Великий Китайский Файрвол. Джеймс ГриффитсЧитать онлайн книгу.
которые перенаправляют трафик через другой сайт и маскируют изначальный запрос. Как показала практика, Великий файрвол практически невозможно обойти такими способами: он анализирует сам трафик, а не только исходящий запрос и адрес назначения. Например, если пользователь попытается зайти на ранее не заблокированный сайт с информацией о запрещенном религиозном движении «Фалуньгун», файрвол по ключевым словам отследит этот запрос и перекроет соединение, после чего отметит сайт для повторной проверки. В некоторых случаях остановить анализ удается с помощью шифрования трафика или использования прокси в сочетании с более совершенными методами вроде виртуальных частных сетей (VPN), но эти способы отнюдь не панацея для борьбы с цензурой. Если пользователь из Пекина постоянно шифрует свой трафик и перенаправляет его через VPN-сервер в Калифорнии, ему наверняка есть что скрывать от цензоров. В этом случае файрвол не может заблокировать сайты, на которые заходит этот пользователь, потому что не видит его трафик. Однако файрвол может снизить скорость подключения к интернету или полностью перекрыть соединение, так чтобы пользователь при следующем выходе в Сеть не смог подключиться к VPN-серверу. Гораздо серьезнее то, что такого пользователя могут вызвать на беседу, его могут навестить спецслужбы с целью выяснить, что он пытается скрыть. Когда на политическом фронте особенно неспокойно, цензоры блокируют сами протоколы, на которых работают VPN. Тогда подключиться к ним нельзя вообще никому, хотя эти сервисы часто используют коммерческие предприятия для вполне законных целей вроде подключения к локальной сети или обеспечения безопасности конфиденциальных сделок34.
Великий файрвол действует сразу на нескольких уровнях. Он распределен по множеству маршрутизаторов и коммутаторов, составляющих основу всего китайского интернета. На пользовательском уровне его поддерживают местные интернет-провайдеры35. Когда пользователь на территории Китая загружает страницу, его провайдер проверяет запрос на совпадение со списком запрещенных адресов и видов информации. Если страницы нет в этом списке, запрос передается дальше, на пункт доступа в интернет (IAP), где трафик перенаправляется на серверы по всему Китаю и по всему миру. На этом этапе происходит анализ пакетов по ключевым словам и подозрительным маркерам. Трафик, который сервер-адресат возвращает пользователю, снова анализируется. Только в случае успешного прохождения всех этих барьеров пользователь сможет что-то увидеть в окошке браузера. Именно поэтому сайты с совсем невинным содержанием загружаются целую вечность, если у них хостинг на серверах вне Китая.
Постоянно анализировать и фильтровать трафик непросто. Файрволы в школах не годятся для такой работы, ведь они просто блокируют адреса. Великий файрвол обязан своим существованием самой структуре китайского интернета, огромным государственным расходам на его цензуру. Почти все соединения между китайским сегментом и мировым