III. Цензура на сетевом уровне: Locknet в проводах
Пекину не нужно подвергать цензуре контент, размещаемый в интернете его гражданами; у него есть штат корпоративных сотрудников и отдельных националистов, которые следят за интернет-контентом, создаваемым внутри страны. Таким образом, органы, контролирующие технологии цензуры, напрямую отслеживают информацию, поступающую из-за пределов Китая. Эти инструменты выполняют «цензуру на сетевом уровне», проверяя данные, передаваемые через границу, независимо от того, какое приложение или сервис их сгенерировал.
Легко представить, что Пекин просто щёлкает выключателем: интернет включён, интернет выключен. Или, точнее, этот сайт включён, тот сайт выключен. На самом деле интернет состоит из множества различных компонентов, каждый из которых даёт цензорам возможность нарушать или контролировать обмен информацией внутри этого компонента. Таким образом, повседневные механизмы контроля в Китае — это нечто большее, чем просто включение и выключение. Вместо этого они часто перехватывают обычные функции интернета и используют их против него самого.
Мы знаем о многих инструментах сетевой цензуры в Китае благодаря экспериментам, проведённым исследователями за пределами материковой части страны. (Неудивительно, что Пекин не обсуждает открыто технические средства, которые он использует для нарушения интернет-трафика.) Но как кто-то за пределами Китая может увидеть, как правительство цензурирует трафик внутриКитая? Эксперименты на сетевом уровне работают даже из-за границы, потому что система цензуры в основном двунаправленная. Это означает, что система в большинстве случаев не проверяет, откуда поступает интернет-трафик — из Китая или из-за его пределов. Если этот трафик содержит запрещённый контент, система подвергнет его цензуре, независимо от того, в каком направлении он движется. Исследователи воспользовались двунаправленностью системы, чтобы проверить, какой контент действительно запрещён.
Пакеты данных: основа обмена информацией в интернете
Основные функции интернета зависят от пакетов — небольших фрагментов информации, которые поочерёдно передаются по сети. Концептуальная основа всего интернета — пакеты. Разбиение информации, например электронного письма или текстового сообщения, на части позволяет сети отправлять эти части по отдельности по тому маршруту, который в данный момент наиболее целесообразен. Между Пекином и Шанхаем слишком большой интернет-трафик? Нет проблем, просто отправьте один или два пакета по маршруту, который проходит в обход этих мест.
Получение сообщения через Интернет немного похоже на получение посылки из IKEA. Но вместо того, чтобы отправить вам одну посылку со всеми деталями, скажем, стола, представьте, что IKEA отправляет вам несколько отдельных посылок: в одной — ножки стола, в другой — столешница, а в третьей — шурупы, необходимые для их соединения. Каждая посылка выглядит одинаково, она упакована в коробку одинакового размера, поэтому никто из тех, кто доставляет их из одного места в другое, не знает, что внутри. Посылки доставляются разными грузовиками, и каждый водитель получает от GPS-навигатора разные указания о том, какой маршрут будет самым быстрым до вашего дома. Грузовики для доставки едут по одной дороге с сотнями других транспортных средств, которые везут свои посылки в разные места. Ваши посылки могут быть доставлены к вам домой примерно в одно и то же время или, в зависимости от маршрутов, по которым ехали грузовики, могут быть доставлены в течение дня. Если одна из посылок потеряется, IKEA отправит вам замену. Получив все посылки, вы правильно их соберёте, и у вас получится стол.
Информация, передаваемая через Интернет, перемещается практически так же: когда вы отправляете информацию, например электронное письмо, ваш компьютер разбивает его на пакеты. Пакеты содержат фрагменты электронного письма — одно-два предложения здесь, часть изображения там — столько, сколько поместится в пакет. В отличие от примера с IKEA, где вы надеетесь, что столешница придёт в целости и сохранности, ваш компьютер может легко разбить предложения, изображения и всё остальное на мелкие части, чтобы они поместились в пакеты. Пакеты также содержат дополнительную адресную информацию, которая помогает им добраться по сети до места назначения. После того как ваш компьютер отправит эти пакеты, сеть проанализирует ситуацию в реальном времени и направит их по наиболее эффективному на данный момент маршруту. Ваши пакеты перемещаются по сети вместе с пакетами от множества других пользователей. Подобно грузовикам на дороге, множество разных пакетов могут использовать один и тот же маршрут, даже если их конечные пункты назначения отличаются. Когда принимающий компьютер получает пакеты, он может определить, каких пакетов не хватает, и при необходимости ваш компьютер может отправить их повторно. Затем принимающий компьютер собирает их в правильном порядке, и получатель может прочитать ваше письмо.
Интернет как сеть с «коммутацией пакетов» представляет собой серьёзное новшество по сравнению с сетями с «коммутацией каналов», такими как стационарные телефонные сети. В стационарных сетях, по крайней мере исторически, между вызывающим и принимающим абонентами устанавливается выделенный канал. Этот канал остаётся неизменным на протяжении всего телефонного разговора, и никакие другие абоненты не могут его использовать (иначе вы бы слышали их голоса на линии). Такая настройка сильно ограничивает объём информации, который может передаваться по сети с коммутацией каналов. Количество возможных каналов определяет максимальное количество телефонных звонков, которые могут быть совершены одновременно. Если проводить аналогию с IKEA, это равносильно тому, чтобы перекрывать дороги для всех транспортных средств, кроме одного.
В интернете, напротив, поскольку пакеты могут передаваться по одному и тому же маршруту, ограничивающим фактором является количество пакетов, которые может передать кабель, а не количество соединений между людьми. Таким образом, сеть с коммутацией пакетов может обрабатывать гораздо больше информации и гораздо быстрее, чем сеть с коммутацией каналов, что позволяет использовать все замечательные, ужасные и откровенно легкомысленные приложения реального времени, которые люди разработали для интернета.Цензура, встроенная в инфраструктуру Контроль Китая над этим процессом начинается ещё до отправки любых пакетовОни даже не отправляются. Кто-то должен сначала проложить и обслуживать бесчисленное множество кабелей и проводов, по которым передаются такие пакеты данных, включая, что особенно важно, кабели и оборудование, пересекающие национальные границы, так называемые «международные шлюзы». В Китае несколько компаний, управляющих этими кабелями, сами находятся под контролем правительства. Пять интернет-провайдеров (ISP), все из которых принадлежат государству, обрабатывают внутренний интернет-трафик Китая и управляют международными шлюзами Китая. Это означает, что китайское правительство имеет косвенный, но вполне реальный контроль над базовой физической инфраструктурой интернета, что позволяет ему устанавливать или требовать установки оборудования для мониторинга вдоль этих кабелей.
Физическая инфраструктура также включает в себя встроенные «узкие места» для международного интернет-трафика. В Китайской Народной Республике (КНР) относительно мало международных шлюзов — особенно по сравнению с другими технологически развитыми государствами, такими как Сингапур, США или Япония, — и управляют ими всего несколько компаний. Одно исследование, в котором оценивался «национальный потенциал узких мест» в различных странах в 2018 году, показало, что Китай находится на одном из концов спектра: только два интернет-провайдераконтролировал более 90 % путей, по которым интернет-трафик мог входить в страну или выходить из неё.
Данные предоставлены Киртом Г. Лейбой, Бенджамином Эдвардсом, Синтией Фриман, Джедидией Р. Крэндаллом и Стефани Форрест и взяты из их статьи «Границы и шлюзы: измерение и анализ национальных узких мест в сфере безопасности».
«Потенциал узкого места» этой системы выгоден как правительству, так и государственным интернет-провайдерамсуществует множество способов замедлить или даже остановить поток интернет-трафика, проходящий через международные шлюзыВ 2020 году несколько исследователей показали, что пакеты данных, поступающие в Китай, действительно ограничиваются или даже отбрасываются на этих шлюзах, хотя трафик, исходящий из Китая, остаётся незатронутым. Основываясь на своих наблюдениях, исследователи пришли к выводу, что это замедление вряд ли связано с китайским оборудованием для цензуры (оборудование, проверяющее пакеты данных на наличие запрещённых ключевых слов, не вызывает замедления). Вместо этого исследователи выдвинули несколько других возможных объяснений: китайское правительство могло принять политическое решение о регулировании входящего трафика, чтобы отбить у китайских пользователей желание пользоваться зарубежными сервисами или затруднить доступ иностранных компаний к китайским пользователям; или интернет-провайдеры Возможно, они сами решили снизить скорость международного интернета, чтобы иностранным компаниям приходилось платить больше за «более высокий уровень» обслуживания. Эти объяснения, конечно, не исключают друг друга. Отсутствие внешней инфраструктуры вряд ли можно назвать случайностью. Наблюдатели уже давно отмечают, что правительство «не смогло создать инфраструктуру, которая позволила бы быстрее подключаться к зарубежным сетям». Если вы когда-нибудь испытывали трудности при попытке зайти на зарубежный сайт из Китая, то почти наверняка причиной была плохая международная инфраструктура, а не цензура как таковая.
Блокировка IP-адресов
Интернет работает на основе IP (Интернет-протокола) адреса, чтобы знать, куда отправлять информацию. Люди, пользующиеся интернетом, редко видят IP-адреса или взаимодействуют с ними — наши машины в основном управляют ими в фоновом режиме. Это хорошо, потому что IP-адреса не предназначены для того, чтобы их можно было легко прочитать или запомнить. Они состоят из цепочек цифр (или цифр и букв). Однако оборудование для маршрутизации в интернете использует эти цепочки цифр для передачи информации от одной машины к другой, пока она не достигнет нужного адресата.
У всех веб-сайтов есть IP-адрес, как и устройства, подключённые к интернету. Часто у одного домохозяйства есть только один IP-адрес — это IP-адрес домашнего роутера, который используется всеми подключёнными к нему компьютерами и телефонами. Когда вы переезжаете в другое место, например в офис, ваше устройство будет подключаться к интернету с другого IP-адреса. (Высокая мобильность нашей онлайн-жизни — ответы на электронные письма из аэропорта, отправка эмодзи в очереди в продуктовом магазине — и всё это с разных IP-адресов — требует использования сервисов-посредников, таких как Gmail и Outlook. Эти сервисы отправляют и получают сообщения из единого онлайн-«места», что позволяет реальным людям получать к ним доступ независимо от того, какой у них в данный момент IP-адрес.)
Когда компьютер делит информацию на пакетыОн записывает IP-адрес предполагаемого получателя в каждый пакет, как если бы вы написали адрес на посылке. Когда пакеты перемещаются по сети, машины, называемые маршрутизаторами, — по сути, это просто более крупная версия интернет-маршрутизатора, который есть у вас дома, — считывают IP-адреса из каждого пакета. У миллионов или миллиардов маршрутизаторов, установленных по всему миру, одна главная задача: пересылать пакеты по наилучшему доступному пути на основе имеющейся у них информации о состоянии сети вокруг них.
Маршрутизаторы похожи на почтовые отделения или пункты выдачи посылок, которые принимают посылки в пути и пересылают их в другое отделение, расположенное ближе к месту назначения. Каждое почтовое отделение на пути следования посылки может отправить её точно в пункт назначения, если там есть почтовое отделение, которое может её принять. Или же оно может отправить посылку немного в сторону — например, если дорога размыта или перекрыта в час пик. Маршрутизаторы обладают аналогичной информацией об окружающих их сетях и направляют пакеты по наилучшему на данный момент маршруту, избегая повреждённых или перегруженных участков. Это означает, что пакеты одного электронного письма или текстового сообщения могут идти разными путями, возможно, через десятки маршрутизаторов, прежде чем попадут на устройство получателя.
Если кто-то в Китае пытается зайти на заблокированный сайт, размещённый в США, его компьютер пытается отправить на сайт пакет данных, содержащий что-то вроде «Привет! Я хотел бы подключиться!» Пакет данных отправляется с компьютера через несколько маршрутизаторов, каждый из которых считывает IP-адрес на пакет данных и пересылает его дальше. Поскольку пакет данных предназначен для США, в какой-то момент он должен пройти через международный шлюз— устройство, которое предоставляет маршрутизаторам информацию о состоянии международных сетей, — чтобы покинуть Китай. И здесь китайское правительство пользуется возможностью вмешаться.
По сути, это происходит за счёт утверждения, что американский веб-сайт недоступен, хотя на самом деле это не так. Китайское правительство (или компания, работающая по его указке) загрузило ложную информацию на эти международные шлюзы, утверждая, что IP-адреса, связанные с «опасными» веб-сайтами или сервисами, недоступны. Когда маршрутизатор, расположенный недалеко от границы, пытается определить наилучший маршрут для передачи пакета данных на веб-сайт в США и запрашивает информацию у международного шлюза, международный шлюз сообщает маршрутизатору, что доступ к данному веб-сайту невозможен. Тогда маршрутизатор просто сдаётся, не утруждая себя пересылкой пакета данных. Пользователь в Китае может получить сообщение об ошибке типа «Сеть недоступна» или «Отказано в соединении». Возвращаясь к примеру с почтой, можно сказать, что это похоже на ситуацию, когда почтальон звонит в соседний округ, чтобы узнать оптимальный маршрут для конкретной посылки, а человек на другом конце провода сообщает ему, что адресата больше не существует. Вместо того чтобы отправить посылку обратно, почтальон просто выбрасывает её в мусорный бак.
Этот способ онлайн-цензуры известен как «блокировка IP-адресов», и Китай использует его почти с тех пор, как страна подключилась к интернету. В качестве технологии цензуры он дёшев и прост: не требует специального оборудования, поскольку власти могут просто изменять информацию, хранящуюся на существующих маршрутизаторах и международных шлюзах.
В конце 1990-х годов, когда в Китае были десятки независимых интернет-провайдеров обеспечивающих доступ в интернет, интернет-провайдеры проводили блокировку IP-адресов в своих сетях, используя собственные списки заблокированных веб-сайтов, которые дополняли «блокировки на национальном уровне», введённые государственными органами. В настоящее время расширенный «потенциал сдерживания» физической интернет-инфраструктуры Китая означает, что Китаю достаточно блокировать IP-адреса вблизи своих национальных границ, используя один централизованный список заблокированных сайтов. (Централизация цензуры на сетевом уровне контрастирует с тем, как цензура на уровне сервиса Эта работа продолжается, и каждая компания составляет свой собственный список запрещённых терминов.)
В 2019 году одно исследование показало, что китайские власти использовали блокировку IP-адресов против почти 40 000 из миллиона самых популярных веб-сайтов в мире. Скорее всего, они блокируют гораздо больше, чем эти 40 000 сайтов. Многие веб-сайты, которые партийное государство Китая хочет заблокировать, гораздо более нишевые и, вероятно, не входят в число самых посещаемых сайтов в интернете. Примечательно, однако, что власти блокируют не все веб-сайты таким образом. У них есть ряд дополнительных технологий, которые они используют для блокировки других сайтов, и иногда один сайт может быть заблокирован с помощью нескольких разных технологий. Власти, скорее всего, используют блокировку по IP-адресу для сайтов и сервисов с относительно статичными IP-адресами.
Несмотря на то, что IP-блокировка относится к более раннему поколению технологий цензуры, она по-прежнему является ключевым оружием в арсенале китайской онлайн-цензуры. Она работает в тандеме с расширяющимся набором дополнительных технологий блокировки, большинство из которых требуют дополнительного специализированного оборудования, известного как «прокси-серверы», для выявления и блокировки интернет-трафика, который КПК считает опасным. Как и IP-блокировка, эти технологии зависят от того, что компьютеры в сети ведут себя в соответствии с общепринятыми правилами, которые эти технологии затем используют в своих целях. Как и технологии блокировки IP-адресов, эти промежуточные серверы физически расположены вблизи государственных границ Китая, чтобы лучше контролировать входящий и исходящий интернет-трафик.
Блокировка через Промежуточный блок
В контексте Китая мидлбоксы служат своего рода цифровыми шпионами, встроенными в онлайн-сеть. Это реальные физические устройства, которые проверяют пакеты и определяют, предназначены ли эти пакеты для регионов, внесенных в черный список, или, иногда, содержат ли они запрещенные ключевые слова. Технологии Middlebox нацелены на веб-сайты или сервисы, которые могут не попасть под IP-блокировку Dragnet — это сервис, который использует широкий спектр часто меняющихся IP-адресов.
«Пакеты данных перемещаются так быстро, почти со скоростью света, что эти обмены данными занимают секунды или даже миллисекунды, едва заметные для пользователя. Но для компьютеров эти миллисекунды имеют большое значение. Чтобы отправить ответ, потребуется больше времени, если вы находитесь за тысячи километров, а не в соседнем квартале. Хотя интернет часто кажется чем-то неосязаемым и мгновенным, он работает на вполне реальной физической инфраструктуре, которая влияет на его функционирование — и на то, как Китай может нарушить его работу».
В большинстве случаев правительственные «промежуточные ящики» не утруждают себя тем, чтобы препятствовать прохождению одного или двух начальных пакетов через границу. Вместо этого оборудование, расположенное вблизи границы, делает копии этих пакетов, позволяя исходным пакетам дойти до места назначения, а копии отправляя в «промежуточный ящик». Затем «промежуточный ящик» проверяет копии и, если обнаруживает нежелательный контент, принимает меры, чтобы временно заблокировать дальнейшую связь между отправителем и получателем.
Этот метод может показаться излишне запутанным. Почему бы китайскому правительству просто не запретить исходным пакетам пересекать границу и не покончить с этим? Хотя в некоторых случаях промежуточные серверы действительно блокируют исходные пакеты, метод копирования используется гораздо чаще, поскольку он экономит ресурсы и деньги. Промежуточный сервер, который должен считывать пакеты и принимать решения в отношении них в режиме реального времени, требует значительных вычислительных мощностей, чтобы обеспечить бесперебойную и быструю передачу интернет-трафика.
Представьте себе стесненный в средствах участок тайной полиции, который хочет помешать гражданам отправлять письма и посылки туда и обратно определенным иностранным “врагам". В частности, они очень озабочены тем, чтобы уберечь граждан от получения политически неудобной информации из внешнего мира. Однако в то же время страна зависит от международной торговли, поэтому тайная полиция не хочет останавливать или даже существенно замедлять прохождение безобидной почты через систему. Если бы тайная полиция надеялась проверять всю почту, направляющуюся за границу, в режиме реального времени, ей пришлось бы нанять много дополнительных сотрудников, особенно в часы пик, когда объём почты мог легко превысить возможности небольшого штата. Это позволило бы им сразу выбрасывать подозрительные посылки, но потребовало бы гораздо больших затрат на зарплаты и офисные помещения.
Здесь аналогия немного нарушается, но если мы позволим себе немного магии, то сможем объяснить, как работает механизм копирования. Предположим, что у тайной полиции есть дешёвый и быстрый способ копировать всю почту, проходящую через систему, и для этого не нужно нанимать кучу дополнительных сотрудников. (Возможно, у них в штате есть ученик чародея, который, зачаровав отдельные посылки, может разделить их пополам и таким образом создать вторую версию каждой посылки.) В таком случае тайная полиция могла бы беспрепятственно пропускать оригиналы писем через границу, отправляя все копии на проверку. Проверяющие письма сотрудники по-прежнему работали бы быстро, но у них было бы немного больше времени: они знали бы, что оригиналу посылки ещё предстоит путь до места назначения за границей, где получатель должен будет составить и отправить ответ, который затем должен будет вернуться через границу, и всё это до того, как письмо попадёт в руки какого-либо гражданина. Это даёт тайной полиции достаточно времени, чтобы начать действовать и предпринять любые необходимые шаги для предотвращения дальнейшего общения между этими двумя людьми.
Эффективность этого метода заключается в физическом расположении средних блоковРасположенные вблизи, но в пределах государственных границ Китая, они физически ближе к любому пользователю в Китае, чем оборудование, находящееся на территории другой страны. Таким образом, этим промежуточным серверам не нужно останавливать исходные пакеты Они не покинут страну; у них будет преимущество в виде близости к месту событий, когда они решат действовать, что позволит им выиграть гонку у любого реального противника, который может появиться из-за границы. Пакеты данных перемещаются так быстро, почти со скоростью света, что эти обмены данными занимают секунды или даже миллисекунды, едва заметные для человека. Но для компьютеров эти миллисекунды имеют большое значение. Чтобы отправить ответ с расстояния в тысячи миль, потребуется больше времени, чем чтобы отправить его с расстояния в один квартал. Хотя интернет часто кажется чем-то неосязаемым и мгновенным, он работает на вполне реальной физической инфраструктуре, которая влияет на его функционирование — и на то, как Китай может его нарушить.
Блокировка DNS
Промежуточные коробки Китайские власти могут препятствовать интернет-коммуникациям граждан разными способами. Один из самых простых — вмешательство в работу системы доменных имён (DNS). DNS — это, по сути, служба преобразования: когда вы вводите в браузере понятное человеку доменное имя (например, «nytimes.com»), DNS преобразует его в понятный компьютеру IP-адрес(например, «151.101.65.164»), который, как мы уже видели, затем используется сетью для маршрутизации информации к нужному месту назначения. DNS во многом похож на список контактов в вашем смартфоне. Вы редко набираете чей-то номер напрямую, чтобы позвонить. Вместо этого вы ищете имя человека в списке контактов. Затем ваш телефон связывает имя этого человека с нужным номером телефона и звонит по этому номеру — без необходимости видеть или запоминать номер телефона этого человека.
Допустим, Сяофан из Шанхая хочет зайти на сайт, заблокированный в США. Когда она вводит доменное имя в браузере («nytimes.com»), её компьютер отправляет пакет к ближайшему DNS-серверу — устройству, которое ищет и временно сохраняет IP-адреса, — также расположенному в Шанхае. Пакет сообщает DNS-серверу какой веб-сайт пытается посетить Сяофан, запрашивая у резолвера соответствующий IP-адрес для Сяофана. Затем резолвер запрашивает другие компьютеры в DNS система (отправляющая пакеты, подобные тем, что отправлял Сяофан, в поисках соответствующего IP-адреса) будет искать, пока не найдёт тот, на котором есть нужная информация. Поскольку The New York Times базируется в США, компьютер с этой информацией, скорее всего, находится за пределами Китая, а это значит, что в какой-то момент DNS-сервер вам придётся отправлять пакеты данных через государственную границу, где они будут скопированы и проверены сервером.
Middlebox увидит запрошенное доменное имя и сравнит его с блок-листом запрещённых доменных имён. Если «nytimes.com» окажется в блок-листе (в этом примере мы предполагаем, что The New York Times заблокирована DNS а не каким-либо другим способом), промежуточное устройство отправит собственный пакет обратно в DNS-серверЭтот пакет будет содержать ложный IP-адрес— то есть IP-адрес, который указывает не на «nytimes.com». DNS-сервер в свою очередь, передает этот ложный IP-адрес Xiaofang, который в конечном итоге отправляется на несуществующий веб-сайт или получает сообщение об ошибке.
Этот метод работает, даже несмотря на то, что DNS-запрос Сяофана, скорее всего, действительно получил ответ от The New York Times сервера, потому что промежуточное устройство находится ближе к DNS-серверу в Шанхае и выиграл гонку у настоящего ответа из-за границы. Как только настоящий ответ попал в DNS-сервер, преобразователь уже зарегистрировал поддельный IP-адрес и не принимал никакой дополнительной (с его точки зрения) нежелательной информации. Например, блокировка IP Этот метод также выигрывает за счёт физических ограничений встроенных в интернет-инфраструктуру Китая.
Китай вероятно начал использовать блокировку DNS в конце 2002 года. Два десятилетия спустя, согласно результатам исследований, в ходе которых было проанализировано 600 миллионов доменных имён, китайские власти блокировали около одного миллиона веб-сайтов с помощью DNSВласти почти наверняка используют только один централизованный список запрещённых веб-сайтов, который они применяют ко всем промежуточным DNS-серверам по всей стране. Примечательно, что централизованный список DNS-блокировок отличается от централизованного списка IP-блокировок. Они частично пересекаются, но каждый из них подвергает цензуре свой набор веб-сайтов.
Глубокая проверка пакетов
Но промежуточные блоки может сделать больше, чем просто нарушить работу DNSprocess. Для пакетов которые выдерживают проверку DNS и блокировку IP— то есть пакеты, адресаты которых не указаны ни в DNS, ни в IP-блокерах, — ожидают дополнительные наборы промежуточных серверов. Эти промежуточные серверы также пытаются определить, куда направляются пакеты, но используют для этого немного другой метод: «глубокую проверку пакетов».
Если проводить аналогию с IKEA, то компьютер, создающий пакеты, — это как IKEA, которая отправляет стол, разбирая его на составные части (ножки, столешницу, винты), упаковывая каждую часть отдельно и отправляя их получателю по отдельности. Это верно, но в этой аналогии упускается важнейшая часть создания пакетов — инкапсуляция. Представьте, что вместо одной коробки каждая часть стола помещается в четыре вложенные друг в друга коробки, причём на самой внутренней коробке указано имя получателя и находится одна из частей стола. На всех внешних коробках есть своя маркировка (например, на одной из них может быть указан почтовый индекс), но ни на одной из них нет никаких указаний на то, что может быть внутри. Пока посылка находится в пути, тот, кто её получит, может увидеть только самую внешнюю коробку или открыть её, чтобы посмотреть, что написано на второй или третьей по величине коробке, и решить, куда отправить посылку дальше. Но только конечный получатель должен добраться до внутренней коробки, увидеть своё имя на внешней стороне и открыть её, чтобы узнать, что внутри.
Точно так же работают пакеты данных в интернете: фактическое содержимое (например, несколько строк электронного письма) вложено в самую внутреннюю часть пакета, невидимую для сети, пока пакет не достигнет адресата. Внешние слои пакета содержат информацию, которая помогает в маршрутизации и выполнении других задач, но, как правило, не даёт представления о фактическом содержимом пакета. промежуточное устройство проведение глубокой проверки пакетов нарушает нормы интернета, открывая эти три внешних блока, чтобы увидеть, что написано во внутреннем блоке: обычно это доменное имя сайта, к которому кто-то пытается подключиться. На рисунке ниже внутренний блок выглядит как зелёная часть «прикладного уровня» пакета, окружённая другими слоями, которые представляют собой внешние блоки, которые китайские цензоры должны открыть, чтобы увидеть пункт назначения (в данном случае «example.com»):
Ни для блокировки IP, ни для блокировки DNS не требуется глубокая проверка пакетовОба этих механизма используют нормальное функционирование интернета для перехвата легко читаемой информации. Это делает блокировку IP-адресов и DNS относительно дешёвой и простой, особенно по сравнению с глубоким анализом пакетовДля этого требуются дополнительные вычислительные мощности. (Представьте, что сотруднику тайной полиции приходится вскрывать три коробки, чтобы узнать имя получателя посылки.)
Блокировка HTTP
Блокировка HTTP нацелена на протокол передачи гипертекста (HTTP), который лежит в основе интернет-коммуникаций. Протокол представляет собой набор инструкций для запроса информации с веб-сайта (или другого онлайн-ресурса), а также для отправки и получения этой информации. Вероятно, вы знаете, что это первая часть многих веб-адресов: «http://www.example.com».
Допустим, Тянью из провинции Гуандун хочет зайти на веб-страницу, расположенную в США. На этой (вымышленной) веб-странице «www.cnbc.com/falungong.html» размещена статья CNBC о запрещённой духовной группе Фалуньгун. Домен CNBC («cnbc.com») не входит ни в китайский чёрный список DNS, ни в чёрные списки IP-адресов, но полный URL-адрес содержит фразу, которую партийное государство обычно подвергает цензуре: «Фалуньгун».
После того как Тянью вводит в браузере адрес «cnbc.com/falungong.html», его компьютер отправляет пакеты с целью подключения к этому веб-сайту. Пакеты (или копии этих пакетов) проходят через DNS и блокировку IP-адресов Механизмы работают без каких-либо проблем. Однако (копии) этих пакетов затем попадают в миддлбоксИ вот тут у Tianyu возникают проблемы. Промежуточные серверы используют глубокую проверку пакетов чтобы прочитать как домен, который хочет посетить Tianyu («cnbc.com»), так и конкретную веб-страницу в этом домене («/falungong.html»). Прокси-серверы HTTP сверяют оба этих параметра со своими списками запрещённых ключевых слов (в которые входят такие термины, как «Фалуньгун», «Фалунь», «Флунь», и многие другие). В данном случае прокси-сервер определяет строку «falungong» как запрещённую.
Именно в этот момент прокси-сервер начинает действовать деструктивно. Прокси-сервер должен прервать дальнейшее взаимодействие между Tianyu и «www.cnbc.com/falungong.html», даже если исходные пакеты Tianyu всё ещё находятся в пути к веб-сайту. Прокси-сервер делает это, отправляя собственные пакеты «перезагрузки» как Tianyu, так и «www.cnbc.com/falungong.html». Пакеты «перезагрузки» делают именно то, что обещают: они сообщают получателю о необходимости разорвать (перезагрузить) соединение. Получив эти пакеты сброса, компьютер Тянью и сервер, на котором размещен сайт «www.cnbc.com/falungong.html», будут действовать в соответствии с интернет-нормами и разорвут соединение.
Опять же, физическое расположение промежуточных серверов в Китае делает этот метод возможным. Даже если «www.cnbc.com/falungong.html» удастся отправить ответ Тянюю, пакеты сброса промежуточных серверов почти наверняка сначала дойдут до компьютера Тянюя. Компьютер Тянюя добросовестно сбросит соединение, а когда придут пакеты от «www.cnbc.com/falungong.html», он просто откажется их принимать.
Что ещё хуже, если Тяньюй попытается повторно подключиться к «www.cnbc.com/falungong.html», промежуточное ПО применит так называемую «остаточную цензуру». В течение минуты или двух после сброса соединения промежуточное ПО отслеживает в сети любые дополнительные попытки подключения между теми же двумя конечными точками (то есть между компьютером Тяньюй и сайтом cnbc.com) и при обнаружении такой попытки отправляет дополнительные пакеты сброса. Остаточная цензура, скорее всего, направлена на то, чтобы негласно обучить интернет-пользователей в Китае даже не пытаться получить доступ к определённым веб-сайтам или информации по определённым темам.
Эти три взаимосвязанные технологии позволяют ключевое слово фильтровать доменные имена с помощью глубокой проверки пакетов выдача пакетов сброса при обнаружении запрещённого ключевого слова и использование остаточной цензуры — применяются с начала 2000-х годов. Из 600 миллионов доменных имён, протестированных исследователями в 2022 и 2023 годах, китайские промежуточные серверы для фильтрации ключевых слов блокировали около 2,4 миллиона ежемесячно. Список ключевых слов для фильтрации меняется с течением времени, чтобы соответствовать реальным событиям и колебаниям популярности в интернете (хотя некоторые ключевые слова остаются под запретом, например те, что связаны с событиями на площади Тяньаньмэнь в 1989 году.) Китайский механизм фильтрации ключевых слов, по-видимому, использует только один централизованный список запрещённых терминов, который применяется ко всем соответствующим промежуточным серверам по всей стране. Опять же, этот список отличается от списка IP-адресов для блокировки или списка DNS-адресов для блокировки, хотя они частично пересекаются.
«Если раньше система в основном препятствовала проникновению чего-либо извне, то теперь перед ней может стоять задача препятствовать проникновению чего-либо изнутри».
Несмотря на то, что фильтрация по ключевым словам используется в Китае уже более двух десятилетий, партийно-государственный аппарат продолжает инвестировать в её совершенствование. Например, в первые несколько лет после внедрения промежуточные серверы для фильтрации по ключевым словам не могли отслеживать обмен пакетами в рамках одного соединения, а их пакеты сброса содержали ряд признаков, указывающих на то, что они были сгенерированы промежуточными серверами. Это означало, что технически подкованные пользователи могли обойти систему, просто игнорируя пакеты сброса, которые явно были сгенерированы промежуточным сервером. Но к 2009 году власти начали развёртывать оборудование, способное отслеживать соединения, хотя такое отслеживание требует больше вычислительных ресурсов и, следовательно, денег. К 2011 году вся система была модернизирована для более тщательного мониторинга каждого отдельного трансграничного соединения. К тому времени мидлбоксы уже начали отправлять более убедительные поддельные запросы на сброс. Эти разработки усложнили обход системы. Тем не менее глубокая проверка пакетов Если говорить относительно, то для этого по-прежнему требуется много ресурсов, поэтому Пекину нецелесообразно использовать его повсеместно. Исследователи из материкового Китая продолжают работать над поиском более эффективных способов проведения глубокой проверки пакетов.
Помимо операционных улучшений, власти также (по всей видимости) отказались по крайней мере от одной основной функции системы фильтрации по ключевым словам. Система проверяла не только доменные имена, указанные в пакетах, но и содержимое самих пакетов, например текст веб-сайта или электронного письма. (Если провести аналогию с четырьмя вложенными друг в друга коробками IKEA, это равносильно тому, чтобы открыть самую маленькую коробку и посмотреть, что внутри.) Как можно себе представить, это относительно медленный и ресурсозатратный процесс, который на практике часто приводил к сбоям. Возможно, именно поэтому государство-партия отказалось от него.
Но одно из самых важных, хотя и не получивших широкого распространения, концептуальных изменений в цензуре на сетевом уровне В последние годы сфера его полномочий расширилась. На протяжении большей части своей истории система сетевой цензуры китайского правительства была направлена в первую очередь на предотвращение попадания нежелательной иностранной информации к китайским интернет-пользователям. Усилия по наблюдению или ограничению коммуникации в обратном направлении — например, попытки помешать жителям Тибета и Синьцзяна контактировать с внешним миром — легко достигаются за счёт наблюдения на уровне сервисов, когда компании или даже чиновники напрямую контролируют отдельные аккаунты. Власти также могут контролировать устройства отдельных лиц, вручную проверяя их. Такие усилия, как правило, были направлены на конкретные группы людей или географические регионы.
Однако в последние годы китайское правительство использует свою систему сетевой цензуры, чтобы помешать международным пользователям интернета получать доступ к информации внутри Китая. Оно вносит изменения в DNSНапример, система теперь не позволяет никому за пределами Китая добраться хотя бы до одного правительственного сайта Китая. Кроме того, в 2021 году исследователи обнаружили, что для определённых ключевых слов промежуточные серверы сбрасывали соединения только в том случае, если ключевое слово было в пакете, отправленном из-за пределов Китая в Китай. Может показаться, что это незначительное изменение, и если его использование не получит дальнейшего распространения, то так оно и будет. Но его появление связано с более масштабными изменениями в политической обстановке и свидетельствует о растущем недовольстве нынешней администрации нерегулируемым и неконтролируемым международным обменом. Если раньше система в основном препятствовала проникновению «чужого», то теперь перед ней может быть поставлена задача препятствовать проникновению «своего».
Блокировка HTTPS
Конечно, интернет-технологии, особенно те, что связаны с конфиденциальностью и безопасностью, тоже не стоят на месте. За последние 20 лет разработчики постарались внедрить шифрование в повседневную работу в интернете. Всё началось с появления HTTPS (более безопасной версии протокола, который ваш компьютер использует для подключения к веб-сайту и который вы видите в левой части адресной строки браузера, когда читаете эту статью). HTTPS шифрует самый внутренний слой каждого пакета, скрывая как основное содержимое пакета, так и доменное имя, которое фильтрует промежуточные серверыиспользуется для цензуры. (Если провести аналогию с коробкой IKEA, то это всё равно что обернуть самую внутреннюю коробку упаковочной бумагой и плотно заклеить всё упаковочной лентой, скрыв надпись на внешней стороне коробки и значительно усложнив её вскрытие.) Хотя протокол HTTPS был разработан в 1994 году, веб-сайты начали массово использовать его только в 2010-х годах.
Внедрение HTTPS на короткое время затруднило цензуру на сетевом уровне Исследование 2017 года показало, что КНР, судя по всему, вообще не проверяет и не фильтрует HTTPS-трафик. Но протокол HTTPS всё равно должен каким-то образом передавать доменное имя предполагаемого пункта назначения. Для этого он отправляет доменное имя на новом этапе процесса подключения, но не шифрует его. Поэтому к 2019 году Китай внедрил дополнительные промежуточные серверы для фильтрации по ключевым словам, которые просто нацелены на этот незашифрованный элемент — поле «идентификация имени сервера». Это означало, что власти снова могли блокировать HTTPS-трафик, отслеживая запрещённые ключевые слова в поле идентификации имени сервера, которое содержало доменное имя получателя.
Затем интернет-инженеры повысили ставки, зашифровав это поле и создав «зашифрованную идентификацию имени сервера». Это нововведение грозило свести на нет большую часть сетевой цензуры в Китае — просто не было простого способа прочитать зашифрованное поле идентификации имени сервера. Это настолько встревожило Пекин, что с середины 2020 года власти просто блокировали любой пакет (и, следовательно, любое соединение), в котором использовалась зашифрованная идентификация имени сервера, хотя ESNI так и не получила широкого распространения по всему миру.
Массовая блокировка целой технологии представляет собой значительный сдвиг в тактике цензуры. Ранее китайские цензоры смирились с тем, что не могут контролировать интернет-трафик, и решили, что недостатки «блокировки всего» перевешивают риски «блокировки ничего». Но поскольку идентификация зашифрованных серверов по имени ещё не получила широкого распространения, чиновники явно решили, что могут пойти на этот шаг без особых экономических последствий.
Таким образом, цензура на сетевом уровне может блокировать как конкретные веб-сайты, так и определённые технологии, помогая партийному государству не допускать «опасную» информацию, о которой они уже знают, а также потенциально «опасную» информацию, которую они не могут прочитать. Таким образом, она также способствует реализации более масштабного проекта — метацензуры. Например, Google Play Store недоступен в Китае из-за блокировки DNS и фильтрации по ключевым словам. Всё, что китайский пользователь может скачать из Play Store, также недоступно. Это избавляет Пекин от необходимости индивидуально оценивать все приложения, размещённые в Google Play (где нет такого жёсткого процесса утверждения, как в Apple App Store). Вместо этого простая блокировка «google.com» гарантирует, что хаотичная, непроверенная масса потенциально подрывного программного обеспечения останется за пределами китайского киберпространства.
