دیوار آتش بزرگ چین

دیوار آتش بزرگ چین (به انگلیسی: Great Firewall) یک پروژه دولت چین برای کنترل اینترنت است. در این پروژه دولت چین از فناوری‌های مختلف کنترل شبکه برای اعمال سیاست‌های خود در اینترنت کشورش استفاده کرده‌است. تحلیل گران معتقدند دیوار بزرگ چین یکی از پیچیده‌ترین سامانه‌های کنترل اینترنت در مقایسه با سامانه‌های مشابه سایر کشور هاست. نام این سامانه از ترکیب دو نام دیوار آتش و دیوار بزرگ چین گرفته شده‌است. دیوار بزرگ چین کار خود را با مسدود کردن دسترسی به صفحات وب شروع کرد و بعد از توسعه‌های فراوان قابلیت مسدود کردن فیلترشکن‌ها، ارتباطات رمز شده و تور (Tor) به آن اضافه شده است

تاریخچه

گمان می‌رود طرح دیوار آتش بزرگ چین نشئت گرفته از سیاست کلی دولت چین مبنی بر توسعه اقتصادی همراه با حفظ فرهنگ بومی و جلوگیری از ورود فرهنگ بیگانه است که در جملات سیاست مدارانی مانند دنگ ژیائوپینگ دیده می‌شود. اولین اتصال اینترنت در چین در سال ۱۹۹۴ برقرار شد^[۱] و بعد از مدتی اینترنت به‌طور گسترده‌ای توسعه یافت به طوری که در سال ۱۹۹۵ عرضه عمومی آن آغاز شد،^[۲] بنابراین وزارت امینت عمومی چین بر اساس سیاست‌های کلی دولت چین اقداماتی را برای کنترل اینترنت شروع کرد.^[۳]

در سال ۱۹۹۷ با تصویب قوانین محتوای مجرمانه قدم‌های اولیه برداشته شد و در سال ۱۹۹۸ وزارت امنیت عمومی چین پروژه سپر طلایی را برای اعمال این گونه سیاست‌ها در اینترنت شروع کرد. به‌طور کلی پروژه سپر طلایی به عنوان پروژه مادر در بخش مسدودسازی شناخته می‌شود و دیوار آتش بزرگ چین به عنوان بخشی از آن مطرح می‌شود^[۱] البته گروهی دیگر معتقدند مدیریت دیوار آتش بزرگ مستقل از وزارت امنیت عمومی است، طراحی و پیاده‌سازی آن توسط مرکز هماهنگی آپا چین انجام شده و وزارت صنعت و فناوری اطلاعات چین مدیریت آن را انجام می‌دهد^[۴] هر چند اطلاع دقیقی از رابطهٔ بین آن دو در دسترس نیست اما می‌توان گفت اولین تلاش‌های فنی برای مسدود کردن اینترنت از سال ۱۹۹۶ آغاز و از سال ۱۹۹۸ جدی‌تر شد.^[۱]

فناوری مسدود سازی

همان‌طور که گفته شد به اعتقاد صاحب نظران کشور چین یکی از پیشرفته‌ترین و پیچیده‌ترین سیستم‌های کنترل اینترنت در دنیا را دارد.^[۳] این پروژه از نظر فنی ابعاد مختلفی دارد و دانشگاه‌ها و موسسات تحقیقاتی مختلفی از جمله دانشگاه هاربین و مؤسسه تکنولوژی رایانه آکادمی علوم چین در ایجاد آن نقش داشتند.^[۴] دیوار آتش بزرگ سال‌ها پیش با مسدود سازی صفحات وب در پروتکل اچ‌تی‌تی‌پی شروع به کار کرده و به مرور انواع قابلیت‌های مسدود سازی بر مبنای نشانی وب، تغییر نام دامنه، تشخیص و مسدود کردن ارتباطات غیرمجازی رمزنگاری شده، به آن اضافه شده‌است. دولت چین قابلیت مسدود کردن ابزارهای دور زدن فیلترینگ و همچنین مسدود کردن وی‌پی‌ان‌ها را به مرور به آن اضافه کرده‌است. در زیر این قابلیت‌ها به‌طور خلاصه مورد بررسی قرار می‌گیرد:

مسدود سازی آی‌پی

در این روش آدرس آی‌پی مقصد بسته‌های عبوری از شبکه مورد بررسی قرار می‌گیرد در صورتی آن آدرس در لیست سیاه باشد، شبکه آن بسته را انتقال نمی‌دهد و اتصال کاربر به سرور غیرمجاز بر قرار نمی‌شود.

عیب این روش آن است که اگر روی یک سرور که یک آدرس آی‌پی دارد، چندین سایت داشته باشیم (که به آن میزبانی‌اشتراکی گفته می‌شود) در صورتی که یکی از سایت‌ها غیرمجاز شناخته شود بقیه سایت‌های روی آن سرور هم مسدود می‌شوند. به مثال زیر که سه سایت روی یک سرور را نشان می‌دهد توجه کنید:

215.52.32.1 www.example1.com

215.52.32.1 www.example2.com

215.52.32.1 www.example3.com

حالا اگر فقط محتوای سایت example1.com غیرمجاز باشد و از روش مسدود سازی آی‌پی استفاده شود سایت‌های example2.com و example3.com که همان آدرس آی‌پی را دارند نیز از دسترس خارج می‌شوند هر چند آن‌ها محتوای غیرمجاز ندارند. همچنین اگر سایت example1.com دارای صفحات مجاز و غیرمجاز (مثل بسیاری از ارائه دهندگان خدمات وبلاگ) باشد تمام صفحات آن از دسترس خارج می‌شود.

مسدود سازی بر مبنای نشانی وب

در این روش که بیشتر در پروتکل اچ‌تی‌تی‌پی کاربرد دارد، مدیریت شبکه، نشانی وب (URL) صفحه در خواستی کاربر را که در قسمت header بسته اچ‌تی‌تی‌پی موجود است، بررسی می‌کند و در صورتی که در آن الگوهای مسدود شده را پیدا کند اتصال را قطع می‌کند.

در این روش می‌توان تمام صفحاتی که در آدرس آن‌ها کلمات لیست سیاه وجود دارد مسدود نمود.

مسدود سازی و هدایت سامانهٔ نام دامنه

با استفاده از این روش می‌توان درخواست‌هایی که برای یک سایت وجود دارد را به یک آدرس آی‌پی دیگر هدایت کرد و از طریق آن پیغام هشداری را را به کاربر نشان داد. اساس کار این روش این است که در زمانی که کاربر درخواست‌های سامانهٔ نام دامنه (DNS) می‌فرستد مدیریت شبکه پاسخ جعلی برای کاربر می‌فرستد و کاربر آدرس آی‌پی جعل شده را به جای آدرس آی‌پی اصلی سرور دریافت می‌کند.

مثلاً اگر در سیستم نام دامنه جهانی ردیف زیر را داشته باشیم:

215.52.32.1 www.example1.com

پاسخ سیستم نام دامنه جعلی زیر به جای آن فرستاده می‌شود:

172.25.0.1 www.example1.com

مشاهده می‌شود آدرس آی‌پی در این پاسخ جعلی تغییر کرده‌است، بنابراین می‌توان کاربر را به صفحات دلخواه مثل صفحه هشدار هدایت کرد.

Active Probing

استفاده از این شیوه در دیوار آتش بزرگ برای اولین بار در اواخر سال ۲۰۱۱ مشاهده شد، بررسی‌های بیشتر نشان داد که دیوار بزرگ چین از این روش جدید برای مقابله با بسیاری از نرم‌افزارها و ابزار دور زدن فیلتر مثل وی‌پی‌ان‌ها، پراکسی‌ها و تور (Tor) استفاده می‌کند. شیوهٔ کلی کار آن به این صورت است که یک کپی از بسته‌هایی که توسط کاربران ارسال می‌شوند به سامانه بازرسی ژرف بسته (DPI) فرستاده می‌شود و بعد اگر دی‌پی‌آی تشخیص داد که این بسته می‌تواند مربوط به پروتکل یکی از ابزارهای دور زدن فیلتر باشد، آی‌پی و درگاه (Port) آن به Active Proberها برای تست بیشتر فرستاده می‌شود.

Active Proberها پس از دریافت آی‌پی و درگاه و نوع ابزار احتمالی شروع می‌کنند با همان ابزار (مثلاً تور) به آن آی‌پی و درگاه درخواست اتصال می‌فرستند به عبارت دیگر مثل یک کاربر عادی که می‌خواهد از این ابزار استفاده کند درخواست اتصال را ارسال می‌کنند و در صورتی که اتصال موفق باشد دیوار بزرگ آن آی‌پی و درگاه را در لیست سیاه قرار می‌دهد و تمام اتصالات به آن قطع می‌شود. همچنین بعد از مدتی دوباره Active Proberها تلاش می‌کند به آن آی‌پی و درگاه متصل شوند و در صورتی که دیگر سرویس وی‌پی‌ان روی آن ارائه نشود آن سرور را از لیست سیاه خارج می‌کنند.

با این روش می‌توان بسیاری از ابزارهای دور زدن مسدودسازی (فیلتر شکن) را شناسایی و قطع کرد، حتی اگر آن‌ها از ارتباطات رمز شده استفاده کنند معمولاً نوع پروتکل آن‌ها قابل تشخیص توسط دی‌پی‌آی است و از آن جایی که آدرس آی‌پی و درگاه آن‌ها نیز در بسته موجود است می‌توان آن‌ها را شناسایی کرد.

مسدودسازی تور

تور یکی از ابزارهای معروف و پیچیده برای ناشناس ماندن در اینترنت است. دیوار آتش بزرگ به تدریج روش‌هایی که منجر به قطع شدن ارتباطات تور می‌شد را عملیاتی کرد. بعدها تور با اضافه کردن پل (Tor Bridge) توانست دیوار بزرگ را دور بزند اما با عملیاتی شدن Active Proberهای مخصوص تور از سال ۲۰۱۲ نودهای پل‌های تور نیز شناسایی می‌شدند.^[۵]

Obfs2

بعد از مدتی تور یک لایهٔ دیگر تحت عنوان Obfs2 (مخفف Obfuscation) به ارتباطاتش اضافه نمود، طرز کار این لایه به این صورت است که تمام ارتباطات بعدی تور را رمز می‌کند و کلید آن را در ۲۰ بیت اول ارتباط قرار می‌دهد. طبق تحقیقاتی که انجام شده‌است دی‌پی‌آی دیوار آتش بزرگ بعد از مدتی قابلیت تشخیص Obfs2 را اضافه کرد و با ترکیب آن با Active Probing توانست بسیاری از ارتباطات Obfs2 را شناسایی کند.^[۵]

Obfs3

تور بعد از مدتی Obfs2 را با Obfs3 جایگزین کرد که کل جریان داده توسط TLS رمز نگاری می‌شد. در واکنش به آن دولت چین نیز دوباره با ترکیب DPIهای پیشرفته تر و توسعه Active Probing برای Obfs3 توانست Obfs3 را نیز تشخیص و تا حدودی مسدود نماید گرچه طبق برخی تحقیقات علی‌رغم وجود Active Proberهای Obfs3 در چین هنوز Obfs3 کاملاً مسدود نشده‌است.^[۵]

سیاست گذاری

به‌طور کلی دیوار آتش بزرگ چین تابع سیاست‌های مسدود کردن اینترنت است. طبق قانونی که وزارت امینت عمومی چین وضع کرده‌است افراد مجاز نیستند از اینترنت برای موارد زیر استفاده کنند:^[۶]

آسیب زدن به امنیت ملی
افشای اسرار دولتی
آسیب زدن به منافع دولت و جامعه
ایجاد، توزیع و انتقال هر اطلاعاتی که منجر به تضعیف وحدت ملی، تحریف واقعیات و نشر اکاذیب شود
ایجاد، توزیع و انتقال هر اطلاعاتی که مشوق قمار، خشونت یا قتل باشد
هرزه‌نگاری و مسائل غیراخلاقی

البته موارد بالا بخشی از کل سیاست‌ها هستند و قانون چین موارد دیگری را هم در بر می‌گیرد.

منابع

↑ ^۱٫۰ ^۱٫۱ ^۱٫۲ «دسترسی چین به اینترنت - 中国接入互联网». chinanews.com. دریافت‌شده در ۱۱ اردیبهشت ۱۳۹۶.
↑ «China's internet: The Great Firewall». economist.com. دریافت‌شده در ۱۱ اردیبهشت ۱۳۹۶.
↑ ^۳٫۰ ^۳٫۱ «The Great Firewall of China: Background». دریافت‌شده در ۱۱ اردیبهشت ۱۳۹۶.
↑ ^۴٫۰ ^۴٫۱ «GFW FAQ». بایگانی‌شده از اصلی در ۱۵ مه ۲۰۱۸. دریافت‌شده در ۱۱ اردیبهشت ۱۳۹۶.
↑ ^۵٫۰ ^۵٫۱ ^۵٫۲ Roya Ensafi; David Fifield; Philipp Winter; Nick Feamster; Nicholas Weaver; Vern Paxson (2015). "Examining How the Great Firewall Discovers Hidden Circumvention Servers" (PDF). Proceedings of the 2015 Internet Measurement Conference (به انگلیسی): 445-458. doi:10.1145/2815675.2815690. Retrieved 2017-05-07.{{cite journal}}: نگهداری یادکرد:نام‌های متعدد:فهرست نویسندگان (link)
↑ «Golden Shield Project, History». دریافت‌شده در ۱۷ اردیبهشت ۱۳۹۶.

[economist_ref-1] ۱٫۰ ^۱٫۱ ^۱٫۲ «دسترسی چین به اینترنت - 中国接入互联网». chinanews.com. دریافت‌شده در ۱۱ اردیبهشت ۱۳۹۶.

[2] «China's internet: The Great Firewall». economist.com. دریافت‌شده در ۱۱ اردیبهشت ۱۳۹۶.

[stanford_ref-3] ۳٫۰ ^۳٫۱ «The Great Firewall of China: Background». دریافت‌شده در ۱۱ اردیبهشت ۱۳۹۶.

[gfw_faq-4] ۴٫۰ ^۴٫۱ «GFW FAQ». بایگانی‌شده از اصلی در ۱۵ مه ۲۰۱۸. دریافت‌شده در ۱۱ اردیبهشت ۱۳۹۶.

[examine_gfw-5] ۵٫۰ ^۵٫۱ ^۵٫۲ Roya Ensafi; David Fifield; Philipp Winter; Nick Feamster; Nicholas Weaver; Vern Paxson (2015). "Examining How the Great Firewall Discovers Hidden Circumvention Servers" (PDF). Proceedings of the 2015 Internet Measurement Conference (به انگلیسی): 445-458. doi:10.1145/2815675.2815690. Retrieved 2017-05-07.{{cite journal}}: نگهداری یادکرد:نام‌های متعدد:فهرست نویسندگان (link)

[6] «Golden Shield Project, History». دریافت‌شده در ۱۷ اردیبهشت ۱۳۹۶.

[۱]

[۲]

[۳]

[۴]

[۵]

[۶]