Цензура в Интернете: 5 «иранских» технологий

Опубликовано: 24.11.2019

Власти любой страны мира фильтруют сетевой контент. Это естественно. Каждый фильтрует что-то своё. В Америке блокируют сайты казино, в Европе — сайты c нацистской символикой, в Китае и Беларуси блокируют сайты политических оппонентов. Недавно к числу «цензоров» присоединился Иран, причём некоторые технологические методы, применявшиеся там, представляют собой нечто новое, такого мы не видели даже в Китае.

Вот список технологий, которые использовали власти Ирана для цензуры в интернете во время недавних массовых народных волнений. Список приводится по документу, составленному правозащитной хакерской организацией NedaNet.

Блокировка по IP

Стандартная методика, которая используется правительствами многих стран, в том числе Беларуси и России. Неэффективна против P2P-коммуникаций, а также против сети прокси-серверов.

Классификация трафика (QoS)

Более продвинутая технология контроля, когда порче подвергается трафик, передающийся по определённым протоколам и определённым портам. Это делается для того, чтобы уменьшить общее количество трафика в местном сегменте интернета (пропускная способность внешних каналов связи оценивается в 6 Гбит/с), и уменьшить нагрузку на системы мониторинга, которые довольно ресурсоёмки, особенно в случае глубокой фильтрации по контенту.

Диаграмма показывает количество трафика на иранских бэкбонах в неделю выборов (TCP, порт 80). Как видим, в определённый момент власти просто перекрыли внешний канал.

А вот объёмы почтового трафика (порт 25) и видео (порт 1935). Здесь факт фильтрации ещё более очевиден.

Эксперты так оценивают процент блокированного трафика, в зависимости от протокола.

Следующая диаграмма показывает уменьшение количества трафика, проходящего через сети каждого из иранских провайдеров в дни после выборов (красные стрелки), при том, что только TTNet (Turk Telecom) стал пропускать больше трафика. Это связывают с тем, что у турецкого провайдера установлены более производительные системы контент-фильтрации, чем у конкурентов.

Анализ заголовков пакетов

На самом деле анализ заголовков — это разновидность глубокой проверки пакетов (DPI, deep packet inspection, см. ниже). Здесь анализируются только заголовки пакетов и ничего более. Хотя эта методика гораздо менее эффективна, чем DPI, но в Иране она применялась чаще, потому что подходит для обработки гораздо больших объёмов информации. Например, таким способом можно легко идентифицировать все SSL-пакеты, на которых применяются методы более глубокого анализа.

Повсеместное использование именно анализа заголовков позволяет хакерам-правозащитникам обманывать врага, что они успешно делали в Иране, когда заворачивали SSL-трафик в заголовки FTP-пакетов.

Анализ характеристик пакетов

Это более продвинутый метод фильтрации, потому что здесь анализируются не только заголовки пакетов, но и их длина в битах, частота передачи и другие характеристики, по которым можно определить контент.

В Иране эту методику использовали, чтобы блокировать SSH-трафик, но при этом сохранить работоспособность корпоративных VPN, которые идут по тому же протоколу.

Глубокая проверка пакетов / Фильтрация по контенту

Самый продвинутый и ресурсоёмкий метод фильтрации, когда анализируется само содержание пакетов. Даже в случае использования криптографии эту защиту невозможно обойти, потому что в сочетании с другими методами проверки власти легко могут определить, с чем имеют дело.

Иранским активистам так и не удалось найти способ обхода этой защиты, разве что иногда они находили дыры, которыми можно было воспользоваться, но власти быстро закрывали их.