Комментарии 71
От себя добавлю:
Не смотря на то, что это Блумберг и анонимный источник, я таки склонен доверять ему. Техническая возможность блокировать протоколы VPN у Китая уже есть, вот тут интересная статья на тему предполагаемого машинного обучения великого файервола.
Осталось сделать ещё пару шажков: 1. Заставить юридических лиц подключаться к Большому Интернету официально через провайдера, а не покупкой всяких частных VPN-сервисов, 2. Заблокировать все крупные VPN-сервисы и включить распознавание vpn-трафика на полную катушку.
Простым китайцам будет пофиг, китайским компаниям придётся повозиться, иностранным компаниям в Китае будет тяжко, иностранцам в Китае (тем, кто поддерживает связь с заграницей) будет очень плохо. Но китайцам пофиг.
Не смотря на то, что это Блумберг и анонимный источник, я таки склонен доверять ему. Техническая возможность блокировать протоколы VPN у Китая уже есть, вот тут интересная статья на тему предполагаемого машинного обучения великого файервола.
Осталось сделать ещё пару шажков: 1. Заставить юридических лиц подключаться к Большому Интернету официально через провайдера, а не покупкой всяких частных VPN-сервисов, 2. Заблокировать все крупные VPN-сервисы и включить распознавание vpn-трафика на полную катушку.
Простым китайцам будет пофиг, китайским компаниям придётся повозиться, иностранным компаниям в Китае будет тяжко, иностранцам в Китае (тем, кто поддерживает связь с заграницей) будет очень плохо. Но китайцам пофиг.
возможность блокировать протоколы VPN— возможность заблокировать конкретные протоколы да, есть. Но для того чтобы заблокировать VPN полностью, надо заблокировать вообще все, кроме некоторых протоколов, и за теми следить от и до. Например, вполне можно гонять трафик через SSH-тунель — так что, Китай закроет SSH для частных лиц? Или поднять openvpn или другой тунель на 443-м порту (хотя тут Китай как раз использует MiTM, не https трафик заблокировать можно). Есть IP-over-DNS. Да, в конце концов, можно запустить IP-over-HTTP — будет как в том анектоте про dialup модем на IP-телефонии, но если это не публичный сервис, а приватный сайт, то найти и заблокировать его будет непросто.
> все, кроме некоторых протоколов
Дык фишка-то в том, что надо блокировать IP. Без этого никак. Без этого дырки останутся. Как я уже писал есть те же грешные туннели, которые просто неотъмлемая часть IP.
Дык фишка-то в том, что надо блокировать IP. Без этого никак. Без этого дырки останутся. Как я уже писал есть те же грешные туннели, которые просто неотъмлемая часть IP.
ну, если там «предполагаемое машинное обучение великого файервола», то IP-over-HTTP все-таки сильно от обычного серфинга отличается, отловить можно. Там же не просто порты закроют.
OpenVPN можно отследить по хендшейку. SoftEther SSL VPN нельзя, но можно по большому количеству трафика на определенный хост. По идее тут нужно решение на основе SoftEther, которое будет рандомно подключаться к различным хостам.
У нас, когда будут блокировать, то это будет спустя рукава.
>закрыть единственный способ доступа к множеству
Конечно я зануда, но ведь VPN не единственный и не самый удобный способ обойти блокировку.
Конечно я зануда, но ведь VPN не единственный и не самый удобный способ обойти блокировку.
Расскажите, какие ещё есть способы, пожалуйста.
(FIY, тор фактически заблокирован, детские способы типа подмены DNS давно не действуют.)
(FIY, тор фактически заблокирован, детские способы типа подмены DNS давно не действуют.)
Прокси которые маскируются под неопределимые DPI протоколы или сетевой мусор, они позволяют пускать трафик до сервера только на заблокированные сайты. В VPN это можно сделать по адресам, но это не удобно так все учесть будет сложно, а прокси дает возможность легко проксировать определенные вкладки браузера, отдельные программы. Shadowsocks, fteproxy, скорей всего есть что-то более известное только самим китайцам.
Не видел пока ни одного около-VPN провайдера, которые тут предоставляют доступ по shadowsocks/fteproxy. Думаю, по одной из двух причин:
1. Они никогда не слышали про shadowsocks/fteproxy
2. Это не помогает против GFW.
1. Они никогда не слышали про shadowsocks/fteproxy
2. Это не помогает против GFW.
или проще было изменить конфигурацию OpenVPN.
VPN-провайдеры типа Astrill и ExpressVPN пользуются своими модификациями OpenVPN, потому что обычный не работает.
Впрочем, во время больших политических событий многие VPN просто лежат.
Моя теория в том, что известных провайдеров уже всех пересчитали и не блокируют постоянно, чтобы клиенты не убежали к неизвестным провайдерам. Тогда, при большой нужде, удобно заблокировать бОльшую часть юзеров разом. Ну либо провайдеры продались и уже сотрудничают с КГБ.
Впрочем, во время больших политических событий многие VPN просто лежат.
Моя теория в том, что известных провайдеров уже всех пересчитали и не блокируют постоянно, чтобы клиенты не убежали к неизвестным провайдерам. Тогда, при большой нужде, удобно заблокировать бОльшую часть юзеров разом. Ну либо провайдеры продались и уже сотрудничают с КГБ.
Это не помогает против GFW.Помогает, но это не панацея.
А вот теперь самая ответственная часть марлезонского балета: то что шифрованное и распознается — оно легальное. Распознаём, и решаем блокировать или нет. И можно блокнуть всё, что не распознаётся/не расшифровывается. Типа оно не легальное. Или выходи на свет, получай VPN у провайдера и т.д. Или ты опасен, за тобой уже выехали. По-моему так проще. Останется только стенография и подобное.
SSH
Зайти по RDP на сервер в Гон-Конге или Сингапуре?
А что будет с openconnect или softether? Их трафики вроде не выглядит подозрительным, потому что выглядит, как обычный https.
Но IP сервера ведь заблокировать не сложно
А если на своем VPS?
Вот эксперименты человека со своей VPSкой.
Впрочем, даже если и будет она работать какое-то время, «своя VPS-ка» на порядок сложнее, чем покупка готового VPN, и работает по принципу неуловимого Джо.
Впрочем, даже если и будет она работать какое-то время, «своя VPS-ка» на порядок сложнее, чем покупка готового VPN, и работает по принципу неуловимого Джо.
Сейчас наши узнают новость и начнётся соревнование, кто скорее у себя всё заблочит.
Кстати, как там сейчас обстоят дела с «купить спутниковый интернет с входящим\исходящим каналом»? Не отечественный, естественно.
Что-то мне подсказывает, что за такое пальчиком погрозят.
Может там надо в обязательный реестр приёмников/передатчиков спутникового интернете своё устройство вносить? Я не в теме китайских дел, просто идея та же, что и с VPN по разрешению властей.
Легко решается административно: Получаешь разрешение на покупку, покупаешь, регистрируешь. Без разрешения тебе его просто не продадут, а если у тебя обнаружат незарегистрированное телекоммуникационное оборудование, отправляешься за решётку.
Мда? И по какой статье? Или Вы про Китай?
Ну и спутниковый приемник-передатчик, если Вы его как-то смогли ввезти в страну, у Вас найти будет очень сложно (если Вы сами не разболтаете). Это надо на вертолете летать над городом и пеленговать направленные спутниковые передатчики. Сдается мне, на такое даже китайцы махнут.
Ну и спутниковый приемник-передатчик, если Вы его как-то смогли ввезти в страну, у Вас найти будет очень сложно (если Вы сами не разболтаете). Это надо на вертолете летать над городом и пеленговать направленные спутниковые передатчики. Сдается мне, на такое даже китайцы махнут.
Достаточно будет показательно засадить пару человек, чтобы вам уже не захотелось так делать
Я думаю, можно огранизовать цифровое подполье. Оборудовать точки аплинков в интернет в каких-нибудь сараях, в которых не оставлять никаких отпечатков пальцев и пр. Один раз там устанавливать что-то вроде LTE модемов, и далее членам цифрового подполья выдавать доступ к аплинку по очереди (на сколько хватит канала).
Как только сарай власти находят, оборудуется новый.
Доступ до сарая или через существующие сети(как обойти DPI?) или через wifi mesh
Как только сарай власти находят, оборудуется новый.
Доступ до сарая или через существующие сети(как обойти DPI?) или через wifi mesh
НЛО прилетело и опубликовало эту надпись здесь
Я про любую страну озадаченную блокировкой интернета. Но не про сегодняшний день, а про завтрашний. Статья будет, когда понадобится. Конкретно в нашей стране не надо далеко ходить за примерами, ещё не так давно действовали постановления «О мерах активного противодействия враждебной радиопропаганде» и «Об ответственности за незаконное изготовление и использование радиопередающих устройств». Летать на вертолёте необязательно, достаточно периодически устраивать обыски у подозрительных и неугодных. А ещё могут доложить бдительные соседи.
Я про Россию. Или Вы тоже? Сейчас есть относительно хорошие предложения, тот же триколор… Неужели нет провайдеров за бугром, которые не хотят предоставлять свой интернет канал абсолютно любому клиенту в мире? Это технически сложно? Или юридически? Хотя, некоторым странам и компаниям глубоко пофиг на юридические дела в России. Оборудование можно было бы унифицировать и продавать на том же али кому угодно, а подключаться чисто через интернет кабинет.
Видимо не пришло ещё время…
Видимо не пришло ещё время…
в России спутниковая связь для частников уже много лет работает, и все необходимые НПА для работы СОРМа и т.д. давно написаны. Вкратце — выходить на связь с космосом можно из любого сарая от Калининграда до Владивостока, но точка приземления Вашего трафика должна быть в России, и на эту точку распространяются все те же правила, что на ОПСоСов и проводных операторов и провайдеров.
Это касается и глобальных систем типа Иридиума, Глобалстара и Турайи, для которых лишняя точка сопряжения наземной и космической инфраструктуры — это огромный и дорогущий геморрой. Но таковы правила: хочешь легально работать — соответствуй.
Это касается и глобальных систем типа Иридиума, Глобалстара и Турайи, для которых лишняя точка сопряжения наземной и космической инфраструктуры — это огромный и дорогущий геморрой. Но таковы правила: хочешь легально работать — соответствуй.
У спутников есть любопытная недокументированная возможность: спутниковая рыбалка (граббинг), когда пользовательское оборудование работает только на приём. Отследить такое в принципе невозможно, разве только ходить по домам с обыском, изымая аппаратуру.
Да, отписываться на форумах и в комментариях через эту фичу нельзя. Но вот читать иностранную прессу, запрещённые ресурсы, качать терабайтами порнуху и вообще слушать «голос загнивающего буржуя» можно без проблем, а ведь именно этого власть и не хочет.
Да, отписываться на форумах и в комментариях через эту фичу нельзя. Но вот читать иностранную прессу, запрещённые ресурсы, качать терабайтами порнуху и вообще слушать «голос загнивающего буржуя» можно без проблем, а ведь именно этого власть и не хочет.
НЛО прилетело и опубликовало эту надпись здесь
http://www.cnews.ru/news/line/2016-11-18_iridium_zapustil_rossijskuyu_stantsiyu_sopryazheniya Iridium запустил российскую станцию сопряжения наземного и космического сегментов в Ижевске — 18.11.2016
«С сегодняшнего дня весь трафик, который мы получаем с территории России, как местными абонентами Iridium, так и роумерами, проходит через станцию сопряжения в Ижевске», — отметил Виктор Глушко, генеральный директор «Иридиум Коммьюникешенс».… «Наши инвестиции в создание ижевской станции сопряжения составляют десятки миллионов долларов — отметил Мэтт Деш, генеральный директор Iridium Communications Inc. — Это важный стратегический шаг для развития бизнеса Iridium. В планах — усиление позиций компании на российском рынке».
https://www.vedomosti.ru/technology/articles/2016/11/18/666124-iridium-v-rossii Iridium полностью легализовался в России. Компания подключилась к СОРМ, будет продвигать спутниковый интернет для госструктур и крупных компаний — 18 ноября 2016
Станция, в частности, позволит оператору соблюдать российское законодательство об оперативно-розыскных мероприятиях (СОРМ), отмечает гендиректор «Иридиум комьюникейшенс» (продает услуги оператора в России) Виктор Глушко.… В 2012 г. по временной схеме оборудование Iridium было подключено к узлу связи ФГУП «Морсвязьспутник», рассказывает Глушко.
https://en.wikipedia.org/wiki/Iridium_Communications#Earth_base-stations
The pre-bankruptcy corporate incarnation of Iridium built eleven gateways, most of which have since been closed.[61] Gateways were also built in Pune (India), Beijing (People's Republic of China), Moscow (Russia), Nagano (Japan), Seoul (South Korea), Taipei (Taiwan), Jeddah (Saudi Arabia) and Rio de Janeiro (Brazil). The company is seeking to reactivate gateways in several countries to comply with national laws in those countries.
http://www.spaceref.com/news/viewpr.html?pid=22230 "China Space Mobile Satellite Telecommunications Co. Ltd. (China Spacecom) has announced that it is planning to open an Iridium gateway earth station in 2007."
еще в январе была новость, что Китай намерен всерьез взяться за VPN
Что будет делать Китай, если его начнёт блокировать весь остальной мир?
Это будет проблемой не только для Китая, но и для всего остального мира. По крайней мере до тех пор, пока именно В Китае сосредоточена значительная часть мирового высокотехнологичного производства.
А если это производство (точнее его отображение в сети) блокировать не будут, то Китаю оно будет по барабану, даже спасибо скажут, если заблокируют доступ к внешней относительно Китая сети всяких диссидентов.
Недавно читал новость о том что многие европейские и американские организации тупо полностью блочат все подсети Китая\России и многих стран азии. Так что это уже есть.
НЛО прилетело и опубликовало эту надпись здесь
НЛО прилетело и опубликовало эту надпись здесь
Так в России и не заблокировано столько сайтов ещё, вполне можно работать.
И я говорю, что слежка не отменяется. Наверное, она ещё более интенсивная. Просто это позволяет китайским комапаниям, к примеру, разрабатывать мобильные игрушки для Гугл плея и приносить деньги в казну в виде налогов.
Блокировки в Китае это не только идеология, но и протекционизм.
И я говорю, что слежка не отменяется. Наверное, она ещё более интенсивная. Просто это позволяет китайским комапаниям, к примеру, разрабатывать мобильные игрушки для Гугл плея и приносить деньги в казну в виде налогов.
Блокировки в Китае это не только идеология, но и протекционизм.
Мне интересно как с технической стороны можно блокировать vpn? Как Vpn трафик можно отличить от обычного трафика? Или они в тупую будут банить vpn сервисы? Т.е я по сути могу поднять свой vpn сервер и спокойно им пользоваться?
НЛО прилетело и опубликовало эту надпись здесь
Т.е если я подниму 6 серверов в 6 разных странах (например) и буду подключатся рандомно к этим серверам, то скорее всего фильтр не заметит что это vpn?
P.s Какие есть способы обойти подобные фильтры кроме vpn? Tor ноды тоже можно перекрыть поидее…
P.s Какие есть способы обойти подобные фильтры кроме vpn? Tor ноды тоже можно перекрыть поидее…
НЛО прилетело и опубликовало эту надпись здесь
Т.е если я подниму 6 серверов в 6 разных странах (например) и буду подключатся рандомно к этим серверам, то скорее всего фильтр не заметит что это vpn?
Для того, чтобы достоверно ответить на этот вопрос, нужно знать, как конкретно устроен GFW. А это не очень понятно.
Допустим там внутри хитрая машинка с хорошим anomaly detection'ом.
Может быть заметят.
Может быть не заметят.
Может быть заметят, но не заблокируют, а обратят на вас пристальное внимание.
Русский с китайцем — братья навек! (с)
Для того, что бы заблокировать VPN им придется просто отрубить страну от инета. В противном случае есть SoftEther, который неотличим от https, есть SoftEther работающий через icmp, да есть greшные туннели, которые вы только с отрубанием IP заблокируете, в конце концов. Я уж молчу про ssh и прочее.
Нельзя заблокировать выход не перекрыв совсем выход наружу.
Нельзя заблокировать выход не перекрыв совсем выход наружу.
99% не заметят, что им «отрубили интернет»: в отличие от России, Китай на иностранные сервисы не завязан. Под удар попадёт тот самый 1%, которому иностранный интернет нужен. А они все пользуются VPN даже сейчас. Потому что без VPN каждый первый сайт, где есть кнопка «поделиться в Facebook» или аналитика от гугла будет тормозить безбожно.
Круто, что некоторые голосуют за то, что в России не запретят VPN. Прикол. Они наверно новости не читают, уже ж запретили :)
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Китай заблокирует VPN для частных лиц