Интернет-цензура в Китае: обход блокировок

Михаил Иванов

 

Каждый, приехавший в Китай по работе, учебе или просто как турист, сталкивается с проблемой – заблокированными оказываются практически все основные сайты, которыми он пользовался дома. Речь идет не только о западных сервисах – Facebook, Twitter, Youtube (вместе с большинством других сервисов Google, включая и почту), но и о российских. Регулярно недоступной оказывается социальная сеть ВКонтакте, примерно год назад под блокировку попадали и Одноклассники. Закрыт также доступ к сайтам крупнейших газет и новостных агентств (например, Bloomberg), в том числе и к некоторым российским. Аналитики также могут обнаружить неприятный сюрприз – блокировку сайтов международных организаций со статистическими материалами, например, сервисов Bloomberg, сайтов Международного валютного фонда и Всемирного банка.

 

Можно написать ни одну книгу на тему причин этих блокировок и связи китайской интернет-цензуры с политикой КПК. Также дискуссионным является вопрос о полезности такой цензуры. Так или иначе, целенаправленная политика по изоляции Китая от мировых информационных потоков ведется с начала 2000-х, общая система контроля за интернет-трафиком и блокировками получила название «Золотой щит». К сожалению, российские пользователи Интернета также с 2012 года, когда был принят закон о досудебной блокировке сайтов с некоторыми видами контента, после чего решения о блокировках стали массовыми, начали сталкиваться с серьезными проявлениями цензуры. С другой стороны, возможно, в подобной ситуации есть и положительные моменты, поскольку навыки обхода блокировок помогут российским пользователям во время их пребывания в Китае.

 

Понятно, что, несмотря на цензуру, фактически свободный доступ к Интернету в Китае имеет подавляющее большинство живущих там иностранцев, да и немалая часть самих китайцев. Способы прорыва через сеть блокировок различны, разные способы подходят для разных целей.

 

Чаще всего приехавшему в Китай иностранцу рекомендуют установить на компьютер или мобильный телефон VPN. Этот способ используется настолько часто, что аббревиатура стала своеобразным синонимом средств обхода блокировок, хотя большинство пользователей даже не понимает, что это такое. VPN – это Virtual Personal Network (виртуальная частная сеть), своеобразный сервер, куда перенаправляется весь трафик с компьютера пользователя, прежде чем этот трафик идет, собственно, к адресату. Фактически VPN – это прокси-сервер (или даже несколько серверов) с расширенными возможностями. Главное отличие – шифрование и вообще маскировка трафика. Зачем эта маскировка нужна? В первую очередь, потому что не только сайты с запрещённой информацией, но и сами VPN и другие средства обхода блокировок стали главным объектом охоты цензурных ведомств Китая. В этом властям помогает система DPI (Deep Packet Inspection, то есть глубокий анализ пакетов).

 

Помимо простой блокировки по URL и по IP, в Китае используется интеллектуальная система анализа трафика DPI, то есть система глубокого анализа пакетов. Некоторые уже сталкивались с такой системой в России (она также применяется немалой частью российских интернет-провайдеров) и полагают, что такая система является средством слежки, способным «читать» информацию, передаваемую и получаемую пользователем. И да, и нет. Интернет-трафик передается по различным протоколам, как зашифрованным, так и нет. Если трафик пользователя передается по протоколу http (ранее наиболее распространенному для сайтов всемирной паутины), то для его перехвата и прочтения DPI не нужен, достаточно просто иметь доступ к серверу, через который он проходит (то есть, читать его может фактически любой провайдер). Зашифрованный же трафик DPI расшифровать не может – для этого при современных средствах шифрования потребовалось бы время, сопоставимое с возрастом Вселенной.
Некоторые механизмы шифрования трафика все же уязвимы. Например, протокол https с использованием сертификата SSL уязвим для атаки man-in-the-middle, при котором компьютер-шпион притворяется для сервера – клиентом, а для клиента – сервером, в результате происходит расшифровка и чтение трафика на пути. Сейчас, однако, стандартом постепенно становится TSL (англ. Transport Layer Security – защищённый транспортный узел), решающий данную проблему.

 

DPI – это все же в первую очередь система статистического анализа, которая направлена не на расшифровку, а на приоритизацию трафика и блокировку отдельных его видов. Если трафик зашифрован, то система, хотя и не может узнать, какая конкретно информация передается, но может с большей точностью определить, каков вид передаваемых данных и куда эти данные передаются.

 

Данная особенность и помогает системе глубокого анализа пакетов бороться с прокси-серверами и классическими VPN. Прокси-сервера не маскируют тот факт, что они являются только передаточным звеном информации, но не ее конечным адресатом, поэтому система контроля способа выявить конкретного адресата и, если он состоит в «черном списке» IP-адресов, заблокировать передачу ему информации. Проблема VPN немного другая. Самые распространённые сервисы (и большинство бесплатных, например, таких, которые используют технологию OpenVPN) направляют весь трафик от клиента к серверу зашифрованным, но особым протоколом. Пусть система контроля и не может прочитать такой трафик, но что мешает ей просто заблокировать передачу данных по этим особым протоколам? Можно также задаться вопросом – как система анализа трафика понимает, что передаваемые данные зашифрованы и что речь идет именно о протоколе, используемом VPN? Очень просто – VPN сам об этом рассказывает! Даже если трафик зашифрован, первая цифра данных пакета показывает, какой используется протокол. Кстати, подобная система «тотальной» блокировки применяется не только в Китае, но и, например, в Туркмении, где при выходе в сеть блокируются все протоколы, кроме http и, в некоторых случаях, https.

 

Естественно, немалая часть провайдеров VPN-сервисов уже поняла, что подобная открытость перед надзорным ведомством излишня, и маскируют трафик пользователей, не прибегая к специальным протоколам. Однако определение протокола передачи данных и более точное (хотя и не всегда) определение их адресата – не единственное, на что способа система глубокого анализа пакетов. Она также смотрит на распределение трафика во времени и на его общий объем. Так, например, может быть замечена передача видео и аудио, достаточно тяжелых по объему. Кроме того, нужно понимать, что некоторые средства обхода блокировок обладают характерной структурой трафика, которая может быть выявлена. Чтобы избежать блокировки, передача данных также должна быть замаскирована и по структуре, что начали часто делать коммерческие провайдеры VPN.

 

В борьбе с VPN китайские власти применяют не только интеллектуальные методы анализа трафика, но и более грубую силу. Например, IP-адреса таких сервисов, полученные властями под видом клиентов, сами вносятся в черные списки. Усиливаются и формальные законодательные ограничения. Запрет на использование VPN для личных (не профессиональных) целей был введен еще несколько лет назад, постепенно он ужесточался. В начале 2017 года предоставление VPN-услуг без лицензии стало уголовным преступлением (при том, что практически все провайдеры находятся вне Китая), а использование таких систем стало штрафоваться. Не вполне понятно, как власти Китая собираются штрафовать, а тем более выявлять сотни миллионов пользователей VPN, однако вполне возможно, что они надеются на психологический эффект подобных законодательных инициатив. Понятно, что самих сервисов также сотни тысяч, если не миллионы, соответственно, еще больше их IP-адресов, которые нужно выявить и заблокировать (задача, прямо говоря, непосильная даже для КНР). Возможных методов маскировки и шифрования также огромное количество, что снижает эффективность интеллектуальных методов блокировки. Однако сократить количество пользователей средств обхода китайские власти вполне способны, особенно учитывая, что подавляющее большинство пользователей не обладают достаточной технической грамотностью, а часто и настойчивостью в поиске путей выхода из «китайской паутины».
В июле 2017 года Apple вслед за другими крупными игроками рынка начала удалять VPN-приложения из своего интернет магазина. Данные действия вполне понятны, поскольку и сама компания-гигант часто становится объектом нападок, а ее сервисы в Китае блокируются. Всегда следует помнить и о том, что чем больше пользователей имеет VPN-сервис, тем выше вероятность адресной его блокировки, хотя технология в целом почти неуязвима, постоянная смена сервисов может быть весьма неудобной. Кроме того, основным недостатком качественных VPN-сервисов является их платность. Ниже представлены некоторые варианты, также позволяющие обойти блокировку, однако при этом бесплатные для пользователя. Для выбора же VPN, с учетом всех проблем, написанных выше, лучший метод – «метод научного тыка», среди всего множества сервисов трудно дать рекомендацию, что лучше и что будет заблокировано с меньшей вероятностью.

 

Ipv6-соединение на данный момент позволяет большинству пользователей в Китае практически не замечать блокировок. Помимо того, что ipv6-адресов на несколько порядков больше, чем по стандартному сейчас протоколу ipv4, что, в свою очередь, делает бесконечным их ресурс и титанической работу по их блокировке, большая часть сайтов в «черном списке» указана именно по IP-адресам старого формата и блокируется только по ним. Другими словами, цезурное ведомство пока что просто «не замечает» новую технологию. Кроме того, расширение диапазона адресов и сопутствующие реформы дают много дополнительных способов преодоления цензуры, таких, как автоматическое создание зеркал заблокированных сайтов, затруднение перехвата DNS-запросов и т.п. Таким образом, пока что обладатели ipv6-соединений находятся в выигрыше, несмотря на некоторые недостатки новой адресации, например, упрощение идентификации пользователей из-за отсутствия динамических IP. Жаль только, что в Китае, как и в России, такое соединение все еще редко предлагается провайдерами. Поэтому такой метод обхода блокировки, скорее, можно объяснить везением.

 

В России в начале эпидемии блокировок были популярны анонимайзеры, то есть, по сути, прокси-сервера с веб-интерфейсом, работающие как сайты, на которых пользователи могли указать отдельные сайты, на которые желали попасть. Примерами таких сервисов являются noblockme.ru, instaway.ru, hideme.ru. Анонимайзеры, как это ни странно, также весьма эффективны в Китае, в отличие от России, где такие сервисы активно блокируются. Данная странность объясняется языковым барьером – большинство русскоязычных (даже англоязычных) анонимайзеров просто, видимо, не была замечена китайскими цензорами, поэтому доступ к ним вполне свободен. Однако свойственные анонимайзерам недостатки вполне сохраняются – в первую очередь, отметим значительную среди них сайтов, напрямую ворующих данные пользователей.

 

Встроенные турбо-режимы браузеров, например, Opera или Яндекс-браузера, либо режим экономии трафика в Google Chrome, как правило, неэффективны. Причиной является то, что эти режимы направляют трафик пользователя через свои сервера, фактически являющиеся простыми прокси и не скрывающими ни содержание трафика, ни адреса сайтов, на которые заходит пользователь. В связи с этим DPI блокирует запрещённые сайты и в этом случае. Аналогичным образом неэффективны и встроенные VPN браузеров, в частности Opera VPN. Если турбо-режимы просто неэффективны, то VPN не работает в принципе. Причина здесь проста – поскольку браузером пользуется много людей, встроенные инструменты обхода также на виду, что позволяет интернет-властям Китая быстро блокировать серверы, к которым обращается браузер для перенаправления трафика.

 

Сказанное выше относится и к надстройкам браузеров, таким, как AnonimoX и FriGate. Имеющие большое, но все же ограниченное число серверов, они достаточно легко попадают под блокировку. Хотя время от времени появляются новые серверы, что позволяет таким приложениям работать свободно от нескольких дней до месяца.

 

Яндекс-браузер, все же, не совсем бесполезен в КНР. Дело обстоит в одной его интересной особенности, а именно режиме шифрования DNS. Этот режим делает практически невозможным перехват dns-запросов, преобразующих доменное имя сайта в IP-адрес. Немалая часть блокировок в Китае (за исключением наиболее крупных сайтов и приложений, блокируемых по IP) происходит именно по URL – dns запрос перехватывается и направляется на пустую страницу, страницу с сообщением о блокировки либо просто не доходит до адресата. Шифрование, соответственно, делают невозможным такой перехват и пользователь успешно заходит на сайт. Хотя данный способ довольно прост, он позволяет обойти львиную долю блокировок. Шифрование DNS возможно и без применения Яндекс-браузера, достаточно прописать в списке DNS-серверов IP-адреса серверов проекта OpenDNS. Использование такого способа дает и дополнительное преимущество – альтернативные DNS-сервера также дают доступ к скрытым доменным зонам, например .lib. Сайты в таких зонах недоступны по умолчанию, значит, обычно не блокируются в принципе.

 

У всех способов обхода блокировки, непосредственно связанных с сайтами, есть существенный недостаток – как правило, они позволяют обходить блокировку только сайтов в этом браузере, не борясь с блокировками приложений. А мобильные приложения, мессенджеры, некоторые онлайн-игры также блокируются и сами, при этом доступ к ним происходит без использования браузера.

 

Здесь помочь могут бесплатные, но достаточно эффективные системы для проксирования всего трафика. Наиболее интересной из них является DynaWeb Freegate, компании, которая также создала для пользователей из Китая систему автоматически создаваемых зеркал сайтов. Это система из нескольких одновременно работающих для пользователя серверов, направляющих части разделенного на несколько частей трафика по различным путям, наподобие торрентов. Важно также то, что система автоматически отслеживает случаи блокировки своих серверов и сразу в таком случае меняет их IP-адреса. Кроме того, очень трудна блокировка системы методом отслеживания собственного трафика – каждый пользователь получает свой собственный, уникальный список серверов. В результате работы такой системы сайты разблокируются при работе любого браузера, нормально работает также большая часть приложений. Некоторая часть все же отказывается работать из-за внутренней архитектуры, негативно реагирующий на несовпадение IP-адресов и их частую смену. К сожалению, протестировать столь полезную систему могут только пользователи в Китае, для остальных стран она заблокирована разработчиками.

 

Во всем мире, однако, доступна похожая система UltaSurf. Несмотря на то, что создателями этого средства обхода блокировок являются последователи весьма сомнительной секты Фалуньгун, сама сиcтема регулярно признается одним из наиболее эффективных, надёжных и удобных методов борьбы с цензурой. Как и FreeGate, она перенаправляет весь трафик пользователя. Хотя она несколько менее технологична, нежели конкурент, UltaSurf берет числом – адрес сервера меняется очень часто, порядка 10 000 раз в час. Из-за этого иногда возникают проблемы, когда в процессе соединения с сайтом IP-адрес сервера уже поменялся, в результате браузер начинает подозревать перехват трафика и блокирует соединение. Данная проблема все же довольно редка. Кроме того, среди преимуществ UltaSurf нужно назвать то, что трафик идет по протоколу http и при этом шифруется, соответственно фильтровать его по протоколу или анализировать не получится.

 

Не будем забывать и о более известных в России распределённых сетях – Tor и I2P, как предоставляющих возможность обхода блокировок, так и открывающих пользователям просторы собственных внутренних сетей – темного интернета (эта тема столь обширна, что затрагивать ее в статье бессмысленно). Если I2P в Китае работает без проблем, хотя доля успешных соединений редко превышает 20%, то с Тором есть некоторые нюансы. В стандартном режиме соединение с его сетью блокируется, поскольку маршрутизирующие сервера сети находятся в открытом доступе и их адреса известны, и, как следствие, блокируются. Однако для стран, в которых Интернет цензурируется, Тор предлагает различные варианты туннелей. В Китае наиболее эффективно работают пути meek-Amazon meek-Azure – мосты, построенные на принципе домен-фронтинга. Данная технология получает в последнее время все большее развитие. Сервера некоторых крупных компаний настроены на автоматическое перенаправление запроса (и всего трафика) по адресу, содержащемуся не в заголовке, а в теле пакета. В результате для любого внешнего пользователя передаваемая информация выглядит, например, как поисковый запрос в Гугл, фактически же серверы Google работают как прокси, однако непосредственно между ними и пользователем трафик остается зашифрованным.

 

Обе анонимные сети представляют собой, по сути, конструктор, в рамках которого можно настраивать на работу в них отдельные приложения. i2p в большей степени ориентирована на доступ к внутренним ресурсам, Тор же гораздо более универсален. По умолчанию он обеспечивает доступ через свою сеть только для собственного браузера. Однако на сегодняшний день существует довольно много программ и аппаратных средств, направляющих весь или отдельные вида трафика пользователя через сеть Тор, даже несмотря на то, что анонимная сеть использует протокол SOCKS, с которым могу работать не все приложения.

 

Наконец, для пользователей, которые пробовали использовать все отмеченные выше способы, в результате эти попытки были неуспешными, либо просто методы обхода по тем или иным причинам оказались неудобными, можно посоветовать создать свой собственный VPN. Для этого необходимо арендовать виртуальный или реальный сервер за пределами Китая, установить на нем виртуальную машину, организовать безопасное соединение домашнего компьютера с этим сервером. В Сети в настоящее время есть множество инструкций на данную тему. Преимущество состоит в том, что VPN, используемый одним или несколькими пользователями, практически не может быть выявлен и, как следствие, заблокирован.

 

Однако такое преимущество собственного VPN вызывает трудности с приведением реальной статистики применения этого достаточно хитрого способа. Ведь если такая схема используется правильно, никто кроме самого ее пользователя не будет о ней догадываться. Поэтому подлинным доказательством использования собственного VPN могу являться только открытые признания самих пользователей и авторов идей. Таких, однако, также немало. На сайтах и блог-платформах habrahabr.ru, securitylab.ru, pikabu.ru, itsec.pro, а также многих других, находится множество достаточно подробных инструкций на данную тему непосредственно от пользователей, уже применяющих такую технологию.

 

Подводя итог обзора методов обхода цензуры в КНР (и не только!), можно с уверенностью сказать, что, хотя желание получать свободные доступ к информации и требует некоторых дополнительных усилий, в целом «Золой щит» китайской цензуры для любого грамотного пользователя может стать «дырявым».

*Прим. ред. Мнение автора может не совпадать с мнением редакции

Китайский деловой мост

Адрес: Россия, 191023, Санкт-Петербург, улица Садовая, дом 21

RU: +7 (812) 458-97-30 доб. 3193

CN: + (86) 157-0120-5109

E-mail: info-cbb@mail.ru

Свяжитесь с нами

Обратная связь

Ваше сообщение успешно отправлено

Рассылка новостей

Вы успешно подписались на нашу рассылку