[Robot_NagNews]

Материал:

Во второй части опусов про устройство “Великого китайского файервола” разберем технико-экономическую составляющую системы, и попробуем заглянуть из-за стены. Можно ли обойти “огненную информационную стену”, окружающую Китай?

 

Полный текст

[dburk]

Одна ссылка на всю статью - а остальное додумал?

[wanderer_from]

Мне прислали из EFF пдфку. Скорее всего - где-то опубликовано, но я не искал специально. Приложить не смог - она 5 мегабайт, а приложить можно только 2. Вот! на гуглодиске расшарил.

 

Поискал сейчас. Ну, вот только догадался :)

Да, есть. Опубликовано вот тут

Изменено 19 июля, 2017 пользователем wanderer_from

[rm_]

Тут еще нужно оговориться, что частные и независимые провайдеры в Китае существуют. И довольно большие по европейским меркам. Ну, то есть, это не только China Telecom и China Mobile. Есть еще оператор, например, Unicom. Это "большая китайская тройка".

Подозреваю, хотели написать:

 

Ну, то есть, это не только China Telecom и China Unicom. Есть еще операторы, например, China Mobile.

Два крупных это CT и CU. Если вспоминать про "есть ещё", вот на том месте и должен быть CM.

Но на самом деле википедия нам уточняет что они все три государственные.

Изменено 19 июля, 2017 пользователем rm_

[kaeskat]

Интересно, а как обстоит дело с зашифрованным трафиком куда-нибудь на серверные фермы за пределами Китая? Сразу товарищи домой стучатся?

[rm_]

Интересно, а как обстоит дело с зашифрованным трафиком куда-нибудь на серверные фермы за пределами Китая? Сразу товарищи домой стучатся?

Никто не стучится, но трафик детектится по сигнатурам -- OpenVPN, Tor, даже специальные маскировочные протоколы Tor'а OBFS (!) -- и блокируется, причём судя по всему банится полностью и сам тот удалённый IP с которым происходила "порочная связь", для всех вообще, и насовсем/надолго.

 

SSH работает, но при попытке передать/принять большие объёмы данных по нему (указывающие на использование в качестве VPN), начинает жестоко троттлиться, или блокируется IP (см. выше).

 

Сколь-либо надёжно пока ещё работает ShadowSocks.

[kaeskat]

ИМХО, при таком раскладе им давно уже проще по белым спискам работать:

Во-первых, сколько-нибудь серьезные информационные ресурсы не будут прыгать по IP и размещать в своем домене ересь в понимании китайцев, их можно перечислить поштучно и разрешить.

Во-вторых, выдача поисковых систем и так тотально фильтруется и ориентируется на китайские ресурсы, а иностранные СМИ забанены чуть менее чем полностью.

Наконец, общение с внешним миром в рабочем порядке легко переводится в кошерные форумы/мессенджеры/медиасервисы.

Весь остальной интернет им по сути не нужен.

Для полного кайфа все неразрешенные secure-протоколы банить тупо подряд. Голый http, ибо правильному китайцу нечего скрывать.

[dburk]

Мне прислали из EFF пдфку. Скорее всего - где-то опубликовано, но я не искал специально. Приложить не смог - она 5 мегабайт, а приложить можно только 2. Вот! на гуглодиске расшарил.

 

Поискал сейчас. Ну, вот только догадался :)

Да, есть. Опубликовано вот тут

ну это всё тоже художества в стиле 2000х - резюме - мы не знаем ни как устроено - ни как работает...

[wanderer_from]

ну это всё тоже художества в стиле 2000х - резюме - мы не знаем ни как устроено - ни как работает...

скриншоты с трейсами сделаны были реально из Шанхая буквально вчера. Телега действительно заблокирована, например. Но она работает, если приложение было коннектед раньше. Но веб версия - не работает вообще. И с регистрацией нового юзера - проблемы

 

Есть вайршарковские логи. Вот - держи скриншот, как TCP Retransmition получают на гугль

 

 

И да, надо разбираться. Сидят целые банды, которые расковыривают это все - вон, теже "Тысяча глаз", например, и разбираются.

 

ИМХО, при таком раскладе им давно уже проще по белым спискам работать:

 

на сколько я понял, там такая идея очень даже была. Но не решились.

[kaeskat]

ну это всё тоже художества в стиле 2000х - резюме - мы не знаем ни как устроено - ни как работает...

Ну почему ж не знаем, в общем смысле там всё понятно - ничем их GFW от корпоративных файрволов или провайдерских систем с DPI&IDS не отличается.

Масштаб решения вызывает уважение, но оборудование классическое наверняка стоит - зачем что-то выдумывать, если есть готовое, бери и делай.

А конкретные детали которые под грифом "совсекретно" висят - абстрактно они, конечно, интересны, но практической пользы никакой.

на сколько я понял, там такая идея очень даже была. Но не решились.

Если сначала уже успели соорудить какой-никакой файрвол, то дальше могла сработать инерция мышления - есть же рабочее решение, зачем менять.

[wanderer_from]

Если сначала уже успели соорудить какой-никакой файрвол, то дальше могла сработать инерция мышления - есть же рабочее решение, зачем менять.

не так. Китайцы - кто угодно, но не идиоты и деньги считать умеют. Вести белые списки, так, чтоб что-то развивалось в итоге - это очень дорого и ресурсоемко. Нужно очень много людей. Даже умаодан здесь маловато будет. Ну, или ценой торможения развития экономики, причем, вполне себе заметно.

 

Китайцы придумали другую тему. Как раз вот изучаю.

[wanderer_from]

Увлекшись китайским интернетом, решил идти до конца, и зарегистрировался в Weibo. Начал немного учить китайский. Не думаю, что получится, но вот такие лингвистические казусы:

Иероглиф 网 - сеть (wǎng)

百 - сто, сотня (hé)

合 - близко, рядом (Bǎi)

Если два последних составить 百合 (Bǎihé), то получится "Лилия". Если три вместе, то Bǎihé wǎng - социальная сеть знакомств. Дословно - "сеть из сотен рядом". Что-то типа Тиндера.

 

Кстати, заргистрироваться в Вейбо - тот еще квест. Там же все на китайском!

Но иероглиф 网 - запомните.

Потому что "сеть интернет" (буквально по гуглотранслейту) - 互联网网络 - два раза иероглиф повторяется.

Сетевой инженер - 网络工程师 (Wǎngluò gōngchéngshī)

[Sergey Gilfanov]

Там же все на китайском!

Страничка скармливается хрому(не гулг-транслейту - там немного неудобно получается) с автоматическим переводом. Только, разумеется не Китайский -> русский. А китайский->английский. Результат странный, но пользоваться можно.

[Tosha]

два раза иероглиф повторяется.

ну так логично - сеть сетей :)

[zoro]

У меня друг работает, на Двух мелких провайдера, один района 4800 юзверей, второй торгово-развлекательный-офисный центр, ~1200 пользователей...

Первый фильтрует двумя(горячий резерв) Huawei SIG9800+ сервера управления(PCRF-сервера и NMS все собрано на блейде), который является обязательным как наш СОРМ, и доступ к серверам управления имеет только "Вышестоящий контролирующий орган", Тоже самое и к самому фильтру- также есть доступ "Вышестоящего" но в режиме просмотра...

 

У мелкого провайдера пока стоит "плохая система", Которую уже "Вышестоящие органы" хотят запретить.

Построена она на основе Сервера Linux c DNS сервером (весь DNS трафик блочится- внутри можно пользоваться только этим сервером) в свою очередь DNS берет данные у "проверенного" DNS сервера... И роутера который блочит все по ACL и BGP...

PS. До конца года надо перейти на DPI из разрешенного списка... В основном Huawei, ZTE, и еще

[wanderer_from]

У меня друг работает

а можно как-то с другом связаться? ну там обсудить чекак? Рассказать за Китай подробнее

[wanderer_from]

я тут нарыл еще китайской нормативки, переведенной на английский. Надо третью часть пилить?

[YuryD]

я тут нарыл еще китайской нормативки, переведенной на английский. Надо третью часть пилить?

Конечно. Еще бы и публикнуть правила пользования инетом местных и туристов, они ведь существуют хоть и негласно. На основании чего низзя и почему это не выйдет, можно как-то что-то напридумать.

[Sergey Gilfanov]

Угу. Утащено из читаемого блога:

At the start of July, Xinjiang officials started sending WeChat messages in Uyghur and Chinese to locals, asking them to install the app or face detainment of up to 10 days.

 

Police have also stopped people on the street to check if they installed the app. Several were detained for refusing to install it. Locals are now sharing the locations of checkpoints online, so others can avoid getting arrested.

Какой прогноз будет о том, когда у нас внедрят?

[ne-vlezay80]

У меня друг работает, на Двух мелких провайдера, один района 4800 юзверей, второй торгово-развлекательный-офисный центр, ~1200 пользователей...

Первый фильтрует двумя(горячий резерв) Huawei SIG9800+ сервера управления(PCRF-сервера и NMS все собрано на блейде), который является обязательным как наш СОРМ, и доступ к серверам управления имеет только "Вышестоящий контролирующий орган", Тоже самое и к самому фильтру- также есть доступ "Вышестоящего" но в режиме просмотра...

 

У мелкого провайдера пока стоит "плохая система", Которую уже "Вышестоящие органы" хотят запретить.

Построена она на основе Сервера Linux c DNS сервером (весь DNS трафик блочится- внутри можно пользоваться только этим сервером) в свою очередь DNS берет данные у "проверенного" DNS сервера... И роутера который блочит все по ACL и BGP...

PS. До конца года надо перейти на DPI из разрешенного списка... В основном Huawei, ZTE, и еще

А snort,extfilter,suricata

[jffulcrum]

А snort,extfilter,suricata

У Китая есть свои отечественные производители, коих надо всячески поддерживать.

[Ivan_83]

Какой прогноз будет о том, когда у нас внедрят?

Купи у билайна смарт за 999 руб поставь туда любое говно и предъявляй его сколько угодно. Можно даже на шее повесить как пропуск.

 

На самом деле тема с фуфлонами весьма больная во всём мире: https://kiwibyrd.org/tag/%d1%82%d0%b5%d0%bb%d0%b5%d1%84%d0%be%d0%bd%d0%bd%d0%b0%d1%8f-%d0%bf%d1%80%d0%be%d1%81%d0%bb%d1%83%d1%88%d0%ba%d0%b0/

 

То что китайцы заставляют всех ставить своё шпионское ПО значит ровным счётом ничего, кроме как того что местным дебилам не дают доступа к серьёзным системам а только к той которую они заставляют ставить.

Если бы ты интересовался темой, то знал бы что местные там наверняка ходят с мабилами своих же производителей: хуавея и остальных по меньше.

Зная что это мобилы чисто для местного рынка их троянят прямо с завода по самое немогу, ну бэкдоров там хватает.

Поэтому если бы реально было нужно то тему бы могли спалить и проинсталить что нужно самостоятельно в нужной геозоне привязавшись к сотам, притом хоть скрытое хоть то что там навязывают.

 

Ну а гугл и эпл вообще имеют весь шарик, у них это называется заботой о юзерах, когда они всё юзерское говно постоянно синхронизируют на свои сервера.

[ochesmeshno]

Как там обстоят дела с подсетями сервисов, которые предоставляют vds, например, Digitalocean, OVH и другими? Рвутся ли gre-туннели с ip этих сервисов?