Як «Великий Китаєвий Брандмауер» працює з Інтернетом Цензора Китаю
Великий китайський брандмауер, офіційно відомий проект «Золотий щит», використовує різноманітні трюки для цензури китайського Інтернету та блокування доступу до різних іноземних веб-сайтів. Ми розглянемо деякі технічні прийоми, які брандмауер використовує для цензури Інтернет-Китаю.
Коли SOPA обговорювалася, генеральний директор MPAA Кріс Додд утримував веб-сайт Китаю, як модель того, як США могли б реалізувати власну інтернет-цензуру:
"Коли китайці повідомили Google, що їм доводиться блокувати сайти, або вони не могли робити бізнес у своїй країні, їм вдалося з'ясувати, як блокувати сайти".
Розуміння того, що робить Великий Firewall Китаю, може допомогти нам зрозуміти, як певні організації хочуть встановити цензуру Інтернету по всьому світу. Якщо ви думаєте, що Великий Firewall просто використовує один метод цензури, подумайте ще раз - він використовує різні трюки.
Що таке великий Firewall Китаю?
Якщо ви не відстежуєте, Китай має інтернет-цензуру. Великий брандмауер Китаю, як правило, вважається найбільшим, найширшим і найсучаснішим режимом інтернет-цензури у світі.
Китай цензурує зміст з різних причин, часто тому, що він критикує китайський уряд або суперечить політиці комуністичної партії. Китай не просто блокує окремі веб-сайти - вони використовують методи для сканування URL-адрес і вмісту веб-сторінок для ключових слів із чорним списком, таких як "Тяньаньмень" і блокують такий трафік.
Заблокувавши іноземні сайти соціальних мереж, такі як Twitter, і змусивши своїх громадян використовувати альтернативи, такі як Sina Weibo, Китай може контролювати сайти соціальних мереж, набуваючи можливість цензурувати повідомлення на них. Китай також наймає людей, яким платять розміщувати в Інтернеті сприятливі умови для політики комуністичної партії, намагаючись змусити громадську думку.
Великий Firewall не ідеальний - це неможливо дійсно стримати інформацію і цензувати все, хоча Китай, звичайно, намагається. Використовуючи неофіційні терміни, які не заблоковані - ефективно говорити в коді - для використання VPN для виходу тунелю з брандмауера, навіть найширший режим цензури Інтернету можна обійти.
Технічні хитрощі
Отже, як же Китай піддається цензурі в Інтернеті? Добре, Китай контролює шлюзи Інтернету, куди рухається трафік між Китаєм і іншою частиною Інтернету. Через комбінацію міжмережевих екранів і проксі-серверів на цих шлюзах вони можуть аналізувати та маніпулювати Інтернет-трафіком.
Цензура Китаю не є повністю прозорою. Наприклад, якщо ви намагаєтеся отримати доступ до заблокованого веб-сайту, ви можете не бачити повідомлення, що веб-сайт заблоковано. Ви можете просто випробувати тайм-аути, заблоковані з'єднання та інші повідомлення про помилки. Цензура часто неможливо відрізнити від проблем веб-сайту - чи підключено ваше VPN-з'єднання через легітимну мережеву проблему або тому, що Great Firewall помітив і вбив її? Чи знижується веб-сайт, чи блокує його брандмауер? Важко знати точно за брандмауером.
Нижче наведені деякі трюки, які Китай використовує для цензури свого Інтернету:
- Отруєння DNS: Коли ви намагаєтеся підключитися до веб-сайту, наприклад, twitter.com, ваш комп'ютер зв'язується зі своїми DNS-серверами і запитує IP-адресу, пов'язану з веб-сайтом. Якщо ви отримали недійсну відповідь, ви подивитеся на веб-сайт у неправильному місці, і ви не зможете підключитися. Китай навмисно отруює свої DNS-кеші з помилковими адресами для веб-сайтів, таких як Twitter, що робить їх недоступними. SOPA довела б цю техніку до США.
- Блокування доступу до IP-адрес: Великий китайський брандмауер також може блокувати доступ до певних IP-адрес. Наприклад, щоб запобігти доступу людей до серверів Twitter навіть за допомогою безпосереднього доступу до певного ІР або за допомогою неофіційних серверів DNS, які не були отруєні, Китай може блокувати доступ до IP-адреси серверів Twitter. Ця методика також блокує інші веб-сайти, розташовані на одній і тій же адресу, якщо вони використовують спільний хостинг.
- Аналіз та фільтрація URL-адрес: Брандмауер може сканувати URL-адреси та блокувати з'єднання, якщо вони містять чутливі ключові слова. Наприклад, веб-сайт Pulse показує, що http://en.wikipedia.org доступний з Китаю, але http://en.wikipedia.org/wiki/Internet_censorship_in_the_People's_Republic_of_China не доступний - брандмауер дивиться на URL рішення про блокування веб-сторінок, які, здається, стосуються цензури Інтернету.
- Перевірка та фільтрація пакетів: "Глибока перевірка пакетів" може бути використана для перевірки незашифрованих пакетів, які шукають конфіденційний вміст. Наприклад, пошук у пошуковій системі може завершитися невдало, якщо ви шукаєте політично спірні ключові слова, оскільки пакети, пов'язані з пошуком, перевіряються та блокуються.
- Скидання підключень: Є ознаки того, що після того, як великий брандмауер блокує такі пакети, він блокує зв'язок між обома комп'ютерами протягом певного періоду часу. Брандмауер робить це, надіславши "пакет скидання", який по суті лежить на обох комп'ютерах і повідомляє, що з'єднання було скинуто, щоб вони не могли спілкуватися один з одним.
- Блокування VPN: В кінці 2012 року Great Firewall почав намагатися блокувати VPN. VPN раніше використовувалися для того, щоб уникнути великого брандмауера. Вони також є критичними для багатьох бізнес-користувачів, тому це було дивовижним кроком. Брандмауер вчиться визначити, як виглядає зашифрований трафік VPN і вбиває VPN-з'єднання.
Це не вичерпний список - немає повної прозорості, тому ми не можемо точно знати, як все працює.
Ви можете переконатися, що веб-сайт заблоковано за допомогою інструмента, наприклад greatfirewallofchina.org, або перевірити, чи блокується певний URL за допомогою інструмента тестування веб-сайту Pulse Great Firewall of China..
Багато хто з нас часто вважають Інтернет неможливим контролювати, виходячи зі своєї самої структури, оскільки він рухається навколо пунктів невдач і надає кожному доступ до демократичної форми комунікації, вільної від державного контролю. Великий китайський брандмауер показує нам, що це не зовсім так просто - Інтернет має свої вузькі місця, де можна запровадити цензуру, а технології, такі як DNS, можуть зловживати для допомоги в цензурі.
Зображення: Філіп Ягенштедт на Flickr