VPN vs ТСПУ. Как нам ломают интернет и почему это лотерея?
В тематических чатах я неоднократно натыкался на заявления, где люди сравнивают GFW с ТСПУ в одном ключе, наивно полагая, что системы устроены одинаково. На деле, между китайским и российским решением есть ключевые различия, которые сегодня я разберу в статье. Понимание механизмов однозначно поможет нам обходить блокировки эффективнее.
Great Firewall — это один из проектов, нацеленный на суверенный интернет в КНР. Полный пакет называется «Golden Shield Project». Разработка непосредственно нацелена на блокировку неугодного контента через фильтрацию содержимого.
В отличие от российского решения, наши азиатские партнеры подготовились основательно и много лет создавали полную экосистему, заточенную исключительно под Китай. Речь идет не только про софт, но и про местное железо. За несколько лет власти Китая выстроили на границе цифровой барьер, причем буквально.
После того как иностранный трафик пересекает цифровую границу Китая, пакеты проходят через несколько строго контролируемых узлов, которые находятся в точках с плотным пересечением потоков (Пекин, Шанхай, Гуанчжоу). Их немного, но продолжительные разработки позволили таким гигантам, как Huawei и ZTE, предоставить ультимативное оборудование для фильтрации трафика, исключая зарубежные аналоги.
Например, GFW слушает магистральный трафик и, если видит запрос к запрещенному домену, то подменяет DNS быстрее, чем настоящий домен возвращает ответ. Это классический DNS-инжект. Если сильно упростить, то в России по подобному принципу можно перехватывать ваши телефонные звонки.
Настоящей болью для китайских юзеров является глубокий анализ DPI. Именно из-за высокой энтропии пользователям пришлось отказаться от штатного ShadowSocks в пользу протоколов, которые имитируют низкую энтропию TLS (VLESS, Trojan), тем самым проходя проверку.
GFW в основном реагирует на сертификаты и SNI, а при подтверждении — блокирует домены и IP-адреса. Кроме того, разработка КНР умеет зондировать в автоматическом режиме (аналогично тому, как я ломился на сервера VPN Liberty). Если сервис VPN-хостинга жидкий, то он подсветит себя и моментально улетит в бан.
Можно сказать, что китайцы разработали параллельный интернет, который не только функционирует, но и исключает вред собственной инфраструктуре. Их системы имеют белые списки для корпоративных клиентов, умеют подменять DNS на уровне магистрали, блокируют сложные пакеты, а также применяют активное зондирование.
Казалось бы, выглядит все супер современно, но на деле Great Firewall имеет понятную и самодостаточную инфраструктуру, а посему знающий человек с легкостью подберет средство для обхода блокировок, которое может служить верой и правдой не один год. GFW — мощное решение, но предсказуемое.
Закончив с родоначальниками мракобесия в интернете, мы переходим к ситуации в России, печально задавая вопрос, который ежедневно волнует каждого из нас — ЧТО ТАМ С ЧЕБУРНЕТОМ?
Основное отличие отечественного решения от китайского заключается в децентрализации. В России нет магистральных узлов, и чтобы мы не огорчались, чекисты, совместно с дочерней компанией Ростелекома (ООО «РДП.РУ») снизошли с небес и вручили каждому россиянину подарок в виде ТСПУ.
ТСПУ (Технические средства противодействия угрозам) — этакий Ящик Пандоры, который Роскомнадзор буквально вживил в узлы всех российских интернет-провайдеров. Такое решение позволяет добавить в цепочку людей, которые в режиме реального времени имеют доступ к вашему трафику, например ФСБ.
Механизм «подарка» строится на инвазивном методе. Иначе говоря, ТСПУ не подглядывает где-то в стороне, записывая лог. Система является контролером и решает, какие пакеты пройдут через нее, а какие будут нещадно замедлены. Это своего рода метод психологического воздействия, где пользователю не блокируют ресурс, а вместо этого делают посещение конкретного сайта невыносимым. РКН как бы дает людям надежду, заставляя нас истратить все нервы и добровольно перейти на отечественные площадки (СПОЙЛЕР — ИХ НЕТ).
В отличие от китайских братьев по оружию, Россия реже использует активное зондирование. Вместо этого, отечественная система научилась распознавать практически все известные протоколы по сигнатурам. Решения, которые можно успешно применить в Китае, в российских реалиях выглядят как бесполезные строчки кода. Эффективным средством борьбы с сигнатурным анализом является — фрагментация пакетов (GoodbyeDPI, Zapret). При таком подходе, мы размываем пакеты по сессии и вызываем сбой в работе ТСПУ.
Проблема обхода российских блокировок заключается в хаотичности системы. Кремлевские защитники цифрового суверенитета не имеют отечественного железа, поэтому их ТСПУ часто конфликтуют с зарубежным оборудованием, из-за чего периодически схлопываются сайты, которые должны были находиться в белых списках. Упасть может совершенно любой сервис, например: системы эквайринга, государственные приложения и даже целые линии провайдера. После подобных «подарков», страна неизбежно несет колоссальные убытки.
ЧЕБУРНЕТ превращается в лотерею. Сегодня у москвичей YouTube может вообще не грузиться, а где-нибудь в Cибири - загружаться в 4к. Завтра РКН начнут бороться с новым протоколом и замедлят Сибирь, но заработает ранее заблокированный регион. Провайдеры в данном случае бессильны, т.к. давно превратились в простых арендаторов стоек и сами не знают, что конкретно блокирует ТСПУ.
Чтобы стабильно обходить блокировки в России, нам недостаточно прятать заголовки трафика, теперь его приходится мимикрировать или разбивать. Это значит, что ТСПУ должны поверить, что мы не отправляем запрос к запрещенному ресурсу, а вместо этого подключаемся к Сбербанку или обновляем Windows.
По правде говоря, методы имитации TLS, вроде VLESS Reality, становятся всё сложнее и нестабильнее. ТСПУ научились сверять отпечатки браузеров и анализировать несоответствия фингерпринтов. Решение — не усложнять. Используйте метод обфускации QUIC, который работает поверх UDP, делая анализ ТСПУ — невероятно дорогим и неэффективным.
Дело в том, что ТСПУ намеренно отбрасывают часть пакетов при замедлении неугодных сервисов. TCP в такой ситуации начинает бесконечно переподключаться и отлетает, QUIC же игнорирует потерю отдельных фрагментов — он просто гонит данные дальше. К тому же, QUIC превращает трафик в хаотичный набор байтов, не похожий ни на один стандартный VPN, ставя наше решение в позицию «ПОШЕЛ ТЫ».
В заключение хочу сказать, что за эти страшные 4 года больше половины россиян не только стали более подкованными в IT-технологиях, но и смогли противодействовать неумолимой машине абсурда с огромными деньгами. Знайте своего врага в лицо и не останавливайтесь на достигнутом. МЫ ОБЯЗАТЕЛЬНО ПОБЕДИМ.