Jump to content
Калькуляторы

Золотая цензура Китая, часть 2

Материал:

Во второй части опусов про устройство “Великого китайского файервола” разберем технико-экономическую составляющую системы, и попробуем заглянуть из-за стены. Можно ли обойти “огненную информационную стену”, окружающую Китай?

 

Полный текст

Share this post


Link to post
Share on other sites

Одна ссылка на всю статью - а остальное додумал?

Share this post


Link to post
Share on other sites

Мне прислали из EFF пдфку. Скорее всего - где-то опубликовано, но я не искал специально. Приложить не смог - она 5 мегабайт, а приложить можно только 2. Вот! на гуглодиске расшарил.

 

Поискал сейчас. Ну, вот только догадался :)

Да, есть. Опубликовано вот тут

Edited by wanderer_from

Share this post


Link to post
Share on other sites
Тут еще нужно оговориться, что частные и независимые провайдеры в Китае существуют. И довольно большие по европейским меркам. Ну, то есть, это не только China Telecom и China Mobile. Есть еще оператор, например, Unicom. Это "большая китайская тройка".

Подозреваю, хотели написать:

 

Ну, то есть, это не только China Telecom и China Unicom. Есть еще операторы, например, China Mobile.

Два крупных это CT и CU. Если вспоминать про "есть ещё", вот на том месте и должен быть CM.

Но на самом деле википедия нам уточняет что они все три государственные.

Edited by rm_

Share this post


Link to post
Share on other sites

Интересно, а как обстоит дело с зашифрованным трафиком куда-нибудь на серверные фермы за пределами Китая? Сразу товарищи домой стучатся?

Share this post


Link to post
Share on other sites
Интересно, а как обстоит дело с зашифрованным трафиком куда-нибудь на серверные фермы за пределами Китая? Сразу товарищи домой стучатся?

Никто не стучится, но трафик детектится по сигнатурам -- OpenVPN, Tor, даже специальные маскировочные протоколы Tor'а OBFS (!) -- и блокируется, причём судя по всему банится полностью и сам тот удалённый IP с которым происходила "порочная связь", для всех вообще, и насовсем/надолго.

 

SSH работает, но при попытке передать/принять большие объёмы данных по нему (указывающие на использование в качестве VPN), начинает жестоко троттлиться, или блокируется IP (см. выше).

 

Сколь-либо надёжно пока ещё работает ShadowSocks.

Share this post


Link to post
Share on other sites

ИМХО, при таком раскладе им давно уже проще по белым спискам работать:

Во-первых, сколько-нибудь серьезные информационные ресурсы не будут прыгать по IP и размещать в своем домене ересь в понимании китайцев, их можно перечислить поштучно и разрешить.

Во-вторых, выдача поисковых систем и так тотально фильтруется и ориентируется на китайские ресурсы, а иностранные СМИ забанены чуть менее чем полностью.

Наконец, общение с внешним миром в рабочем порядке легко переводится в кошерные форумы/мессенджеры/медиасервисы.

Весь остальной интернет им по сути не нужен.

Для полного кайфа все неразрешенные secure-протоколы банить тупо подряд. Голый http, ибо правильному китайцу нечего скрывать.

Share this post


Link to post
Share on other sites

Мне прислали из EFF пдфку. Скорее всего - где-то опубликовано, но я не искал специально. Приложить не смог - она 5 мегабайт, а приложить можно только 2. Вот! на гуглодиске расшарил.

 

Поискал сейчас. Ну, вот только догадался :)

Да, есть. Опубликовано вот тут

ну это всё тоже художества в стиле 2000х - резюме - мы не знаем ни как устроено - ни как работает...

Share this post


Link to post
Share on other sites

ну это всё тоже художества в стиле 2000х - резюме - мы не знаем ни как устроено - ни как работает...

скриншоты с трейсами сделаны были реально из Шанхая буквально вчера. Телега действительно заблокирована, например. Но она работает, если приложение было коннектед раньше. Но веб версия - не работает вообще. И с регистрацией нового юзера - проблемы

 

Есть вайршарковские логи. Вот - держи скриншот, как TCP Retransmition получают на гугль

 

google.pcapng 2017-07-19 19-27-48.png

 

И да, надо разбираться. Сидят целые банды, которые расковыривают это все - вон, теже "Тысяча глаз", например, и разбираются.

 

ИМХО, при таком раскладе им давно уже проще по белым спискам работать:

 

на сколько я понял, там такая идея очень даже была. Но не решились.

Share this post


Link to post
Share on other sites

ну это всё тоже художества в стиле 2000х - резюме - мы не знаем ни как устроено - ни как работает...

Ну почему ж не знаем, в общем смысле там всё понятно - ничем их GFW от корпоративных файрволов или провайдерских систем с DPI&IDS не отличается.

Масштаб решения вызывает уважение, но оборудование классическое наверняка стоит - зачем что-то выдумывать, если есть готовое, бери и делай.

А конкретные детали которые под грифом "совсекретно" висят - абстрактно они, конечно, интересны, но практической пользы никакой.

на сколько я понял, там такая идея очень даже была. Но не решились.

Если сначала уже успели соорудить какой-никакой файрвол, то дальше могла сработать инерция мышления - есть же рабочее решение, зачем менять.

Share this post


Link to post
Share on other sites

Если сначала уже успели соорудить какой-никакой файрвол, то дальше могла сработать инерция мышления - есть же рабочее решение, зачем менять.

не так. Китайцы - кто угодно, но не идиоты и деньги считать умеют. Вести белые списки, так, чтоб что-то развивалось в итоге - это очень дорого и ресурсоемко. Нужно очень много людей. Даже умаодан здесь маловато будет. Ну, или ценой торможения развития экономики, причем, вполне себе заметно.

 

Китайцы придумали другую тему. Как раз вот изучаю.

Share this post


Link to post
Share on other sites

Увлекшись китайским интернетом, решил идти до конца, и зарегистрировался в Weibo. Начал немного учить китайский. Не думаю, что получится, но вот такие лингвистические казусы:

Иероглиф 网 - сеть (wǎng)

百 - сто, сотня (hé)

合 - близко, рядом (Bǎi)

Если два последних составить 百合 (Bǎihé), то получится "Лилия". Если три вместе, то Bǎihé wǎng - социальная сеть знакомств. Дословно - "сеть из сотен рядом". Что-то типа Тиндера.

 

Кстати, заргистрироваться в Вейбо - тот еще квест. Там же все на китайском!

Но иероглиф 网 - запомните.

Потому что "сеть интернет" (буквально по гуглотранслейту) - 互联网网络 - два раза иероглиф повторяется.

Сетевой инженер - 网络工程师 (Wǎngluò gōngchéngshī)

Share this post


Link to post
Share on other sites

Там же все на китайском!

Страничка скармливается хрому(не гулг-транслейту - там немного неудобно получается) с автоматическим переводом. Только, разумеется не Китайский -> русский. А китайский->английский. Результат странный, но пользоваться можно.

Share this post


Link to post
Share on other sites

два раза иероглиф повторяется.

ну так логично - сеть сетей :)

Share this post


Link to post
Share on other sites

У меня друг работает, на Двух мелких провайдера, один района 4800 юзверей, второй торгово-развлекательный-офисный центр, ~1200 пользователей...

Первый фильтрует двумя(горячий резерв) Huawei SIG9800+ сервера управления(PCRF-сервера и NMS все собрано на блейде), который является обязательным как наш СОРМ, и доступ к серверам управления имеет только "Вышестоящий контролирующий орган", Тоже самое и к самому фильтру- также есть доступ "Вышестоящего" но в режиме просмотра...

 

У мелкого провайдера пока стоит "плохая система", Которую уже "Вышестоящие органы" хотят запретить.

Построена она на основе Сервера Linux c DNS сервером (весь DNS трафик блочится- внутри можно пользоваться только этим сервером) в свою очередь DNS берет данные у "проверенного" DNS сервера... И роутера который блочит все по ACL и BGP...

PS. До конца года надо перейти на DPI из разрешенного списка... В основном Huawei, ZTE, и еще

Share this post


Link to post
Share on other sites

У меня друг работает

а можно как-то с другом связаться? ну там обсудить чекак? Рассказать за Китай подробнее

Share this post


Link to post
Share on other sites

я тут нарыл еще китайской нормативки, переведенной на английский. Надо третью часть пилить?

Share this post


Link to post
Share on other sites

я тут нарыл еще китайской нормативки, переведенной на английский. Надо третью часть пилить?

Конечно. Еще бы и публикнуть правила пользования инетом местных и туристов, они ведь существуют хоть и негласно. На основании чего низзя и почему это не выйдет, можно как-то что-то напридумать.

Share this post


Link to post
Share on other sites

Угу. Утащено из читаемого блога:

At the start of July, Xinjiang officials started sending WeChat messages in Uyghur and Chinese to locals, asking them to install the app or face detainment of up to 10 days.

 

Police have also stopped people on the street to check if they installed the app. Several were detained for refusing to install it. Locals are now sharing the locations of checkpoints online, so others can avoid getting arrested.

Какой прогноз будет о том, когда у нас внедрят?

Share this post


Link to post
Share on other sites

У меня друг работает, на Двух мелких провайдера, один района 4800 юзверей, второй торгово-развлекательный-офисный центр, ~1200 пользователей...

Первый фильтрует двумя(горячий резерв) Huawei SIG9800+ сервера управления(PCRF-сервера и NMS все собрано на блейде), который является обязательным как наш СОРМ, и доступ к серверам управления имеет только "Вышестоящий контролирующий орган", Тоже самое и к самому фильтру- также есть доступ "Вышестоящего" но в режиме просмотра...

 

У мелкого провайдера пока стоит "плохая система", Которую уже "Вышестоящие органы" хотят запретить.

Построена она на основе Сервера Linux c DNS сервером (весь DNS трафик блочится- внутри можно пользоваться только этим сервером) в свою очередь DNS берет данные у "проверенного" DNS сервера... И роутера который блочит все по ACL и BGP...

PS. До конца года надо перейти на DPI из разрешенного списка... В основном Huawei, ZTE, и еще

А snort,extfilter,suricata

Share this post


Link to post
Share on other sites

А snort,extfilter,suricata

У Китая есть свои отечественные производители, коих надо всячески поддерживать.

Share this post


Link to post
Share on other sites
Какой прогноз будет о том, когда у нас внедрят?

Купи у билайна смарт за 999 руб поставь туда любое говно и предъявляй его сколько угодно. Можно даже на шее повесить как пропуск.

 

На самом деле тема с фуфлонами весьма больная во всём мире: https://kiwibyrd.org/tag/%d1%82%d0%b5%d0%bb%d0%b5%d1%84%d0%be%d0%bd%d0%bd%d0%b0%d1%8f-%d0%bf%d1%80%d0%be%d1%81%d0%bb%d1%83%d1%88%d0%ba%d0%b0/

 

То что китайцы заставляют всех ставить своё шпионское ПО значит ровным счётом ничего, кроме как того что местным дебилам не дают доступа к серьёзным системам а только к той которую они заставляют ставить.

Если бы ты интересовался темой, то знал бы что местные там наверняка ходят с мабилами своих же производителей: хуавея и остальных по меньше.

Зная что это мобилы чисто для местного рынка их троянят прямо с завода по самое немогу, ну бэкдоров там хватает.

Поэтому если бы реально было нужно то тему бы могли спалить и проинсталить что нужно самостоятельно в нужной геозоне привязавшись к сотам, притом хоть скрытое хоть то что там навязывают.

 

Ну а гугл и эпл вообще имеют весь шарик, у них это называется заботой о юзерах, когда они всё юзерское говно постоянно синхронизируют на свои сервера.

Share this post


Link to post
Share on other sites
Как там обстоят дела с подсетями сервисов, которые предоставляют vds, например, Digitalocean, OVH и другими? Рвутся ли gre-туннели с ip этих сервисов?

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this