Сеть через прицел DPI: анатомия китайского Интернета::БИТ 10.2013
 
                 
Поиск по сайту
 bit.samag.ru     Web
Рассылка Subscribe.ru
подписаться письмом
Вход в систему
 Запомнить меня
Регистрация
Забыли пароль?

Календарь мероприятий
ноябрь    2024
Пн
Вт
Ср
Чт
Пт
Сб
Вс
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30

показать все 

Новости партнеров

14.11.2024

Обновление BI.ZONE Secure DNS: гибкая настройка фильтрации и максимальная скорость

Читать далее 

14.11.2024

RED Security: в октябре количество DDoS-атак на ТЭК выросло в 3 раза

Читать далее 

14.11.2024

Falcongaze представила новую версию DLP-системы — SecureTower 7 Helium

Читать далее 

14.11.2024

ИСП РАН покажет результаты 30-ти лет работы на Открытой конференции в Москве

Читать далее 

08.11.2024

Юбилейная конференция ЭОС: ЭОС: 30 лет лидерства на рынке автоматизации документооборота и обсуждение актуальных трендов

Читать далее 

показать все 

Статьи

22.11.2024

Тандем технологий – драйвер инноваций.

Читать далее 

21.11.2024

ИИ: маршрут не построен, но уже проектируется

Читать далее 

18.11.2024

Глеб Шкрябин: «Надежные и масштабируемые системы — основа стабильной работы бизнеса в условиях больших нагрузок»

Читать далее 

14.10.2024

Елена Ситдикова: «На разработчиках программного обеспечения для транспорта лежит большая ответственность перед пассажирами»

Читать далее 

11.10.2024

Технологический ИИ-арсенал

Читать далее 

13.06.2024

Взгляд в перспективу: что будет двигать отрасль информационной безопасности

Читать далее 

18.04.2024

5 способов повысить безопасность электронной подписи

Читать далее 

18.04.2024

Как искусственный интеллект изменит экономику

Читать далее 

18.04.2024

Неочевидный САПР: выход ПО за рамки конструкторской деятельности

Читать далее 

18.04.2024

Скоро некому будет делать сайты и заниматься версткой

Читать далее 

показать все 

Сеть через прицел DPI: анатомия китайского Интернета

Главная / Архив номеров / 2013 / Выпуск №10 (33) / Сеть через прицел DPI: анатомия китайского Интернета

Рубрика: Цензура Интернета


Сеть через прицел DPI:
анатомия китайского Интернета

Нашему изданию дал интервью на условиях анонимности российский ИТ-специалист, который работает сейчас в Китае и хорошо знаком с устройством и спецификой работы Великого китайского файрвола. Во время беседы были затронуты и актуальные для Рунета темы: устройство сетевых фильтров DPI, роль государства и его цензура Интернета, а также проблема скрытого управления обществом на примере Китая

– Расскажите о Великом китайском файрволе, который сами китайцы называют «Золотой щит». Что он собой представляет в техническом плане? Каково его главное предназначение?

– Есть три составляющие, три дракона, на которых он базируется: технологии Deep Packet Inspection (DPI), Connection probe и Support vector machines (SVM). Вкупе они представляют собой очень продвинутый фильтр, который блокирует доступ к запрещенным компартией ресурсам, находящимся во внешнем Интернете. Официальные идеологи заявляют, что он якобы должен оградить психику китайцев от тлетворного влияния Запада, по мнению же других, это откровенная государственная цензура международной части сети Интернет.

– Давайте подробно рассмотрим каждую из названных составляющих. Итак, что такое Deep Packet Inspection?

– Говоря кратко, это технология низкоуровневой проверки и фильтрации сетевых пакетов по их содержимому. Коренное отличие от привычных брандмауэров заключается в том, что DPI не столько анализирует заголовки пакетов (что, конечно, тоже может), сколько зарывается в содержимое транзитного трафика на уровнях модели OSI со второго и выше. Подчеркну, все это делается в режиме реального времени, и внешнему наблюдателю никаких задержек или манипуляций с трафиком не видно.

– В России в последнее время немало пишут о внедрении DPI, многие федеральные операторы (особенно это касается мобильных операторов) даже якобы уже имеют ее в рабочем виде. Мы перенимаем китайский опыт?

– Российские и китайские DPI объединяют только названия и принципы работы. Дело прежде всего в масштабе и серьезности их реализации. DPI потребляет огромную массу ресурсов, ведь все многочисленные операции (дефрагментация пакетов, их распаковка, распознавание типов данных и протоколов, сканирование содержимого, многочисленные эвристики и многое-многое другое) должны происходить в режиме реального времени. Поэтому главный критерий степени серьезности DPI – глубина анализа транзитного трафика, который может позволить себе система, чтобы при этом сохранять приемлемый уровень латентности.

Если провести аналогии с антивирусными технологиями, насколько глубоко может позволить погрузиться в код эмулятор процессора для проверяемого файла? Даже если технические возможности и ресурсы позволяют трассировать код до бесконечности, погружаясь во все новые ответвления и процедуры, общие требования к латентности системы всегда имеют вполне конкретные ограничения, поэтому глубина погружения ограничена. Часто в этой ситуации применяются технологические или оптимизирующие ноу-хау, а можно просто радикально увеличить вычислительную мощность. Так вот, когда мы говорим о китайской DPI, нужно понимать, что реально это дата-центр размером с самый настоящий город, который применяет роевой интеллект (Swarm Intellegence) для управления балансировкой и обработкой данных между его бесчисленными частями-узлами.

Если российские реализации DPI стоят, насколько я себе представляю, до 50 млн долларов, то цена китайской национальной системы приближается примерно к миллиарду. Российская DPI чисто технически не в состоянии осуществлять действительно глубокий анализ проходящих пакетов, а, значит, заградительные барьеры будут обходиться квалифицированными пользователями множеством различных способов.

– Переходим ко второму китайскому дракону. Что такое «Сonnection probe»?

– Это дальнейшая эволюция DPI – сращивание прокси-сервера и низкоуровневого фильтрующего механизма. При попытке подключения к любому сервису за пределами национального сетевого шлюза сначала происходит «заморозка» такого запроса и потом последующее опережающее подключение по целевому адресу уже от имени DPI. Это, так сказать, проактивная система тестирования и идентификации типа запрашиваемых во внешнем Интернете сервисов.

Если, например, вы используете запрещенный в Китае сервис, то его клиентский протокол должен быть серьезно обфусцирован, чтобы суметь преодолеть сигнатурный механизм поиска DPI. При использовании против вас Сonnection probe потребуется обфускация ответа уже и со стороны сервера, то есть вы не сможете пользоваться стандартными публичными сервисами в случае их запрета. Сonnection probe позволяет достаточно точно и малыми ресурсами определить тип внешнего сервиса, который желает задействовать китайский пользователь.

Именно эта технология была с успехом применена против оверлейной сети i2p, после чего оная в Китае была заблокирована.

– Кстати, что можно сказать о системах типах Tor, i2p или VPN? Насколько они эффективны в условиях подобной агрессивной сетевой цензуры?

– Они малоэффективны и вовсе не так живучи, как об этом шумит «народная молва», – все упомянутые системы в Китае давно заблокированы. Более того, заблокировать Tor или i2p можно десятком разных способов, самый простой из них – блокировка bootstrap-процедуры в момент инициализации их клиентов. Заблокировать подобным образом входные ноды этих сетей (например, Tor directory nodes) – тривиальная задача даже для администратора средней руки. Если же учитывать возможности, которые есть у правительства Китая, в первую очередь я имею в виду высокотехнологическую дубинку DPI, – это и вовсе не проблема.

Вы можете заглянуть в i2p netDB – там нет нод с китайскими IP, если же посмотреть на открытую статистику пользователей сервиса Tor, то они фиксируют максимум 1000 уникальных китайских IP в месяц, и это на такую многомиллиардную страну, как Китай, у которой самое большое количество интернет-пользователей в мире. Кстати, в этом случае «прорыва» китайцами применяется obfsproxy, хотя и его блокировка, насколько я могу судить, на данном этапе развития Великого китайского файрвола не представляет технических сложностей, просто это лишено смысла в силу малочисленности пользователей экзотической технологии, а также постоянным сбоям в ее работе.

– Как обстоят дела с VPN и SSH?

– Ситуация с VPN довольно противоречивая – отдельные провайдеры его агрессивно подавляют, некоторые – почти нет. Своими блокировками широко известен China Unicom – один из крупнейших магистральных провайдеров континентального Китая. Сейчас им определяется и блокируется более пяти разновидностей VPN. Если быть более конкретным, это OpenVPN, PPTP, L2TP, SSTP и Cisco . К тому же, когда проходит очередной съезд Коммунистической партии Китая, Интернет фильтруют так, что даже то, что работало в спокойные времена, может перестать работать в эти дни.

Насколько мне известно, правительство Поднебесной собирается лицензировать сферу использования VPN, то есть после соответствующей государственной регистрации разрешить применение VPN в целях легального бизнеса, и это будет своя собственная версия протокола на базе OpenVPN. После вступления данного закона в силу все отличные от государственного варианта VPN-протоколы будут тотально «резаться» на трансграничном шлюзе.

Что же касается сервиса SSH – попытки его блокировок также есть. По ряду косвенных признаков подобные испытания проводятся и в публичных сетях, в таких случаях в логах можно найти множество сброшенных или неудачных соединений с типичной ошибкой «Bad protocol version identification». При этом, подключаясь к серверам вне Китая, впоследствии можно увидеть несколько ложных попыток подключения с китайских IP, предшествующих самому сброшенному подключению. Предположительно это скрининг принимающего сервера по типу Сonnection probe, который мы уже обсудили.

Часто подобные тестовые подключения принимают за brute force, хотя в данном случае это скорее попытка пассивной идентификации удаленной системы/протокола по характерным паттернам отклика (fingerprint scanning). После идентификации подобного сервиса его адрес вносится (как правило, на один – три месяца) в соответствующие фильтры и стоп-списки, чтобы впредь в целях экономии ресурсов избегать рекурсивных запросов по уже однажды обнаруженному и идентифицированному хосту. Подобные фильтры постепенно пополняются запрещенными в Китае сервисами. Так, в том числе благодаря Сonnection probe , полностью в автоматическом режиме растет и расширяется база Великого китайского файрвола.

– Чтобы сделать наше описание полным, давайте рассмотрим и последнего зловещего дракона – Support vector machines (SVM).

– Я бы хотел подчеркнуть, что и Сonnection probe, и тем более SVM следует рассматривать как расширение, еще большую интеллектуализацию DPI. Метод опорных векторов (SVM) – следующий шаг в этом направлении. Это алгоритм машинного обучения, применяемый для автоматической классификации больших массивов разнородных данных.

DPI – это фильтрующая машина, вычленяющая некие данные в потоке согласно статическим правилам или сигнатурам. В противоположность к этому SVM дает возможность сканировать интернет-поток на основе статистического анализа без жесткого набора правил. Например, проводить анализ частоты определенных символов, длин пакетов, анализа подозрительной активности с заданных адресов, замечать различные диспропорции и сетевые аномалии, этим выявляя скрытые закономерности. SVM – это интеллектуальная насадка на DPI, которая, продолжая нашу антивирусную аналогию, привносит эвристические возможности («shrinking» heuristic) в процесс фильтрации интернет-трафика.

Приведу пример: в Китае нельзя упоминать о годовщине протестов на площади Тяньаньмэнь в Пекине 4 июня 1989 года, когда на волне крупных беспорядков немало студентов были буквально раздавлены танками. DPI, динамически сканируя национальный трафик, блокирует любые URL с упоминаниями указанной даты. После того как китайцы стали обозначать эту дату как 35-е мая (и множеством других остроумных способов), обычный сигнатурный анализ значительно затруднился. Но эвристика SVM пришла на помощь, она способна, распознавая контекст, обнаруживать такие «подозрительные даты» с минимальным вмешательством человека.

– Можно ли сказать, что планируемое внедрение Ростелекомом «всероссийского» DPI – это некое зловещее предзнаменование, черная метка для всего Рунета?

– Нужно понимать, что DPI – мощнейший современный инструмент, и как он будет использован , зависит от моральных и профессиональных принципов тех людей, в чьих руках он окажется. Так, DPI позволяет выполнять огромное количество полезной для сети работы – многие мировые провайдеры применяют ее для контроля и балансировки своего трафика, мобильные операторы с ее помощью собирают подробную статистику для каждого отдельного пользователя, технология дает возможность адаптивно управлять скоростью передачи отдельных пакетов (QoS) и многое другое. В целом DPI обеспечивает огромное количество уникальных возможностей в широком спектре – от высококачественного шейпинга до создания продвинутых шпионских систем типа PRISM.

– Что собой представляет китайский Интернет с точки зрения внешнего наблюдателя? Какие у него особенности развития, какова его специфика адаптации к подобной цензурирующей среде?

–Интернет сам по себе – не только в Китае – достаточно реактивная среда. Методы обычной цензуры, основанные на технических средствах и грубых запретах, слабо применимы к ней. К примеру, если вы оставляете собственное критическое мнение о правительстве в блоге, то прежде чем цензура заметит его и заблокирует, как правило, успеют появиться несколько кросс-постов исходного сообщения. И далее, если цензоры начинают охотиться за всеми ними, часто срабатывает эффект Стрейзанд – попытка закрыть какую-то информацию, наоборот, привлекает к ней еще большее внимание сообщества. Этот феномен – следствие большой реактивности и саморефлексии сетевой среды.

Поэтому, несмотря на огромное количество реальной цензуры и блокирование подчас целых порталов, допустивших публикацию на своих страницах нелестных для коммунистической партии текстов, в последнее время в Китае набирает обороты альтернативный тренд по использованию иных, нетехнических, методов воздействия на общественное мнение. Их главная суть: если заткнуть рот в сети не всегда возможно, то почему бы тогда не возглавить подобные дискуссии, чтобы увести их в нужное русло?

– Недавно Китай создал подразделение «государственных аналитиков мнений в Интернете», в которое набрал два миллиона сотрудников. Предполагается, что они будут патрулировать виртуальное пространство. У них нет никаких прав по удалению какой-либо информации – их задача контролировать интернет-тренды, изучать общественные настроения граждан КНР, а также манипулировать ими согласно специальной методике.

– Да, это та самая невидимая сетевая армия, оружие которой – специальные методы скрытого воздействия на сеть.

Реальный случай. Примерно два года тому назад китайский Интернет «взорвался» от обсуждений довольно странного случая смерти. Молодой парень, который был арестован за незаконную вырубку леса рядом с домом, попал в китайскую тюрьму, где он и скончался через пару дней при странных обстоятельствах. Власти официально объяснили причину его смерти тем, что «в тюрьме он играл в прятки с сокамерниками и, споткнувшись, упал, ударившись при этом головой о стенку». Китайский Интернет очень живо раскрутил эту историю, назову лишь одну цифру: на QQ.com в течение суток появилось более 50 000 комментариев по этому делу, все остальные интернет-платформы также были буквально переполнены возмущенными откликами. Сказать, что цензоры просто физически не справлялись с удалением следов «народного гнева» в эти дни, – не сказать ничего.

По стечению обстоятельств иероглиф «играть в прятки» в китайском языке имеет и второе значение – «убегать от кошки», чем и воспользовались блоггеры. Даже спустя пару лет в Интернете можно нагуглить огромное количество упоминаний этой истории про погибшего в китайской тюрьме заключенного, «который разбился о стенку, пытаясь спастись бегством от кошки». Блоггеры своей версией про роковую кошку пытались довести абсурд официального объяснения до предела, что породило то, что сейчас бы назвали «интернет-мемом». Тогда китайский сегмент Интернета просто бурлил, цензоры не могли повлиять на ситуацию, они своими действиями лишь подливали масла в огонь, раскручивая маховик недоверия и острой критики в адрес правительства КНР.

И тут, на пике недовольства, в игру включилась другая правительственная команда, которая вместо прежних попыток массированного закрытия ресурсов неожиданно предложила конкурс среди самых известных блоггеров Китая. Пользователям путем сетевого голосования было предложено отобрать пятерых самых авторитетных для них блоггеров, которым впоследствии дали полный доступ к месту происшествия. Власть предоставила им все данные, все факты, свободный доступ ко всем свидетелям. Эти блоггеры завалили сеть своими фотографиями и комментариями с места событий, впрочем, так и не сумев добавить что-то новое по существу этой странной смерти. Но зато с общественным мнением что-то произошло – как только информация с места происшествия стала поступать из независимых источников и в огромных дозах, как только все данные стали максимально открытыми, люди почти сразу потеряли интерес к этому делу, а шквал негодования быстро сошел на нет.

Есть множество похожих инцидентов в китайнете, но важно нечто общее для всех подобных историй – методы контроля эволюционируют, становятся более тонкими, скрытыми и многоходовыми. Помимо жесткой и безапелляционной цензуры путем блокировок, в случае сетевых эпидемий применяются совершенно иные технологии воздействия на общественное мнение. Поэтому не стоит акцентировать внимание лишь на технических средствах, которые в Китае также бурно развиваются, ведь прямо на наших глазах создаются и оттачиваются принципиально новые технологии управления, где зачастую все плюсы Интернета как открытой среды власти пытаются использовать с обратным знаком – уже для скрытого контроля и ограничения свободы мнений.

– Можно ли сравнить Интернет Китая с Рунетом по степени свободы их граждан?

– На самом низшем уровне в Китае действительно практически нет цензуры – если вы посмотрите тамошние социальные сети, то они переполнены слухами и обвинениями власти, где на общий клубок эмоций туго намотаны правда и откровенная клевета. Практически никто не читает это, равно как личную стену 70% безвестных участников соцсети ВКонтакте, которые вольны писать там все, что им только вздумается.

Следующий уровень – это систематическая критика, аргументация, яркие и активные блоггеры со своей аудиторией – вот здесь уже наблюдается определенное напряжение, есть активная цензура и удаление провокационных сообщений. Так, за квартал, по данным китаеведа Г. Кинга из Гарварда, органы сетевой цензуры КНР удаляют до миллиона сообщений и комментариев к ним.

И, наконец, третий уровень – топ-блоггеры с огромной аудиторией. Либо же это ситуация, когда какая-то тема выстреливает и получает широкий общественный и сетевой резонанс. Тут возможны самые разные варианты активного противодействия и наказания: если блоггера-инициатора можно в чем-то обвинить, его могут арестовать, «вырвав больной зуб с корнем». Если сетевая эпидемия слишком сильна и делокализована, то к делу подключают сетевой спецназ, который пытается «выпустить пар» с помощью различных хитроумных технологий контроля общества через soft power.

Все три существующих уровня создают противоречивое впечатление и определенную путаницу. Случайные и внешние по отношению к стране люди видят антиправительственную критику в различных аккаунтах, что создает ложное ощущение относительной свободы.

С другой стороны, в прошлом году власти арестовали сразу шесть известных блоггеров и бросили в тюрьму, обвинив их в «распространении слухов о готовящемся военном перевороте». В последнем случае не стоит пытаться слишком серьезно осмысливать официальные формулировки, ведь, когда здесь закрывали Википедию, это обосновали борьбой «с пропагандой агрессии и насилия», которую якобы и ведет по всему миру эта свободная онлайн-энциклопедия.

– Все настолько прозрачно? Что насчет анонимности?

– В Китае нет анонимности. В КНР действуют законы, обязывающие блоггеров регистрироваться с указанием своих реальных данных. Это делается под предлогом «улучшения доверия в сети друг к другу и защиты интересов сторонних пользователей». Также действует закон, обязывающий документально удостоверять свою личность при заключении любых соглашений на получение услуг доступа в Интернет. Все сайты, физически расположенные в самом Китае, проходят в министерстве промышленности и информационных технологий обязательную регистрацию, в которой достаточно педантично расписано, что это за сайт и кто за что на нем отвечает. Таким образом, при любом исходе событий всегда есть конкретный ответственный за любые потенциальные нарушения.

Добавьте к этому постоянный фоновый контроль (я говорю не только об Интернете, вспомните хотя бы недавний запрет в США продаж оборудования от Huawei, которое оказалось нашпигованным жучками, или питерскую историю о китайских утюгах, которые самовольно подключаются к публичным сетям Wi-Fi), где весь ваш трафик и активность в сети тщательно контролируют и логируют. Здесь любой, даже самый технически отсталый пользователь сети, прекрасно понимает, что его активность фиксируется.

Например, вы можете попробовать использовать VPN или переписываться с кем-то за рубежом посредством PGP, и при должной сноровке и квалификации это может даже сработать. Но каждому известно, что сам факт использования подобных технологий будет зафиксирован, а в будущем при диспозиции с другими отягчающими обстоятельствами может привести к вашему преследованию. SVM, кстати, способно автоматически засекать использование вами практически любой криптографии, что дополнительно привлекает внимание сначала к трафику, а затем и к вашей персоне.

У меня после шести лет жизни здесь сложилось впечатление, что Китай со своей системой тотального фонового контроля настойчиво пытается выработать модель поведения граждан, в рамках которой человек добровольно и сознательно подвергал бы себя акту самоцензуры, постоянно отдавая себе отчет, что каждый его шаг или высказывание в рамках сети тщательно фиксируется. Желание сдерживать себя, движимое прежде всего подспудным страхом, со временем становится второй натурой. Так мы приходим к странной для более либерального европейца дихотомии: формально можно писать, что думаешь, но большинство китайцев предпочитают этого не делать.

– Какие действия в китайском Интернете для пользователей наиболее опасны?

– Я бы выделил два момента: любые высказывания против самих цензоров и цензуры, а также любые призывы к коллективным действиям в оффлайне.

В первом случае Китай прикладывает титанические усилия, чтобы сам факт цензуры, контроля и слежки никак внешне не ощущался большинством обычных граждан страны, то есть, чтобы это явление не обсуждалось и никак не фиксировалось. Любые ваши попытки открыто обсуждать эту проблематику, указывать на факты контроля, скорее всего будут иметь очень серьезные последствия. Парадокс – сегодня безопаснее критиковать само руководство партии, нежели его методы контроля сети или общества.

Что касается второго: если вы хотите собрать людей с какой-либо целью, это будет жестко пресечено. Еще раз напомню об основной части стратегии: личные критические высказывания или фрагментированная критика со стороны граждан чаще всего приемлемы, а вот любые попытки коллективных обсуждений, самоорганизации или объединений на почве общих взглядов и тем более выход с ними в офлайн категорически недопустимы. По этой причине в сети блокируют даже группы любителей велосипедной езды, если они пытаются массово собраться в оффлайне. Китайская власть панически боится любой консолидации граждан, впрочем, именно эту функцию, как я считаю, и будет обеспечивать более «взрослый» Интернет будущего. Социальные сети типа Твиттера – это только начало…

Беседовал Игорь Савчук

В начало⇑

 

Комментарии отсутствуют

Комментарии могут отставлять только зарегистрированные пользователи

Выпуск №06 (139) 2024г.
Выпуск №06 (139) 2024г. Выпуск №05 (138) 2024г. Выпуск №04 (137) 2024г. Выпуск №03 (136) 2024г. Выпуск №02 (135) 2024г. Выпуск №01 (134) 2024г.
Вакансии на сайте Jooble

БИТ рекомендует

           

Tel.: (499) 277-12-41  Fax: (499) 277-12-45  E-mail: sa@samag.ru

 

Copyright © Системный администратор

  Яндекс.Метрика