LEAP Docs
GitHub Toggle Dark/Light/Auto mode Toggle Dark/Light/Auto mode Toggle Dark/Light/Auto mode Back to homepage
  1. Добро пожаловать на страницу с документацией о LEAP!
  2. /
  3. Обход блокировок
Редактировать страницу

Обход блокировок

Обзор методов цензуры и тактик обхода блокировок, используемых LEAP.

Введение

Мы понимаем, что если вы уже используете VPN, то скорее всего вы уже обеспокоены вопросами слежки и цензуры, а также тем, что это обычно две стороны одной медали. Фонд Electronic Frontier Foundation предоставляет отличное руководство для обхода сетевой цензуры в рамках своего руководства по уходу от слежки.

Даже если вы уже знаете что-то о цензуре, мы приглашаем вас освежить свои знания. Игра между цензорами и людьми, которые пытаются получить доступ к свободному интернету, постоянно усложняется. Нужно постоянно обновлять свои знания, чтобы понимать, где может произойти блокировка, как работают методы обхода этих блокировок, как помочь другим людям разработать методы обхода и так далее.

Если вас больше привлекают мертвые деревья или их электронные книги, есть небольшая книга ARTICLE 19, которую мы не можем не похвалить: «Как работает Интернет на самом деле — иллюстрированное руководство по протоколам, конфиденциальности, цензуре и управлению». Там подробно рассказывается об обходе цензуры. В результате прочтения у вас будет глубокое понимание, как работает Интернет (а ещё там есть несколько иллюстраций с котиками!).

Различные модальности интернет-вмешательства

Кто может подвергать интернет цензуре?

Блокировку или фильтрацию могут выполнять администраторы вашей локальной сети или ваш интернет-провайдер (ISP). Во многих случаях правительства вынуждают интернет-провайдеров вводить блокировку или фильтрацию.

Какова цель блокировки?

Блокировка (на веб-сайтах) может происходить на многих уровнях: два распространенных примера — это блокировка на уровне IP-адреса или вмешательство в DNS (система доменных имен: та вещь, которая позволяет вам вводить забавные имена в строке браузера вместо очень длинной серия цифр — и то же самое, что заставляет вас покупать крутые доменные имена для вашего нового проекта или компании).

В зависимости от того, как препятствуют доступу к контенту, можно выделить несколько категорий блоков:

1. Блокирование веб-сайта по IP

Доступ к определенному IP-адресу запрещен. Если несколько веб-сайтов используют один и тот же IP (например, если они размещены на одном компьютере), то все эти сайты будут недоступны.

2. Блокирование веб-сайта по DNS

Доступ к веб-сайту закрывается путем изменения записей DNS таким образом, что доменное имя веб-сайта не допускается в его IP-адрес.

3. Замедление трафика

Интернет-провайдеры могут замедлять скорость определенных веб-сайтов, затрудняя их использование.

4. Фильтрация по протоколу

Интернет-провайдеры блокируют определенные типы интернет-трафика, такие как загрузка файлов, анонимайзеры и виртуальные частные сети, на основе используемого протокола (например, OpenVPN).

5. Deep Packet Inspection:

Даже зашифрованный трафик может быть отслежен по метапараметрам (длина пакета и содержание незашифрованного заголовка, если таковой имеется). Соединения, которые считаются подозрительными, блокируются.

6. Удаление контента

Правительство оказывает давление на владельцев контента или платформы с целью удаления контента из сети.

7. Нарушение работы сети:

Правительство нарушает нормальный ход работы интернета. Это может включать атаки типа DoSа или принуждение интернет-провайдеров к временной приостановке работы в определенных районах.

Цензура в более широком контексте

Цензура - сложная тема, и мы можем подходить к ней с разных сторон. Access Сейчас разработана Таксономия отключений Интернета, которая частично совпадает с классификацией, предложенной нами выше. Согласно ей, вмешательство в работу интернета может варьироваться от полного отключения инфраструктуры до нарушения маршрутизации, DNS-манипуляций, выборочной фильтрации, deep packet inspection, враждебной инфраструктуры, отказа в обслуживании или замедления трафика.

Как VPN помогает справиться с цензурой?

  • VPN работает для обхода “обычных” блокировок веб-сайтов, но затем интернет-провайдеры или правительства пытаются обнаружить и заблокировать VPN. Это довольно утомительная игра.

  • VPN обычно совершает несколько действий, чтобы подключить вас к сети, и все эти шаги являются потенциальными целями, которые правительства и интернет-провайдеры могут заблокировать - и для которых у нас тоже есть некоторые контр-меры.

  • Правительства или интернет-провайдеры обычно пытаются блокировать VPN на четырех уровнях:

    1. Участки распространения приложения (например, закрытие магазина приложений),
    2. Блокирование доступа к первоначальному обнаружению и настройке шлюзов,
    3. Блокирование доступа к самим VPN-шлюзам;
    4. Не делают ничего из вышеперечисленного, позволяют соединению произойти, а затем ухудшают соединение до такой степени, что все становится мучительно медленно, и тогда пользователь (не вы!) устает, разочаровывается, скучает и а затем клянется никогда больше не использовать VPN. Это широко известно как “замедление трафика” - и его обнаружение с достаточным количеством эмпирических доказательств оказывается особенно трудным вопросом.

  • Некоторым попыткам “заблокировать” доступ к VPN легче противостоять, чем другим.

  • Использование некоторыхVPN-протоколов легче обнаружить, чем других. Vanil OpenVPN (да, то, что мы используем для обычных шлюзов) особенно легко заблокировать.

  • Хорошей новостью является то, что есть некоторые протоколы, которые, как известно, не поддаются распространенным методам обнаружения - по крайней мере, в течение некоторого времени.

  • Даже если вам повезет, и вам удастся заставить работать VPN-туннель, веб-сайты, которые вы посещаете, также могут определить, что вы используете VPN, и принять решение не показывать вам их содержимое. Обычно для этого они платят третьим лицам за списки, в которых собраны общие диапазоны IP-адресов известных VPN-шлюзов. Это называется геофенсинг (тип блокировки на стороне сервера).

1. Когда веб-сайт фильтруется (или замедляется) по IP

Когда пользователь получает доступ к веб-сайту с помощью LEAP VPN, интернет-провайдер не видит, к какому конкретно веб-сайту обращается пользователь. С точки зрения провайдера, компьютер пользователя разговаривает с рандомной машиной в другой стране.

Для регулярных шлюзов, даже если конкретный веб-сайт не виден, провайдер Интернет-услуг может обнаружить использование OpenVPN и попытаться замедлить трафик или заблокировать VPN-соединение. сам.

При использовании мостов, туннель обфусцируется до шлюза, и мы предполагаем, что VPN-шлюз имеет нефильтрованный доступ в интернет.

2. Когда веб-сайт блокируется DNS

LEAP VPN направляет все DNS-запросы приложений через VPN-шлюз. Поскольку соединение со шлюзом зашифровано, DNS-запросы не могут быть замечены или заблокированы провайдером.

3. Фильтрация по протоколу и с помощью deep packet tracking

Провайдеры могут блокировать соединения OpenVPN и пытаться сделать список шлюзов для блокировки их по IP.

Именно поэтому мы рекомендуем использовать мосты для доступа к шлюзам из цензурированной среды. Мосты используют obfs4 протокол для инкапсулировать и таким образом спрятать передачу данных OpenVPN между пользователем и мостом. мостом. Со стороны туннель obfs4 выглядит как обмен шумом, что в теории помогает пройти под радаром цензоров (но высокоэнтропийный трафик имеет свои проблемы).

Мы также работаем над непубличными мостами, которые будет сложнее перечислить, и, следовательно, уменьшить вероятность блокировки.

4. Удаление контента и сбои в работе сети, ориентированные на предоставление услуг

VPN не может помочь в этих вопросах, но может быть использована в сочетании с другими инструментами. Можно использовать устойчивые к цензуре децентрализованные платформы, такие как Fediverse, чтобы меньше встречаться с удалением контента. Для более надежного интернет-сервиса можно рассмотреть спутниковый интернет, стационарные ячеистые сети, такие как Freifunk, если такие существуют в регионе, мобильные ячеистые сети или использование небольших провайдеров (ну или их комбинации).

Как сделать использование VPN более устойчивым к цензуре

Есть несколько методов, которые можно использовать с LEAP VPN, которые помогают противостоять некоторым из упомянутых выше блокировок. Часть из них будут использованы автоматически, другие потребуют от пользователя изменения настроек приложения.

На начальном этапе (загрузка туннеля)

  • Если нам не удастся получить начальную конфигурацию, клиенты LEAP VPN попытаются получить ее с помощью Snowflake (требуется установленный Tor).
  • Отпечаток TLS, используемый библиотеками рабочего стола, может показать, что это не браузер. Мы включаем uTLS, чтобы имитировать поведение браузера (и быть менее заметными в массе сетевых следов).

Использование мостов для подключения к шлюзу OpenVPN

То, что мы называем мостами - это обфусцированные прокси, которые передают трафик до конечного пункта назначения на шлюзе. Использование мостов позволяет избежать того, что ISP обнаружит, что пользователь создает VPN-туннель.

Кстати, мы позаимствовали термин “мост” у сообщества Tor, надеясь, что использование известной метафоры облегчает перевод одной и той же идеи.

Мы используем два подключаемых транспорта с различными вариантами конфигурации:

1. obfs4
2. obfs4 в режиме KCP
3. obfs4 в режиме hopping.

Вы можете просмотреть страницу Hopping Transport для получения более подробной технической информации о том, как работает hopping.

Мониторинг

Вам не нужно быть экспертом или ученым, чтобы участвовать в исследованиях цензуры (да, эксперт и учёный не всегда эквивалентны). На самом деле, некоторые из наиболее ценных сведений о том, что используют различные цензоры и какие еще методы обхода цензуры остаются жизнеспособными, сделаны анонимами, которые добровольно жертвуют своё временем и используют навыки для расширения наших коллективных знаний.

Если вам это интересно, внимательно прочитайте страницу о мониторинге VPN с помощью Open Observatory for Network Interference.

gdoc_arrow_left_alt обзор учебники gdoc_arrow_right_alt