С той стороны зеркального стекла. Жизнь за Великим Файрволом и будущее интернета в России

Так уж получилось, что уже почти месяц я живу в Китае, в городе Шеньчжэнь. 

 
Многие неугодные сервисы, такие как Twitter, Facebook, Instagram, Google здесь блокируют, так как они не хотят сотрудничать с китайским правительством. В России движутся в том же направлении, но пока еще находятся в самом начале пути. Тем интереснее посмотреть, как это все работает. Практически, увидеть будущее. 
Сразу оговорюсь, что некоторые технические аспекты я даю с намеренным упрощением, в основном схемы работы все расписаны именно для понимания принципов. 


После того, как начались первые блокировки интернет-проектов Роскомнадзором, многие стали сравнивать то, что происходит в России с Китаем. Я и сам отпускал в Фейсбуке едкие замечания. Посмотрев с другой стороны, я осознаю, насколько наивно это было. 

Ставить рядом российские и китайские блокировки — это все равно что сравнивать низенький заборчик, сквозь который видна противоположная сторона и можно при желании передавать вещи или, поставив табуреточку, перелезть, с трехметровой бетонной стеной с колючей проволокой сверху.


Технически обход блокировок в России — штука элементарная. Блокировка осуществляется по IP адресу, или по домену. Чаще всего после блокировки сервисы благополучно переезжают на другие адреса или домены. В некоторых случаях (например, как в случае с Рутрекером) владельцы ресурсов пишут удобные обертки, которые «вроде как ничего не нарушают», и, при этом, позволяют без проблем достучаться до нужных ресурсов. Новые IP адреса и доменные имена банят долго, обертки не запрещают.  Работает TOR и все возможные способы туннелирования, начиная от простейших PPTP и L2TP вариантов VPN. 


На фоне всего этого разгвоздяйства китайские кибер-полицейские работают как хорошо обученный спецназ. Рассказываю историю.

Перед выездом в Китай установил OpenVPN на свой сервак в Германии (у меня есть там железка у хорошо известного многим провайдера на букву H). Заодно подумал, и закинул его же на свои инстансы на Amazon. 

По приезду попробовал присоединиться и… Потерпел неудачу. Дело в том, что провайдеры Китая анализируют весь трафик, который идет через них (так называемый DPI, Deep Packet Inspection), и блокируют не только IP адреса или домены, а, в том числе, не пропускают и определенные протоколы. Среди них есть и OpenVPN. Ну и, конечно, PPTP, L2TP, IPsec. При этом, компании, которым VPN соединение нужно, пользуются модифицированной версией, которую может расшифровать правительство. 


Конечно, разом запретить все открытые протоколы правительство все равно не может. Например, без SSH китайские компании потеряли бы много денег — в конце-концов, им же нужно работать с серверами по всему миру. Поэтому следующим моим шагом было запихнуть трафик от OpenVPN в SSH туннель. Потом еще настроить удаленный DNS, и так далее, не буду грузить тут вас подробностями, благо инструкций в интернете великое множество.Пару дней все работало прекрасно, правда, пинг был великоват, ну да я все равно не играю в компьютерные игры, так что, мне было практически все равно.

А потом все начало тормозить. Я зашел на сервер — и увидел, что до него пытались достучаться по всем известным уязвимостям с пары десятков китайских IP. Уж не знаю, каким образом китайский кибер-спецназ прознал об этом (а может, сведения о этом VPN появились на каком-нибудь форуме местных хакеров), так что, я от греха подальше убил виртуалку, в которой стоял OpenVPN и перекинул туннель на амазоновский инстанс. 


Через пару часов EC2 ушел в глубокий отказ, мне пришлось ребутить его из консоли. Судя по всему, в него тоже «постучали». Хорошо, что не в мою дверь. Впрочем, по заверениям всех иностранцев, так или иначе проживающих в Китае, случаев арестов лаоваев за использование VPN не было. Мало того, не было и случаев штрафов за публикацию контента в Facebook, или, например, за то, что китайская компания ведет в нем страничку. 
Когда я спросил у пары китайских знакомых, почему это так — они сказали — «ну, правительство не будет препятствовать бизнесу. Что хорошо для бизнеса — то хорошо для Китая. А если прессовать иностранцев и сажать их за их любимые соцсети, то они не будут сюда приезжать. А нам нужно сотрудничество». 


Уж не знаю, правда это или нет.  Познакомились недавно, может, они просто боятся говорить со мной начистоту? Кто его знает. 


Конечно, я нашел себе VPN-сервис, благо их сейчас немало. Все они построены по следующему принципу: у них есть много-много серверов по всему миру, и когда эти сервера банят, то поднимают новые. Так как большинство этих серверов — всего лишь виртуалки, то делается это быстро. Купили у нового провайдера VPS, накатили образ, хоп — уже новая нода. А ПО ссинхронизировало списки с нового сервера. В качестве протоколов используется чаще всего OpenVPN с модифицированными заголовками или туннелирование VPN через SSH/SSL. Я дам ссылки на два сервиса, которые сейчас использую (осторожно, рефссылки, но я буду благодарен, если вы зарегаетесь по ним и подарите мне и себе немного свободного интернета): AirVPN и ExpressVPN

Прихлопывают эти VPN достаточно часто, на форумах часто можно увидеть нытье о том, что что-то из Китая опять не работает. Особенную активность разводят во время всевозможных саммитов. Вот, например, пока я писал этот пост, прихлопнули мою любимую виртуалку в Сингапуре, до которой пинг был всего около 150 мс. Сейчас она не отвечает, хотя, до этого исправно снабжала меня свободным инернетом в течение трех недель. Да, конечно же, «обходы блокировок» с помощью «включения сжатия» в Хроме, VPN в Opera итд итп, не работают. Давно забанили.


Кроме VPN анализируют также посты в соцсетях, HTML странички, и так далее — все это как по ключевым словам, так и с помощью систем анализа смысла.

Главное тут — психологический аспект. Большинство иностранцев, чья работа не связана с интернетом, через полгода-год на эти VPN забила. Ну потому что реально раздражает, что для того, чтобы вылезти в сеть, тебе нужно что-то там включить, подождать, все это обязательно будет тормозить (пинг в 200-300 милисекунд — обычное дело, и это еще хорошо), скорости больше 2-3 мегабит ты все равно не получишь… Те, кто знает китайский, плотно сидят в здешних социальных сетях, остальные… В ВК, конечно же. Судя по всему, у российской соцсетки есть или сервера на территории Поднебесной, или у их провайдера хороший пиринг с Китаем. По крайней мере, абсолютно все другие российские сервисы работают очень медленно (американские — нормально, потому что пиринг с Америкой налажен). 


В общем, это действующая модель того, к чему может прийти Россия, если пойдет по пути запретов. Немногочисленные маргиналы, пролезающие сквозь файрволл абсолютно незаметны и достаточно безопасны на фоне подавляющего большинства, которому получить «сетевую свободу» просто лень. В какой-то момент начинаешь думать «да черт с ней, с этой зарубежной соцсеткой. Платить еще за VPN этот. И фильм нормально не посмотришь, и гифки будут грузиться по 2 минуты...»

Другое дело, что непонятно, смогут ли в России организовать Deep Packet Inspection на соответствующем техническом уровне. Потому что у нас все дорого, или невозможно.Помните анекдот про грешника, который в российский ад попал? У него там каждый день была обязанность — съесть ведро навоза. Но жил он в этом аду, в общем-то, неплохо. Потому что ежедневно было одно и то же — то навоз не завезли, то ведер на всех не хватает.

Ну, это пока. А вообще, мы учимся, да.

тест работы спойлера
Об авторе
Отвечаю за техническую часть блогов ixbt.com
Пишите в личку или на e-mail mp на ixbt.com
+4 1 19541 35
Автор mpanius Рейтинг +74.95 Сила 185.03
Блог Моя техническая жизнь 43 139 RSS

35 комментариев

Булат95
>который в российский ад попал? 

подозреваю, что всё-таки в советский. если бы вы жили в то время, то оценили бы всю прелесть анекдота  :)
mpanius
Я во времена СССР жил на Кубе, мне сложно понять :) Так что, оставим анекдот в этом виде. 
KVV_aka_Vadim14
У наших ментов мозгов на фаерволы с чебурнетами не хватит. Будете комп на эльбрусе в околотке получать с аппаратно вбитыми разрешенными сайтами. Если докажете лояльность.
mpanius
Между Китаем и Северной Кореей выбрал бы первое, все же :) 
KRAW
Тем более у них не будет желания разбираться в родной OS для Эльбруса. Так что это совсем невероятно.
Я скорее поверю, что в будущем будут выдавать комп с какой-нибудь китайской операционкой (вероятно даже с китайским процессором), уже настроенной старшим братом.
mpanius
Зачем? В Китае нормально работает DPI. 99% не высовывается наружу файрволла. 

А использование собственных ОС и процессоров снизит конкурентноспособность китайцев на международном рынке. Они на это никогда не пойдут.  
KRAW
Ну пошли же они на это в самой быстрой суперЭВМ в мире. Сейчас — да, это не реально. Но какие гарантии, что через 10 лет всё также основными будут intel x86-64 и MS Windows.
mpanius
Да через десять лет может уже и компьютеров никаких не будет, одни радиоактивные овцы по выжженым полям. 
zzz130

Это другое, это уже про национальный престиж в высокотехнологичной сфере, что смогли сами полностью сделать платформу, включая процессоры. Ну и потом эти свои проверенные процессоры пойдут в военные системы и все такое.


Наши кстати тоже свои платформы тоже сами делают, но вот процессоры брать приходится у Интела.

zgen
Спасибо!
mpanius
Вам спасибо за чтение. 
zzz130

Google Maps кстати в Китае работает, и сайты в домене RU по HTTPS тоже открываются, но работало все это всегда небыстро, а бывало что и вообще не работало по 1-2 часа, похоже что стена эта тоже не слишком хорошо держит нагрузку… Сложности были с авторизацией по сертификату — тут уже соединение рубилось наглухо.


Еще была проблема с публичным WiFi — во всех приличных местах (сетевые рестораны, моллы и т.д.) для него нужно получить пароль по SMS, но приходит он только на местный телефонный номер :) В местах попроще просто пароль просто говорят, видимо денег не хотят тратить на SMS авторизацию. Китайцы конечно молодцы — где можно сэкономить экономят обязательно :)


В Гонконге особых запретов в части интернета нет, но так понимаю что и перебраться туда просто так не получится — работа и все такое прочее...

mpanius
Google Maps без VPN больше не работает. 

Сайты HTTPS работают нормально (если не запрещены, в таком случае идет просто отлуп от DNS + забанены часть их IP), да.

Из России открывается все медлено потому что у России нет пиринга с Китаем — весь трафик идет через Америку.  

До Гонконга 1,5 часа на метро (с учетом перехода через границу), но там жилье сильно дороже, и вся работа в Шэньчжене.  
zzz130

Да там такое ощущение было, что иногда все подряд начинало открываться еле-еле, но возможно это причуды островного интернета на Хайнане


Ну вот, можно съездить по выходным посидеть в фейсбуке :)


 


P.S. Написали бы пост о тамошней жизни белого человека, как там и что, не переполнено ли метро по утрам, сильные ли пробки, что с медобслуживанием, как цены в целом по ощущениям, не накрывает ли смогом, почем обходится достойное жилье в аренду или купить, каков уровень зарплат белого экспата, не сильно ли много проблем с визой, есть ли планы там закрепиться и остаться и каким именно путем

mpanius
Напишу, все напишу. И видео сделаю, только камера приедет. 
 
lerichi
Tor работает?
mpanius
Большинство IP выходных нод забанено. В общем, можно сказать, что не работает. 
lerichi
Спасибо за статью, позновательно)
Я конечно знал что там всё закрыто, но как то казалось что у всех есть что то типа анонимайзера в браузере и все лазят где хотятю. А там вон как оказывается(
mpanius
Я тоже был несколько, скажем так, удивлен :)
Palex
Великий китайский файервол и с этой стороны не даёт покоя. Ссылки на китайские ресурсы на форумах порой не открываются. В китайских интернет магазинах зачастую не все функции работают или не все картинки отображаются. Да и тот же Таобао открывается медленнее.
mpanius
В 90% случаев причина этого проста — трафик идет через заблокированные ресурсы. Например, всякие там прокси, opera vpn, сжатие трафика google, итп. 

Ну и в любом случае, пиринга у России с Китаем нет, весь трафик через США идет. Так что, все в любом случае будет медленно.  
sawa_goroshkin
Да, это вам не роснепотребнадзор гонять... 
approcher
Рабочий стол китайского интернет-диссидента

шесть  лет   назад

http://magazeta.com/2010/04/gfw-desktop/

mpanius
Ага, читал когда-то, несколько лет назад. 
approcher
Борьба  всё-таки  продолжается.
Copenhagen
Ламерский вопрос наверно, но как они https сайты банят? Пакеты зашифрованы ведь.
mpanius
Если не принимать особых мер к шифрованию, то связка из провайдерского «отравленного» DNS + анализа заголовков TCP пакетов позволяет однозначно идентифицировать, куда направлен трафик, и отрубить его, если это закрытый сайт. 
approcher
А  особые  меры к шифрованию  это  OpenVPN  или  ещё  что-то?
mpanius
VPN с шифрованием (и использование внешнего DNS вместо провайдерского). Правда, обычные пакеты OpenVPN в Китае зачастую просто рубятся, так что, всякие товарищи которые предоставляют услуги VPN, слегка модифицируют протокол, меняют у него заголовки так, чтобы не было понятно, что это такое. 
approcher
Интересно, спасибо за  познавательные  статьи.
approcher
А  вот   тут  SoftEther VPN  представляют  как  трафик, неотличимый от обычного HTTPS

Это позволяет скрывать использование VPN, что актуально для многих стран и регионов. Если между пользователем и VPN-сервером находится межсетевой экран, блокирующий туннельные соединения, протокол SoftEther пройдет незамеченным.

https://finevpn.org/softether-%D1%81%D0%B5%D1%80%D0%B2%D0%B5%D1%80-vpn-%D1%81-dhcp-%D0%B8-%D1%88%D0%B8%D1%80%D0%BE%D0%BA%D0%B8%D0%BC%D0%B8-%D0%B2%D0%BE%D0%B7%D0%BC%D0%BE%D0%B6%D0%BD%D0%BE%D1%81%D1%82%D1%8F%D0%BC%D0%B8/
Последний раз редактировалось
mpanius
В Китае особого толку нет. Забанят IP и все. 
approcher
А  какой IP, внутренний  или  внешний? VPN — инкапсуляция  вроде  внешний  IP  меняет,  может быть типа  через  WebRTC  внутренний  палится?
17092005458757379024@mailru
Связка «домашний роутер с динамическим ip и pptp сервером» пока спасает, хотя pptp работает не ото всюду. И да, дико медленно. Посомтреть почту сгодится, но ютуб это уже утомительно.
A-Gugu
В Грузий DPS давно сделан, но ничего и никого не банят, просто пишут все логи, и в случае чего — хоп и вы уже в суде :) Совсем недавно молодчиков взяли, которые по Телеграму наркоту распространяли.

Добавить комментарий