1. колатеральних втрати
2. IP blocking
3. TCP Reset
4. Блокування по DNS
5. Більш складні схеми цензури

У другій частині опусів про пристрій "Великого китайського фаєрвола" розберемо техніко-економічну складову системи, і спробуємо зазирнути через стіни. Чи можна обійти "вогненну інформаційну стіну", навколишнє Китай?

І відразу відповім на питання, позначений в анонсі: стіну обійти можна. Розповідь про це є в першій частині серіалу , Про те, як "папа GFW" Фань Біньсінь публічно продемонстрував спосіб обходу на конференції в Харбіні - відкрив VPN і зайшов на заблокований сайт.

Правда, останній рік китайські телеком-чиновники посилили боротьбу з VPN-операторами, яких в Китаї розвелося сила-силенна, що логічно. Але "боротьба" ведеться тільки з легальними сервісами, які зробили бізнес на захист даних і приватності користувачів.

Наприклад, тільки за півроку 2017 го року були закриті десятки провайдерів, що надають послуги VPN-з'єднань. У одного з найбільших з них, GreenVPN , Були десятки мільйонів клієнтів і мільйони доларів обороту на місяць.

Тепер на сайті висить оголошення:

Короткий переклад:

"Ми більше ніколи не зустрінемося. GreenVPN закривається з 1 липня 2017 року».

Далі йдуть питання щодо повернення грошей за послуги і кнопка "Відмовитися від абонентської плати". Причому, якщо ви відмовитеся, то ...

Те вам запропонують підключитися до іншого сервісу, який знаходиться поза зоною юрисдикції китайської цензури.

Ну, а хто відмовиться?

Уявіть собі 730+ мільйонів користувачів інтернету, з яких вже в 2015 році про існування такого сервісу, як VPN знали не менше половини ( дані опитування, але закриті за пейволлом , Але є ще GlobalWebIndex і журнал Wired, які підтверджують цифру ), А фактично використовували не менше третини. Порахували? Це 243 мільйони користувачів. Прописом - двісті сорок три мільйони. Навіть якщо зібрати з них по долару на рік, це вже значна сума, на яку знайдуться бажаючі, незважаючи на проведення XIX з'їзду КПК , Яке планується восени поточного року.

Ну, і вважається, що основний спосіб цензурування знаходиться "всередині користувача". А щоб громадяни Піднебесної не забували, що необхідно утриматися від поспішних висновків і надмірно емоційних висловлювань в соціальних мережах, існує ціла армія "умаодан", які при необхідності пояснять політику партії.

Втім, ми знову відволіклися на гуманітарщини, а обіцяна була технічна сторона.

Отже, проект Golden Shield, він же Great Firewall of China (GFW) є найбільшою в світі системою цензурування інтернет-вмісту на магістральних мережах передачі даних. Ця система спочатку централізована і влаштована як "фільтр-на-шляху". GFW може відстежувати і "фарбувати" трафік, тобто позначати окремі пакети спеціальним чином. Але система не може в принципі заблокувати доставку пакетів в процесі передачі від джерела і до місця призначення.

Важливо зрозуміти головний архітектурний принцип "Золотого щита": це буквально firewall між "внутрішнім інтернетом Китаю" і рештою світу. Вся зв'язок між Піднебесної і рештою світу проходить тільки і виключно через "спеціальні сервери", встановлені в встановлених законом точках обміну трафіком. І все обладнання належить державним компаніям, яких, за великим рахунком, дві: China Telecom і China Unicom. Ось повний список організацій, які мають право на транскордонний трафік:

1. China Academy of Information and Communications Technology;
2. China Telecommunications Corporation (aka China Telecom);
3. China Mobile Communications Corporation (aka China Mobile);
4. China United Network Communications Group Co., Ltd. (Aka China Unicom);
5. China Radio and Television Network Co., Ltd .;
6. CITIC Networks Co., Ltd.

Разом - 6 (шість) компаній, з яких одна урядова освітня організація, одна урядова медіакорпорація, а решта, по суті, афілійовані з урядом компанії.

Ось є така, досить застаріла схема мереж Китаю від China Telecom:

Все, що всередині Китаю - називається ChinaNet і, так чи інакше, контролюється урядом Китаю. Все, що зовні - це Global Service, і має підключатися тільки і виключно через шлюзи GFW. Глобальна зв'язність малюється приблизно так :

Інтернет-шлюзи доступу в ChinaNet діляться на кілька рівнів. Базові "національного (National) рівня" їх три, і вони знаходяться в локаціях: Beijing (Пекін), Shanghai (Шанхай), Guangzhou (Гуанчжоу).

Потім, у міру зростання трафіку, були додані шлюзи класу "Core Level", які розташовані в містах: Шеньян (Shenyang), Сіань (Xi "an), Ченду (Chengdu), Ухань (Wuhan), і Нанкін (Nanjing).

Решта точки обміну трафіком знаходяться на "третьому рівні" (Metropolitan Area Network) і підключаються виключно до рівня "Core Level".

У 2015 році, через кратного зростання трафіку, Китаю довелося побудувати ще сім backbone-вузлів у містах Ченду (Chengdu), Ухань (Wuhan), Сіань (Xi "an), Шеньян (Shenyang), Нанкін (Nanjing), Чунцин ( Chongqing), і Ченджоу (Zhenzhou), частина з яких "підняли" з рівня "Core Level" до "National", частина побудували заново.

Загалом, щоб не заплутатися, зараз (на момент написання більш свіжої інформації не знайшов) в Китаї рівно 10 точок обміну трафіком між ChinaNet і "рештою світу".

Пропускається через ці вузли трафік - величезний. Уявіть собі 730 мільйонів абонентів з середньою швидкістю 3,7 mbps (це "зовнішня" швидкість - "внутрішня", в два рази вище - можна погратися з цифрами на карті AKAMAI ) І близько 100 млн. Виданих APNIC IP v4 адрес.

Вартість будівництва точок доступу - засекречена. Але оціночні суми по експлуатації вузлів, хоч і розходяться в рази, але є відомості (на китайському) , Що тільки на першому етапі в 2002 році, розробка проекту обійшлася в 3,7 мільярда юанів. Бюджет "до запуску" оцінювався в 0,8 мільярда доларів. Без обліку, повторюся, експлуатаційних витрат та розширення інфраструктури.

3,7 мільярда юанів, це 32,8 мільярда рублів, в поточних цінах.

Плюс, на останнє розширення "Core Level" вузлів в 2015-му році було оціночно виділено не менше 470 мільйонів доларів.

Зрозуміло, що за все розплачується кінцевий споживач, і для такого великого ринку "зайвий" мільярд доларів, це крапля в морі. Ну, розподілили на всіх один-два долари витрат в рік на кожного абонента. А що не так-то?

колатеральних втрати

Але справа в тому, що витрати бувають не тільки прямі фінансові, а й, наприклад, ось такі:

Це втрати продуктивності роботи мережі, які виміряли і в компанії Tthousandeyes . Тобто, для кожного користувача Golden Shield створює накладні витрати у вигляді втрати пакетів, зростання затримок і джиттера.

Всі, хто хоч раз намагався спілкуватися по фейсбуку і скайпу з китайськими партнерами, то напевно зазначив, що якість зв'язку дещо гірше ... Ось тому.

Як вони це порахували?

Вельми стандартно, за допомогою спеціальних зондів, які були встановлені в десятках китайських міст добровольцями.

Крім того, точно такі ж зонди з аналогічними прошивками і логікою, були встановлені в інших містах Південно-Східної Азії - в Гонконзі, Японії, Індії і т.п.

Зонди абсолютно стандартні. Приблизно ось такі:

Ось про ці конкретно зондах я обов'язково напишу найближчим часом.

А ще, в цих приладах ви можете виявити схожість з "Ревізором". Але очевидно, що падіння базових параметрів якості Мережі в рази на "іноземних маршрутах" не просто так, а по конкретних причин:

Блокування здійснюються за допомогою трьох основних методів:

1. Банальна блокування IP-адрес (і цілих IP-блоків);
2. DNS tampering and hijacking - підробка DNS;
3. Deep packet inspection - більш свіжа тема;
4. Фільтрація запитів;
5. Самоцензура - до сих пір найефективніша система.

IP blocking

Блокування IP-адрес - це найпростіший, дешевий і доступний навіть китайцям спосіб технічної цензури. На прикордонних маршрутизаторах встановлюємо нехитрі правила, за якими всі пакети з "чорного списку" просто йдуть в DROP. І найбільш трудомістким тут буде якраз підготовка такого переліку.

Але нагадаю про цілу армію "умаодан" з першої частини статті, і вам стане зрозуміло, що це як раз взагалі не проблема - на сьогодні розмір китайського black list оцінюється в 800 тисяч IP-адрес, серед яких є і New York Times, і публічний DNS від Google (8.8.8.8). Хоча, звичайно, ніхто точно не рахував.

Деяка статистика є ось тут (а також інструменти перевірки і тестування конкретного адреси), але там мова йде не про конкретні адреси, а дещо ширше:

Схема блокування IP-адрес стандартна, з використанням BGP-маршрутизаторів:

Цікава схема реалізації блокувань влаштована таким чином, що всі пакети, які відправлені по IP-адресами в чорному списку, просто Дропана. Тобто, на відміну від російської цензурщіни ніхто не показує заглушок, що, мовляв, "ви спробували зайти на заборонений ресурс", а просто при зверненні до заблокованих адресами вам покаже "вічну завантаження". Браузер відправив запит, запит прилетів до Фаєрвол і там ... загубився. І бідний браузер буде чекати відповіді, як соловей літа, поки не відбудеться подія Time Out.

І це ще не все! Справа в тому, що проходження пакетів в зворотну сторону не блокуються. Тобто, трафік, наприклад, UDP цілком може приходити з заблокованих адрес. І цим якийсь час користувалися "обхідники". Але, тим не менше, для переважної більшості китайських користувачів це саме по собі вже нездоланну перешкоду.

Блокування по IP-адресами - найпростіше цензурний рішення, яке було зроблено дуже швидко з самого початку "відкриття Інтернету" Китаєм. Існує централізований чорний список, який готується без особливої ​​участі з боку інтернет-провайдерів. Маршрутизація "в нуль" здійснюється на обладнанні, до якого є доступ тільки у "спеціально навчених людей", і таким чином гарантується конфіденційність як списків, так і технології блокування. Та й якогось особливо потужного устаткування для таких фільтрів не потрібно - це ж базовий функціонал досить потужного мережевого обладнання, класу "hi-end".

Ось як-то так виглядає дамп запитів до Гуглу "з того боку Фаєрвол":

Крім того, влада в момент будівництва GFW відразу передбачили, що ніяких заглушок не видається. Тобто, заощадили навіть тут - інакше довелося б будувати цілком собі потужні серверні ферми, які при будь-якому зверненні до Google видавав би сторіночку-попередження. А ви уявляєте, скільки разів ця сторінка видавалася б в день, якщо врахувати, що абонентів сотні мільйонів?

Але проблема блокування по IP цілком собі зрозуміла і відома. Вона називається DNS (тут повинен бути стікер з Телеграма, присвячений РКН-тян).

По-перше, блокування по IP безсила, якщо заблокований сайт буде змінювати в A-записах адреси дозволу доменного імені. І це дійсно відбувалося досить часто з дрібними ресурсами, де аудиторія була китайської.

Проти інтернет-гігантів класу Google або Facebook - це досить ефективно виявилося, але ось проти, наприклад, сайту забороненої в Китаї секти Фалунь Дафа (про всяк випадок, не даватиму адреси - на Наге є деяка кількість неврівноважених читачів і у них можуть відбутися психічні зриви) це просто не спрацьовувало. Сайт просто міняв айпішники кожен день у міру того, як умаодан вносили адреси в чорні списки.

А по-друге, коли все робиться вручну, є шанс щось пропустити. Ну, наприклад, всі ці "атаки на ДНС", які вразили Рунет в червні, китайці відчули ще в далекому 2008-му році. Той же Фалунь часто міняв IP в записах DNS, а "офіцери інформаційної безпеки" тут же міняли блек-листи. І в один прекрасний момент в чорному списку опинився IP-адреса Массачусетського Технологічного. І все б нічого, але як раз в цей момент проводилася якась важлива зустріч "на вищому рівні", де MIT повинен був щось там доводити на рівні уряду і надав масу навчальних курсів (MOOC) на китайській мові, отримавши від уряду Китаю пристойні гроші. А сайт виявився заблокованим.

Крім того, блокування по IP, навіть коли ніхто не звертає уваги на бічні втрати у вигляді заблокованих цілих кластерів сайтів у популярних хостерів, не найнадійніша. Можна щось пропустити по "альтернативних маршрутах". Що і сталося, знову-таки в 2008-му, коли в Китаї раптово став доступний YouTube через, що Google ... просто поставив купу Google-кешей в Пакистані.

TCP Reset

Оскільки блокування "по айпі" показала себе не найкращим чином, а також із зростанням реал-тайм трафіку UDP, китайські архітектори "Стіни" вирішили виправити систему "відправлення запитів в нуль" додаванням блокування вхідних пакетів.

Для цього використовували схему, яку розробляли для корпоративного сегмента, а саме Intrusion Detection System . Ось так ця схема виглядає:

Суть роботи такої схеми досить проста: ключовим елементом є пристрій "wiretap" - "прослушка". По суті, це звичайний міжмережевий екран, який направляє копії кожного пакетика на більш інтелектуальну машинку IDS.

І ось вже IDS перевіряє пакети на легітимність. Якщо по якихось ознаках пакет не проходить, то клієнтові, якому даний пакет направляється, шле TCP Reset, тобто скидання з'єднання.

Поясню (для тих, хто прогулював лекції з ПД): кожен TCP-пакет в рамках з'єднання несе заголовок. У кожному з них є біт прапора скидання (RST). У більшості пакетів цей біт встановлений в 0 і нічого не означає, але якщо він встановлений в 1, це означає, що одержувач повинен негайно припинити використовувати дане з'єднання: не посилати пакетів з поточним ідентифікатором (на поточний порт), а також ігнорувати всі наступні пакети цього з'єднання (згідно з інформацією в їх заголовках). По суті, скидання TCP моментально розриває з'єднання.

Схема зручна тим, що якщо на якомусь із двох елементів системи відбувається збій, то з'єднання все ж буде встановлено. Все ж пріоритет в існуванні "глобальної мережі інтернет" в тому, щоб-таки дані передавалися. Але при працюючій схемі користування будь-яким мережевим ресурсом, що знаходяться в "чорному списку", буде дуже складно, навіть якщо IDS буде пропускати деякі пакети - сесії будуть валитися, з'єднання перериватися.

Причому, у такої схеми є більш неприємні наслідки - з деякою часткою ймовірності клієнт може отримати TCP Rst взагалі по всіх відкритих в даний момент часу встановленим з'єднанням, що несе ще й досить неприємні виховні функції, коли користувачі починають взагалі побоюватися яких-небудь "неправильних ресурсів ", оскільки зв'язок може бути припинена не тільки в браузері, а й, наприклад, під час мультимедійної сесії і / або телефонної розмови.

Дослідження "Великої Китайської Інтернет-стіни" зсередини показують, що фільтрація по схожими сценаріями частіше відбувається на рівнях взагалі "Автономних Систем", а не на прикордонних маршрутизаторах. Але не завжди. Оскільки дана схема вимагає величезної кількості обчислювальних ресурсів, то кожен пакетик з генерованого сотнями мільйонів абонентів трафіку потрібно перевірити на кошерность.

Тому досить велика кількість фільтруючих пристроїв класу IDS розташовані в мережах на прикордонних і опорних AS, які підключаються до зовнішніх мереж, так як вони можуть найбільш легко служити в якості точок трафіку.

Тут ще треба зробити застереження, що приватні та незалежні провайдери в Китаї існують. І досить великі за європейськими мірками. Ну, тобто, це не тільки China Telecom і China Mobile. Є ще оператор, наприклад, Unicom. Це "велика китайська трійка".

Але є ще, наприклад, оператор Great Wall Broadband Network Service Co., Ltd, який займає нішу, схожу з російським Дом.ru. Будує мережі за технологією Ethernet в великих китайських містах на сході та центральній частині країни і мав на 2015 рік 15 млн. Абонентів. Штаб-квартира в Пекіні. Скільки там, говорите, абонентів у "національного чемпіона"?

Існують ще й сотні дрібних провайдерів "регіонального значення". І зовсім якась величезна кількість зовсім дрібних нішевих ІСП "одного будинку". Причому, якщо ви бували хоч раз на китайському, наприклад, ринку, то можете уявити ці "дрібні конторки". Вони дрібні тільки в порівнянні з гігантами класу China Telecom, а якщо поставити їх поруч з російськими регіональними операторами, то порівнювати буде навіть немає з чим.

Тому і в схемах включення GFW є деякі винятки. Ось ті ж два найбільших китайських інтернет-провайдера відрізняються один від одного підходами до побудови цензури. Зокрема, CNC Group (що належить China Unicom) розміщує більшість своїх фільтрів на магістралі. При цьому ChinaNet (що належить China Telecom), в силу колосального обсягу Всекитайського трафіку, розміщує фаєрволли в основному на власних регіональних мережах, які мають власні "автономки".

Але, ще раз повторюся, фільтри і все, що пов'язано з цензурою, має місце бути тільки і виключно на мережах "великий китайської трійки". Той же GWBN ніяких фільтрів у себе не встановлює, але при цьому з метою передачі транскордонного трафіку має право підключатися тільки і виключно до "трійці".

Що призводить до досить цікавим ефектів.

Ось буквально перед здачею статті в публікацію, один читач телеграм-каналу "ЗаТелеком" (підписуйтесь, до речі) надіслав Трейсі до різних заблокованих в Китаї ресурсів.

До Телеграма шлях виглядає так:

А до Google - так:

Чому так сталося?

Пояснюю. Мережа 183.194.0.0-183.195.255.255 Належить China Mobile в Шанхаї. Саме там и находится ІНСАЙДЕР. Далі пакети відлітають на бекбоном в Пекіні, де і знаходиться головний шлюз Чайна Мобайл з ЧайнаНет в глобальний інтернет.

Тільки телеграм в Китаї блокує по IP-адресами все автономки (так, у телеграм є власна AS12301 , Базується в Угорщині), а Google, очевидно, блокується більш хитрим способом з використанням IDS та іншого шаманства, тому що маршрут йде на AS58453 (теж China Mobile), а потім доходить до автономок Гугла, але з дивними петлями в приватних адресних просторах.

При цьому, відповідь як би приходить, але зв'язку з Гуглом все ж немає.

Блокування по DNS

Дуже схожа на "російську цензуру" схема. Виглядає ось так:

Зміна записів A-типу в доменних іменах не так вже й тривіально. Тому архітектори "Великого Китайського фаєрволла" передбачили й такий тип блокувань. У поєднанні з блокуванням IP-адрес, звичайно.

У приборканні DNS використовується фальсифікація відповіді, що повертається DNS-сервером, або за допомогою навмисної зміни, або буквально "отруєння" DNS.

Блокується сервер може мати будь-який IP-адреса, записаний в CNAME на кореневих DNS-серверах, авторитетних для "всієї Інтернету". Але не в ChinaNet, де є власні "кореневі DNS".

В результаті, при зверненні користувача, наприклад, до підцензурної доменному імені twitter.com, користувачеві видаються помилкові відповіді. Найчастіше ті чи інші знову не існуючі, щоб користувач просто дуже довго чекав відповіді, але не дочекався б. Використовувані разом тактики "DNS-отрути" і "блокування IP-адрес" дозволяє досить ефективно блокувати підцензурні сайти і сервери, як на рівні домену, так і на рівні IP.

При цьому, "DNS-отрута" використовувалося не тільки для блокування контенту, але і для просування "вітчизняного виробника". Наприклад, в 2002 році при запиті google.cn користувачів редирект на Baidu. Що зіграло досить важливу роль в просуванні головною пошукової системи Китаю.

Але крім тривіального втручання в DNS-записи, маршрутизатори GFW ще вміють блокувати підцензурні запити, підміняючи DNS-запити з забороненими ключовими словами, видаючи підроблені DNS-відповіді.

Дослідники "з того боку" виявили, що при запитах, які входять в стоп-лист з приблизно 15 тисяч слів, DNS на бордер-автономку роблять ін'єкції підроблених DNS-відповідей, що призводить до успішної блокування інтернет-ресурсів, навіть якщо користувачі використовують сторонні DNS-сервери за межами країни. Це пов'язано з тим, що умаодан ретельно переглядають IP-адреси DNS-Резолвер в інтернеті і своєчасно вносять будь-які подібні сервіси в блек-листи. При цьому всі "національні DNS-сервери" ретельно і ніжно правляться на предмет некошерних ресурсів.

Перші повідомлення про DNS-ін'єкціях з'явилися ще в 2002-му році, коли з'ясували, що практично всі DNS-відповіді підробляються і отруюються. У 2007 році DNS-отрута стала повсюдною, і з'явилися фільтри по ключовим словам. При цьому ніхто всередині не забороняє створювати кешуючий DNS-сервери, але кореневих для кеша повинен бути тільки "схвалений міністерством громадської безпеки", із запропонованого списку DNS-серверів.

специфічні деталі пристрою китайських DNS-отруйників можна почитати тут.

Зрозуміло, така схема має побічні ефекти у вигляді колатеральних втрат серед мирного населення. Але ніхто на це зазвичай не заморочується - ну, заблокували разом з Твіттером (умовно) ще пару тисяч сайтів, ну і що. Іноді трапляються і факапи, як зі згаданим випадком з онлайн курсами від MIT. Але тоді втручаються ручним керуванням, а постраждалим ресурсів "настійно рекомендують" змінити реквізити доступу.

За процесом блокувань же стежить ціла армія як професійних військових мережевих інженерів, так і сотні тисячтрехрублевих ідейних громадян.

Правда, іноді дістається тим країнам, які мають IP-транзити через Китай. Але і це не біда, а проблеми тих країн, які мають IP-транзити через Китай.

Найважче доводиться блокувати ресурси, які використовують DNSSec. Але оскільки поки ця технологія не сильно-то й поширена (На клієнтської частини - а так-то все ОК ), То вирішувати цю проблему не поспішають.

Точно також, як і проблему HTTPS.

Більш складні схеми цензури

Матеріал виходить занадто об'ємним, і багато хто вже втомилися вникати в подробиці технічної реалізації китайської цензури. Розумію.

Але залишилося зовсім трохи.

Процеси блокування за допомогою DPI, насправді, ми вже описали в розділі TCP Reset. Це, власне, і є DPI в light-версії. Зрозуміло, нікому і в голову не приходить молотити ВЕСЬ китайський транскордонний трафік. Це тільки Роскомнадзор може прийти в голову.

Все набагато простіше. Прослушки (згадані вже Wiretap's) встановлені на практично всіх великих бордер автономних систем. Їх завдання - якраз слухати. Зовсім не обов'язково блокувати ВСЕ tcp-з'єднання 730 мільйонів китайців.

Досить доставити особливо цікавим персонажам трохи неприємностей, які доставляються простим, але ефективним способом "скидання всіх TCP-з'єднань", як тільки цікавий полізе кудись не туди.

А як визначити "не туди"?

Правильно. За ключовими словами. Тим більше що ієрогліфічний китайську мову дозволяє робити це дуже ефективно.

Існує спеціально розроблений список слів, на які цербер IDS тут же скине вам сполуки. Він великий, і, до речі, включає і англійські слова - з обмеженого переліку, звичайно.

Список є не тільки у IDS, а й у найбільших китайських ресурсів з юзер-генерейт контентом. У Байду, Сіно, Тенсент і Вейбі. Здається, я перерахував всі найбільші китайські інтернет-медіа конгломерати. А! Ще Алибаба, звичайно.

Список, зрозуміло, секретний. Але користувачі зуміли розпізнати частина цього словника. А як інакше-то? Після деяких незручностей і банів почнеш розуміти, що до чого.

Хочу відразу попередити співробітників Роскомнадзора і Мінкомзв'язку, які, я впевнений, прочитають цю статтю, що в Росії така схема працювати не буде. І навіть не тому, що "росіяни - вільні люди і звикли говорити прямо і відкрито". Ні, справа в лінгвістичних відмінностях китайського і російського. Російська мова омофонічен не більш китайського, звичайно. Але ось з омографів - в російській мові біда. Всі ці "ображати", "шумахер" та інші словотворення дуже шкодять цензурі. Почитайте обов'язково Вікіпедію про матюки .

Там багато власних назв, пов'язаних з політикою. Усілякі "Тяньаньмень", "Вень Цзябао" тощо. Я не буду писати цих страшних слів, тому що, раптом, прочитає хтось із "китайських товаришів", та й заблокують Наг.

Англійських же слів не так багато - це, перш за все, porn, tits і boobs. Звідки стає зрозумілим, чому китайські туристи, потрапляють в країни з вільним інтернетом, тут же скачують гігабайти на флешки. Це мені в мобільних операторах розповіли - вони спершу зрозуміти не могли, чому такий ажіотаж на трафік в перші дні у новоприбулих. Виявилося, що потім цими флешками просто торгують вже всередині Піднебесної.

Ну, і ось з останніх казусів, мабуть, можна навести приклади:

Буквально на тижні, в Китаї заблокували Вінні-Пуха.

В общем-то, є певна схожість, так.

Ось тут, в китайській Вікіпедії є дуже неповний список цих страшних слів . Ніколи їх не пишіть - тому що, якщо ви думаєте, що китайська цензура може не тільки "захищати китайську ідентичність" пасивними фільтрами, а й цілком собі вдарити.

Нагадаю, що Сунь-Цзи - це найперший у світі теоретик війни. І він - китайський. І він говорив, що "найкраща оборона - це напад" (не впевнений в правильності цитування - самостійно гуглити).

Так ось. З недавнього часу, крім "великої китайської інтернет-стіни" з'явилася не менше велика "китайська інтернет-гармата". Низькоорбітальна.

Працює вона так: якщо з'являється якийсь інтернет-ресурс, який не дуже-то реагує на сигнали китайської цензури, при цьому як би ще всіляко протидіє блокувань (та ж зміна DNS або дзеркала-домени) і / або корисний взагалі для китайської громадськості, то в нього просто стріляють DDoS-атакою.

Просто, але ефективно. Існує цілий алгоритм по виявленню мети і нацеливанию "гармати".

А власне "стріляють" вже ті самі мільйони китайських інтернет-користувачів, причому, самі того не відаючи. За командою "Вогонь!" більшість китайських інтернет-гігантів (Baidu в першу чергу) активують невеликий JS-код на всіх своїх сторінках, який і включає цілком собі легітимний запит до атакованого ресурсу. Але оскільки, я нагадаю, китайських користувачів сотні мільйонів, то всі вони створюють такий потік трафіку, що покласти під Deny of Service можна що завгодно.

Інший варіант ще більш підступний. У Baidu, як і у будь-якого пошукового сервісу є власна служба аналітики. Тобто, лічильники, які у вигляді звернення до JS-скрипту імплементуються на сторінки великої кількості сайтів. Добровільно. Так ось, якщо в ряді випадків (не завжди!) Підміняти JS-код лічильника на JS-код ботнету, то можна створити ще страшніший потік запитів до нещасного ресурсу.

Поки зафіксовано два випадки реального застосування цієї зброї. Один раз проти GitHub, де були викладені хороші придатні матеріали по обходу GFW на прекрасному китайській мові, а також проти ресурсу greatfire.org, приблизно схожої тематики.

Потрібно відзначити, що такі атаки можуть тривати як завгодно довго і з підтримкою на державному рівні, і, нагадаю, за підтримки систем блокування "зворотного трафіку" у вигляді IDS, що знижує ресурсомісткість таких атак в рази і дозволяє не боятися "обратки".

Так що, якщо той же Google спробує провернути щось подібне (навряд чи ймовірність такого наближається до нуля), то "впустити" китайські ресурси надовго навряд чи вдасться - сміттєві запити будуть заблоковані ще "на польоті" на бордер всіх китайських автономок.

Ось так китайці можуть стріляти: