دیوار آتش بزرگ چین
دیوار آتش بزرگ چین (به انگلیسی: Great Firewall) یک پروژه دولت چین برای کنترل اینترنت است. در این پروژه دولت چین از فناوریهای مختلف کنترل شبکه برای اعمال سیاستهای خود در اینترنت کشورش استفاده کردهاست. تحلیل گران معتقدند دیوار بزرگ چین یکی از پیچیدهترین سامانههای کنترل اینترنت در مقایسه با سامانههای مشابه سایر کشور هاست. نام این سامانه از ترکیب دو نام دیوار آتش و دیوار بزرگ چین گرفته شدهاست. دیوار بزرگ چین کار خود را با مسدود کردن دسترسی به صفحات وب شروع کرد و بعد از توسعههای فراوان قابلیت مسدود کردن فیلترشکنها، ارتباطات رمز شده و تور (Tor) به آن اضافه شده است
تاریخچه
گمان میرود طرح دیوار آتش بزرگ چین نشئت گرفته از سیاست کلی دولت چین مبنی بر توسعه اقتصادی همراه با حفظ فرهنگ بومی و جلوگیری از ورود فرهنگ بیگانه است که در جملات سیاست مدارانی مانند دنگ ژیائوپینگ دیده میشود. اولین اتصال اینترنت در چین در سال ۱۹۹۴ برقرار شد و بعد از مدتی اینترنت بهطور گستردهای توسعه یافت به طوری که در سال ۱۹۹۵ عرضه عمومی آن آغاز شد، بنابراین وزارت امینت عمومی چین بر اساس سیاستهای کلی دولت چین اقداماتی را برای کنترل اینترنت شروع کرد.
در سال ۱۹۹۷ با تصویب قوانین محتوای مجرمانه قدمهای اولیه برداشته شد و در سال ۱۹۹۸ وزارت امنیت عمومی چین پروژه سپر طلایی را برای اعمال این گونه سیاستها در اینترنت شروع کرد. بهطور کلی پروژه سپر طلایی به عنوان پروژه مادر در بخش مسدودسازی شناخته میشود و دیوار آتش بزرگ چین به عنوان بخشی از آن مطرح میشود البته گروهی دیگر معتقدند مدیریت دیوار آتش بزرگ مستقل از وزارت امنیت عمومی است، طراحی و پیادهسازی آن توسط مرکز هماهنگی آپا چین انجام شده و وزارت صنعت و فناوری اطلاعات چین مدیریت آن را انجام میدهد هر چند اطلاع دقیقی از رابطهٔ بین آن دو در دسترس نیست اما میتوان گفت اولین تلاشهای فنی برای مسدود کردن اینترنت از سال ۱۹۹۶ آغاز و از سال ۱۹۹۸ جدیتر شد.
فناوری مسدود سازی
همانطور که گفته شد به اعتقاد صاحب نظران کشور چین یکی از پیشرفتهترین و پیچیدهترین سیستمهای کنترل اینترنت در دنیا را دارد. این پروژه از نظر فنی ابعاد مختلفی دارد و دانشگاهها و موسسات تحقیقاتی مختلفی از جمله دانشگاه هاربین و مؤسسه تکنولوژی رایانه آکادمی علوم چین در ایجاد آن نقش داشتند. دیوار آتش بزرگ سالها پیش با مسدود سازی صفحات وب در پروتکل اچتیتیپی شروع به کار کرده و به مرور انواع قابلیتهای مسدود سازی بر مبنای نشانی وب، تغییر نام دامنه، تشخیص و مسدود کردن ارتباطات غیرمجازی رمزنگاری شده، به آن اضافه شدهاست. دولت چین قابلیت مسدود کردن ابزارهای دور زدن فیلترینگ و همچنین مسدود کردن ویپیانها را به مرور به آن اضافه کردهاست. در زیر این قابلیتها بهطور خلاصه مورد بررسی قرار میگیرد:
مسدود سازی آیپی
در این روش آدرس آیپی مقصد بستههای عبوری از شبکه مورد بررسی قرار میگیرد در صورتی آن آدرس در لیست سیاه باشد، شبکه آن بسته را انتقال نمیدهد و اتصال کاربر به سرور غیرمجاز بر قرار نمیشود.
عیب این روش آن است که اگر روی یک سرور که یک آدرس آیپی دارد، چندین سایت داشته باشیم (که به آن میزبانیاشتراکی گفته میشود) در صورتی که یکی از سایتها غیرمجاز شناخته شود بقیه سایتهای روی آن سرور هم مسدود میشوند. به مثال زیر که سه سایت روی یک سرور را نشان میدهد توجه کنید:
215.52.32.1 www.example1.com
215.52.32.1 www.example2.com
215.52.32.1 www.example3.com
حالا اگر فقط محتوای سایت example1.com غیرمجاز باشد و از روش مسدود سازی آیپی استفاده شود سایتهای example2.com و example3.com که همان آدرس آیپی را دارند نیز از دسترس خارج میشوند هر چند آنها محتوای غیرمجاز ندارند. همچنین اگر سایت example1.com دارای صفحات مجاز و غیرمجاز (مثل بسیاری از ارائه دهندگان خدمات وبلاگ) باشد تمام صفحات آن از دسترس خارج میشود.
مسدود سازی بر مبنای نشانی وب
در این روش که بیشتر در پروتکل اچتیتیپی کاربرد دارد، مدیریت شبکه، نشانی وب (URL) صفحه در خواستی کاربر را که در قسمت header بسته اچتیتیپی موجود است، بررسی میکند و در صورتی که در آن الگوهای مسدود شده را پیدا کند اتصال را قطع میکند.
در این روش میتوان تمام صفحاتی که در آدرس آنها کلمات لیست سیاه وجود دارد مسدود نمود.
مسدود سازی و هدایت سامانهٔ نام دامنه
با استفاده از این روش میتوان درخواستهایی که برای یک سایت وجود دارد را به یک آدرس آیپی دیگر هدایت کرد و از طریق آن پیغام هشداری را را به کاربر نشان داد. اساس کار این روش این است که در زمانی که کاربر درخواستهای سامانهٔ نام دامنه (DNS) میفرستد مدیریت شبکه پاسخ جعلی برای کاربر میفرستد و کاربر آدرس آیپی جعل شده را به جای آدرس آیپی اصلی سرور دریافت میکند.
مثلاً اگر در سیستم نام دامنه جهانی ردیف زیر را داشته باشیم:
215.52.32.1 www.example1.com
پاسخ سیستم نام دامنه جعلی زیر به جای آن فرستاده میشود:
172.25.0.1 www.example1.com
مشاهده میشود آدرس آیپی در این پاسخ جعلی تغییر کردهاست، بنابراین میتوان کاربر را به صفحات دلخواه مثل صفحه هشدار هدایت کرد.
Active Probing
استفاده از این شیوه در دیوار آتش بزرگ برای اولین بار در اواخر سال ۲۰۱۱ مشاهده شد، بررسیهای بیشتر نشان داد که دیوار بزرگ چین از این روش جدید برای مقابله با بسیاری از نرمافزارها و ابزار دور زدن فیلتر مثل ویپیانها، پراکسیها و تور (Tor) استفاده میکند. شیوهٔ کلی کار آن به این صورت است که یک کپی از بستههایی که توسط کاربران ارسال میشوند به سامانه بازرسی ژرف بسته (DPI) فرستاده میشود و بعد اگر دیپیآی تشخیص داد که این بسته میتواند مربوط به پروتکل یکی از ابزارهای دور زدن فیلتر باشد، آیپی و درگاه (Port) آن به Active Proberها برای تست بیشتر فرستاده میشود.
Active Proberها پس از دریافت آیپی و درگاه و نوع ابزار احتمالی شروع میکنند با همان ابزار (مثلاً تور) به آن آیپی و درگاه درخواست اتصال میفرستند به عبارت دیگر مثل یک کاربر عادی که میخواهد از این ابزار استفاده کند درخواست اتصال را ارسال میکنند و در صورتی که اتصال موفق باشد دیوار بزرگ آن آیپی و درگاه را در لیست سیاه قرار میدهد و تمام اتصالات به آن قطع میشود. همچنین بعد از مدتی دوباره Active Proberها تلاش میکند به آن آیپی و درگاه متصل شوند و در صورتی که دیگر سرویس ویپیان روی آن ارائه نشود آن سرور را از لیست سیاه خارج میکنند.
با این روش میتوان بسیاری از ابزارهای دور زدن مسدودسازی (فیلتر شکن) را شناسایی و قطع کرد، حتی اگر آنها از ارتباطات رمز شده استفاده کنند معمولاً نوع پروتکل آنها قابل تشخیص توسط دیپیآی است و از آن جایی که آدرس آیپی و درگاه آنها نیز در بسته موجود است میتوان آنها را شناسایی کرد.
مسدودسازی تور
تور یکی از ابزارهای معروف و پیچیده برای ناشناس ماندن در اینترنت است. دیوار آتش بزرگ به تدریج روشهایی که منجر به قطع شدن ارتباطات تور میشد را عملیاتی کرد. بعدها تور با اضافه کردن پل (Tor Bridge) توانست دیوار بزرگ را دور بزند اما با عملیاتی شدن Active Proberهای مخصوص تور از سال ۲۰۱۲ نودهای پلهای تور نیز شناسایی میشدند.
Obfs2
بعد از مدتی تور یک لایهٔ دیگر تحت عنوان Obfs2 (مخفف Obfuscation) به ارتباطاتش اضافه نمود، طرز کار این لایه به این صورت است که تمام ارتباطات بعدی تور را رمز میکند و کلید آن را در ۲۰ بیت اول ارتباط قرار میدهد. طبق تحقیقاتی که انجام شدهاست دیپیآی دیوار آتش بزرگ بعد از مدتی قابلیت تشخیص Obfs2 را اضافه کرد و با ترکیب آن با Active Probing توانست بسیاری از ارتباطات Obfs2 را شناسایی کند.
Obfs3
تور بعد از مدتی Obfs2 را با Obfs3 جایگزین کرد که کل جریان داده توسط TLS رمز نگاری میشد. در واکنش به آن دولت چین نیز دوباره با ترکیب DPIهای پیشرفته تر و توسعه Active Probing برای Obfs3 توانست Obfs3 را نیز تشخیص و تا حدودی مسدود نماید گرچه طبق برخی تحقیقات علیرغم وجود Active Proberهای Obfs3 در چین هنوز Obfs3 کاملاً مسدود نشدهاست.
سیاست گذاری
بهطور کلی دیوار آتش بزرگ چین تابع سیاستهای مسدود کردن اینترنت است. طبق قانونی که وزارت امینت عمومی چین وضع کردهاست افراد مجاز نیستند از اینترنت برای موارد زیر استفاده کنند:
- آسیب زدن به امنیت ملی
- افشای اسرار دولتی
- آسیب زدن به منافع دولت و جامعه
- ایجاد، توزیع و انتقال هر اطلاعاتی که منجر به تضعیف وحدت ملی، تحریف واقعیات و نشر اکاذیب شود
- ایجاد، توزیع و انتقال هر اطلاعاتی که مشوق قمار، خشونت یا قتل باشد
- هرزهنگاری و مسائل غیراخلاقی
البته موارد بالا بخشی از کل سیاستها هستند و قانون چین موارد دیگری را هم در بر میگیرد.
منابع
- ↑ «دسترسی چین به اینترنت - 中国接入互联网». chinanews.com. دریافتشده در ۱۱ اردیبهشت ۱۳۹۶.
- ↑ «China's internet: The Great Firewall». economist.com. دریافتشده در ۱۱ اردیبهشت ۱۳۹۶.
- ↑ «The Great Firewall of China: Background». دریافتشده در ۱۱ اردیبهشت ۱۳۹۶.
- ↑ «GFW FAQ». بایگانیشده از اصلی در ۱۵ مه ۲۰۱۸. دریافتشده در ۱۱ اردیبهشت ۱۳۹۶.
- ↑ Roya Ensafi; David Fifield; Philipp Winter; Nick Feamster; Nicholas Weaver; Vern Paxson (2015). "Examining How the Great Firewall Discovers Hidden Circumvention Servers" (PDF). Proceedings of the 2015 Internet Measurement Conference (به انگلیسی): 445-458. doi:10.1145/2815675.2815690. Retrieved 2017-05-07.
- ↑ «Golden Shield Project, History». دریافتشده در ۱۷ اردیبهشت ۱۳۹۶.