May 13, 2019

Чем "суверенный интернет" отличается от Китайского Файерволла

Сто тридцать раз уже рассказывал, но мне снова и опять задают этот вопрос. Потому, не вдаваясь в целеполагание и бред "разработчиков закона", я хочу на картинках показать техническое отличие по ровно одному пункту — "установка специального оборудования для противодействия угрозам".

Ряд экспертов (в том числя я) предполагают, что это самое "оборудование" будет DPI. Что такое DPI в данной статье рассматривать не буду. В Wikipedia есть описание на русском языке. Не нравится Википедия — ищите в Гугле.

На самом деле, о том, что это будет именно DPI говорили и сами "авторы", включая замминистра Носкова — Иванов. И Жаров говорил. И кто-то там еще. Потому, примем "намерение установки DPI" за установленное допущение, с высокой вероятностью реализации.

И еще нам потребуется допущение о том, что "Великий Китайский Файерволл" — тоже DPI. Ну, просто для того, чтоб установить логическое тождество между архитектурами.

Но более подробно прочитать, как работает GCFW можно в одной моей старой статье на Nag.ru: https://nag.ru/articles/article/32079/zolotaya-tsenzura-kitaya-chast-2.html

Архитектура GCFW

Что важно понять об архитектуре, хочется вынести отдельно. А именно: Great China FireWall установлен на границе между Китаем и "всем остальным миром".

То есть, существует внутренняя сеть, которую называют China Net. И существует Global Net — весь остальной мир. И вот между этими двумя сетями и находится "Великая интернет-стена". Весь трафик между этими двумя сетями может проходить только и только через небольшое количество узлов, расположенных на территории Поднебесной.

Можно даже назвать города, где расположены эти узлы:

Интернет-шлюзы доступа в ChinaNet делятся на несколько уровней. Базовые "национального (National) уровня" их три, и они находятся в локациях: Beijing (Пекин), Shanghai (Шанхай), Guangzhou (Гуанчжоу).

Потом, по мере роста трафика, были добавлены шлюзы класса "Core Level", которые расположены в городах: Шэньян (Shenyang), Сиань (Xi"an), Чэнду (Chengdu), Ухань (Wuhan), и Нанкин (Nanjing).

Остальные точки обмена трафиком находятся на "третьем уровне" (Metropolitan Area Network) и подключаются исключительно к уровню "Core Level".

В 2015 году, из-за кратного роста трафика, Китаю пришлось построить еще семь backbone-узлов в городах Чэнду (Chengdu), Ухань (Wuhan), Сиань (Xi"an), Шэньян (Shenyang), Нанкин (Nanjing), Чунцин (Chongqing), и Ченджоу (Zhenzhou), часть из которых "подняли" с уровня "Core Level" до "National", часть построили заново.

В общем, чтоб не запутаться, сейчас (на момент написания более свежей информации не нашел) в Китае ровно 10 точек обмена трафиком между ChinaNet и "остальным миром".

Нужно отметить, что китайская цензура гораздо "злее", чем российская (пока). Ибо внутри страны, если вы решите завести вебсайт, то вам придется получать специальную лицензию ICP License. Вот такую:

Как получить лицензию можно почитать, например, на сайте Microsoft

Или на нативном сайте органа, выдающего такие лицензии. На китайском, разумеется.

Влияет ли наличие Файерволла на общую мировую связность абонентов, находящихся на территории Китая?

Да, влияет. Были проведены десятки экспериментов. Тысячи измерений. Я сам проводил такие измерения в том числе.

Как бы вам не говорили разработчики газенвагенов, ссылаясь на "контроль флоу, а не на контроль каждого пакета" или архитектуру "зеркалирования трафика" — нужно понять одну простую вещь:

Каждое устройство, которое стоит на маршруте прохождения увеличивает задержки, потери пакетов и джиттер.

Собственно, вот одно из таких измерений. Которое показывает следующую картину:

Это результаты измерений до "американских сайтов" (не находящихся в "черных списках" по китайским законам). И прекрасно видно, что по сравнению с Гонкогом, где нет "Великого Файерволла",задержки в 2,7 раза больше. Как и потеря пакетов — в 40 раз. То, что для маршрута США-США эти показатели еще в разы лучше — объяснять не нужно.

Верна и обратная ситуация — доступность к сайтам в Китае из США аналогична:

Задержки и потери пакетов _до_ китайских сайтов в динамике во время измерений:

Это и есть "работа файерволла". И еще раз повторю: отсылки на "оптимизацию работы DPI" — говно на палочке и не выдерживает критики. DPI это "глубокая инспекция пакетов" дословно. И оно будет работать тем медленнее, чем больше список заблокированных сайтов. Для того, чтоб убедиться, что китайские сайты действительно работают медленнее, не нужно быть большим специалистом по сетям — достаточно попробовать воспользоваться любым нативным китайским сервисом с доменом .cn

Ну, например, на поисковик Baidu и поискать что-то на китайском.

В настоящее время, количество блокируемых в Китае ресурсов доподлинно не известно (нет общего реестра), но общественный мониторинг показывает следующую картинку:

Источник: https://en.greatfire.org/analyzer

Чем отличается архитектура блокировок в России и Китае

Все очень просто: если китайские власти фильтруют только то, что в Global Net, то российский "суверенный интернет" будет блокировать все. Вообще все. Потому что оборудование, очень похожее на то, что ставится "на границе ChinaNet и GlobalNet", в России планируется устанавливать на каждом операторе.

Схему я рисовать не буду. Просто представьте, что задержки "как у китайцев" возникают не на границе, а у каждого оператора. Включая вообще любую автономную систему, если следовать "букве закона".

Но я могу показать сложность организации сетей в России на примере Ростелекома:

Или вот Транстелеком (картинка от 2017 года)

При этом, количество ресурсов в блокировках имени Роскомнадзора не сильно отличается от китайского списка: