказать о своих замечаниях и практических выводах. И начнем мы со слухов об этом фаерволе.
Есть много слухов об этом самом фаерволе. Давайте соберем основные и наиболее интересные из них в один список:
- Google, Facebook, Twitter и прочие подобные сервисы заблокированы и не работают в Китае.
- Любой трафик, идущий ЗА пределы Китая и В Китай, парсится и ограничивается с помощью машинного обучения (в случае подозрительного трафика), что сильно замедляет его (трафик), проходящий через границу.
- Китайские спецслужбы взломают любой зашифрованный трафик, идущий через их фаервол.
- VPN-туннели, IPSEC-туннели нестабильны, падают и постоянно блокируются.
- Чем проще шифрование, чем проще pass phrase, используемая для аутентификации/шифра трафика, тем быстрее он проходит китайский фаервол.
Вот, что нам удалось выяснить об этих слухах:
Обратите внимание на time_connect. И в целом, вы видите результат: фаервол добавляет 4 лишних секунды, что чудовищно долго.
Unknown SSL protocol error in connection to ifconfig.co:443.
Итак, что мы имеем:
- Проблемы, создаваемые китайским фаерволом, описанные выше.
- Пинги до внешних ресурсов и внутри туннелей периодически пропадают.
- Latency между двумя точками постоянно меняется, а зачастую она просто непредсказуема. Соединяя разные города/регионы, ты ожидаешь, что исходя из географического расположения регионов, задержка будет меньше, а получаешь ровно обратную ситуацию.
- Интернет и каналы связи работают то быстро, то медленно. Тут есть небольшая зависимость от времени суток и дня недели, но не всегда.
- DNS-запросы во внешний мир из Китая иногда превышают допустимый таймаут.
Картина вырисовывается просто “отличная”.
Датацентр, как я уже сказал, у нас на востоке США, а весь SEMrush состоит из десятков взаимосвязанных продуктов, бэкэндов, фронтэндов, баз данных, и все это в ДЦ и облаках. Перед нами, как командой системных администраторов, была поставлена задача малыми усилиями быстро начать работать в Китае.
Нам предстояло ответить на важный вопрос: можно ли обойтись малой кровью и решить все проблемы, связанные с китайским интернетом и фаерволом, на уровне сети/облаков/серверов?
Как это работает
Вряд ли кто-нибудь когда-нибудь раскроет все особенности работы китайской системы интернет-цензуры. И все же базовые принципы известны.
В предыдущем посте мы кратко рассмотрели историю Golden Shield Project. Значительная часть его — Great Firewall of China. Какова главная цель? Буквально, контроль всего траффика, как в стране, так и за ее пределами. Как бы это не звучало, но эта сложная задача выполняется очень простым и эффективным способом.
Зеркальная технология
Первое, что власти используют для контроля над деятельностью своих пользователей Интернета является mirroring – т.е. то, что обычно используется для простого копирования или бэкапа. Большинство интернет-соединений между Китаем и остальным миром проводится очень небольшим количеством оптико-волоконных кабелей, которые вводятся в страну через три основных пункта — Beijing-Qingdao-Tianjin (северные области); Shanghai на центральном побережье и Guangzhou на юге страны. На каждом из этих шлюзов есть устройства, называемые tapper или network sniffer, которые отражают каждый одиночный пакет данных, входящих, или исходящих из страны. Однако, процессы отражения, происходящие в этих шлюзах, имеет очень буквальные стороны. Собранная информация идет через оптико-волоконные кабели как маленькие световые импульсы. Эти импульсы проходят через Chinese gateway routers и в то же время многочисленные маленькие зеркала отражают их и делают так, что бы информация дошла до surveillance («Golden Shield ») компьютеров, которые «решают», должна ли быть заблокирована данная информация. Ну а каким образом китайская сторона разработала эту „зеркальную” технологию? Все просто — Китай купил ее у одной очень известной компании.
DNS блокировка
Кроме „зеркальной” технологии, также заслуживают изучения и другие методы, взятые на вооружение китайскими властями для препятствования доступу к потенциально опасной информации.
Если DNS работает корректно и доставки происходят по правильному IP-адресу, начинает происходить mirroring. Пока Вы посылаете информационный запрос к корректному IP- адресу, информация отражается и IP-адрес проверяется в списках запрещенных IP-адресов. Если адрес соответствует записи в этом списке, gateway посылает «Reset» на оба компьютера (на Ваш и на тот, которого Вы хотите достичь). Грубо говоря, это принудительный разрыв связи, создающий для Вас невозможность загрузить запрашиваемый сайт. Вместо этого, Вы получите «The connection has been reset» и, если Вы очень настойчивы, Вы можете попытаться загрузить сайт снова… но с тем же результатом.
URL keyword block
Если Вам удастся пройти первые дви блокировки, есть еще одна проверка, которую необходимо пройти для того, чтобы добраться до выбранного Вами ресурса. Это URL keyword block. Если IP сайта, к которому Вы пытаетесь получить доступ, не в черном списке, то его доменное имя проверяется на наличие потенциально опасных ключевых слов. Если запрашиваемый URL содержит запрещенные термины, коннект будет сброшен. Запретный список содержит слова на английском, китайском и других языках, и часто обновляется.
Другие методы
Другим популярным методом для предотвращения доступа пользователей к запрещенному контенту является, так называемая black-hole loop. Это означает, что запрос попадает в ловушку из серии задерживаемых команд. Когда браузер обнаруживает вход в цикла такого типа, он просто посылает Вам error message, заявляя тем самым, что запрос перенаправлен по пути, который не может быть завершен.
Ну и последний этап включает в себя проверку фактического содержания, что и делается, опять же, при помощи mirroring. Пока Вы просматриваете страницу, surveillance system сканирует содержание, в поисках слов, фраз и терминов, которые ей не нравятся. Если система находит их — она разрывает соединение и Вы уже не можете делать какие-либо дальнейшие запросы к этому серверу. Затем, Great Firewall блокирует соединение между Вашим компьютером и сервером сайта. Сначала это только в течение 2-3 минут. Но, если Вы пытаетесь получить доступ к сайту в течение этого времени, следующим будет уже пятиминутный time-out. С третьей попытки, time-out может уже достигнуть 30-ти минут, или более. Одним словом, с каждой попыткой, которая последует, тайм-аут будет увеличиваться.
Вывод
В последнее время, в Китае начинают появляться и новые технологии, направленные на блокировку доступа. Многие веб-администраторы услуг с зашифрованными соединения сообщают, что наблюдается странное повышение активности из Китая. Если китайский пользователь пытается связаться с сервером, строка pseudo-random data в некоторых случаях может быть причиной разрыва связи между клиентом и сервером. Одним из предположений является то, что China's ISPs могут таким образом проводить тестирование новой системы, которая пытается определить инструменты обхода цензуры…
Несмотря на все эти препятствия, все же есть несколько способов обойти Great Firewall и мы их обсудим в нашем следующем посте из данной серии.
Это будет большая история, разбитая на несколько статей. Расскажу, как все это было у нас: от полностью неработающего сервиса из Китая, до показателей работы сервиса на уровне его американской версии для американцев. Обещаю, будет интересно и полезно. Итак, поехали.
Читайте также:
- Настройки панель инструментов сони вегас 18
- Не удается продолжить выполнение кода поскольку система не обнаружила unityplayer dll
- Ffh 217ax установка usb модуля
- Контрольная сумма указанного файла не соответствует содержащейся в подписи
- Невозможно выполнить запрос произошел программный сбой photoshop