Zpět na domů

DPI, TSPU a obcházení blokování: Technologie internetové cenzury

Hloubková analýza paketů (DPI) a TSPU — klíčové mechanismy současné internetové cenzury. Prozkoumejte jejich fungování, metody L7-blokování a pokročilé strategie obcházení pro techniky.

DPI, TSPU a obcházení blokování: Technologie internetové cenzury a strategie pro techniky
Advertisement 728x90

Hloubková inspekce paketů: Mechanizmy internetové cenzury a strategie obcházení pro IT specialisty

V dnešním světě je internetová cenzura stále sofistikovanější a její metody technologicky pokročilejší. Státy aktivně zavádějí systémy hloubkové inspekce paketů (DPI) a další infrastrukturní řešení pro kontrolu provozu, zpomalení nebo úplné blokování nežádoucích zdrojů. Tento článek podrobně prozkoumá architekturu těchto systémů, jejich evoluci od primitivních IP blokací k inteligentní analýze L7, a také arzenál technických prostředků, které uživatelé a vývojáři používají k obcházení těchto omezení, poskytující hluboký pohled pro specialisty.

Evoluce státní cenzury na internetu

Historicky internetové blokace začínaly relativně jednoduchými metodami. První pokusy o státní kontrolu provozu se omezovaly na blokování podle IP adresy nebo DNS záznamů. Když Roskomnadzor (RKN) zapsal IP adresu do registru, poskytovatelé byli povinni zahazovat veškerý provoz směřující na tuto adresu. Takový přístup, fungující na síťové vrstvě L3, byl levný a rychlý na implementaci, ale vyznačoval se extrémní nepřesností. Blokování celých podsítí, jako jsou rozsahy CIDR, vedlo k takzvaným kolaterálním blokacím: pod zákaz se dostaly tisíce, ba miliony legitimních zdrojů, umístěných na stejných IP adresách nebo ve stejných cloudových infrastrukturách jako cílový objekt. Jasným příkladem bylo blokování Amazon AWS v roce 2018 ve snaze zablokovat Telegram, což vedlo k masivním výpadkům v provozu mnoha třetích stran.

S rozvojem technologií a zvyšujícími se požadavky na přesnost blokací přešly státní orgány k složitějším nástrojům. Klíčovým krokem bylo zavedení Technických Prostředků Proti Hrozbám (TSPU – Technické prostředky pro potlačení hrozeb) – specializovaného zařízení, vybaveného moduly Deep Packet Inspection (DPI). Tyto „železné krabice“, instalované v sítích všech poskytovatelů, umožňují nejen zahazovat pakety podle adresy, ale také je otevírat a analyzovat jejich obsah. Pokud dříve poskytovatel viděl pouze „obálku“ (IP adresu), DPI nyní umožňuje „přečíst dopis“, tedy analyzovat protokoly, signatury aplikací a dokonce i konkrétní domény, skryté za šifrováním. To dalo RKN bezprecedentní kontrolu nad provozem, umožňující blokovat nebo zpomalovat zdroje v reálném čase, bez přímé účasti poskytovatelů.

Google AdInline article slot

Technologie hloubkové inspekce paketů (DPI) a jejich použití

DPI systémy fungují na sedmé vrstvě síťového modelu OSI – aplikační vrstvě (L7), což výrazně rozšiřuje jejich možnosti ve srovnání s L3 blokacemi. Jsou schopny analyzovat nejen IP adresy, ale i hlavičky protokolů, signatury konkrétních aplikací a také vzorce provozu. Například při navazování šifrovaného HTTPS spojení váš prohlížeč odešle první paket – TLS ClientHello. V tomto paketu je obsaženo Server Name Indication (SNI) – název domény, ke které se připojujete. Přestože samotný obsah provozu je poté šifrován, SNI v paketu ClientHello je přenášeno v otevřené podobě, což umožňuje DPI systémům jej zachytit a rozhodnout o blokování nebo propuštění spojení. Technologie jako ESNI (Encrypted SNI) a ECH (Encrypted ClientHello) byly vyvinuty právě proto, aby tuto značku zašifrovaly a zbavily DPI možnosti ji číst.

Kromě blokování může být DPI použito pro throttling – umělé zpomalení provozu k určitým zdrojům. To je obzvláště relevantní pro velké platformy, jako je YouTube, kde formální blokování není žádoucí, ale je potřeba omezit dostupnost obsahu. DPI systémy jsou trénovány k rozpoznávání signatur populárních VPN protokolů, jako jsou OpenVPN a WireGuard, což je činí zranitelnými vůči detekci a blokování. To stimuluje vývoj složitějších a obfuskovaných metod obcházení cenzury.

Je důležité si uvědomit, že DPI není jediným nástrojem státní kontroly. Paralelně s ním fungují systémy operativně-pátracích opatření (SORM – Systém operativně-pátracích opatření), které jsou poskytovatelé povinni instalovat ve svých sítích. Na rozdíl od TSPU s DPI, SORM neblokuje provoz, ale kopíruje jej a předává speciálním službám k analýze. SORM-3, nejpokročilejší generace, je schopen hloubkově analyzovat veškerý provoz, včetně korespondence v messengerech a sociálních sítích, pokud služba nepoužívá end-to-end šifrování (E2E šifrování).

Google AdInline article slot

Metody obcházení blokací a jejich rozvoj

V reakci na zpřísňování cenzury a rozvoj DPI systémů uživatelé a vývojáři neustále zdokonalují metody obcházení blokací. Tradiční VPN služby, vytvářící šifrovaný tunel mezi zařízením uživatele a vzdáleným serverem, zůstávají jedním z nejrozšířenějších nástrojů. Nicméně, jak bylo zmíněno, DPI systémy se naučily rozpoznávat signatury standardních VPN protokolů, což vede k jejich blokování.

To vedlo k vzniku a popularizaci pokročilejších a obfuskovaných protokolů a nástrojů:

  • Shadowsocks, VLESS, XRay: Tyto protokoly jsou navrženy tak, aby maskovaly provoz jako běžné HTTPS spojení. Nemají snadno rozpoznatelné signatury a pro DPI vypadá šifrovaný provoz jako běžné procházení webu. Například VLESS ve spojení s XTLS-Reality dokáže tak přesvědčivě imitovat spojení se skutečnou legitimní webovou stránkou, že je extrémně obtížné jej odlišit od běžného HTTPS provozu. Tyto nástroje se staly hlavním způsobem obcházení blokací poté, co TSPU začaly efektivně blokovat OpenVPN a WireGuard.
  • Tor (The Onion Router): Síť Tor zajišťuje anonymitu směrováním provozu přes několik zprostředkujících uzlů po celém světě. To činí sledování uživatele prakticky nemožným. Používání Toru je však spojeno s určitými riziky pro operátory výstupních uzlů (exit nodes), protože z jejich IP adresy může pocházet provoz, za který nesou právní odpovědnost.
  • Proxy/anonymizéry: Jednoduché proxy servery, které stahují obsah za uživatele. Jsou méně chráněné než VPN nebo Tor, ale mohou být účinné pro přístup k jednoduchým zablokovaným webům.
  • Domain Fronting: Historicky používal Telegram v roce 2018. Tato metoda maskuje provoz cílové služby jako požadavky na velké legitimní CDN poskytovatele (například Google, Amazon). Zvenčí vypadá provoz jako běžný přístup k povolené službě, ale uvnitř je přesměrován na zablokovaný zdroj. Účinnost této metody se snížila, protože velcí CDN poskytovatelé začali aktivně bojovat proti jejímu používání.
  • goodbyedpi / zapret: Jedná se o open-source utility, které fungují lokálně na zařízení uživatele. Nešifrují provoz a nevyžadují externí servery, ale manipulují s TCP pakety tak, aby oklamaly DPI. Například mohou záměrně rozdělit TLS ClientHello do několika TCP segmentů, čímž zabrání DPI shromáždit kompletní signaturu a rozhodnout o blokování. Tyto nástroje se staly masově populární, když TSPU začalo omezovat přístup k YouTube.

Tento závod ve zbrojení mezi cenzory a obcházeči cenzury demonstruje neustálý vývoj technologií na obou stranách.

Google AdInline article slot

Právní a infrastrukturní aspekty kontroly

Kromě čistě technických prostředků se ruský systém internetové kontroly opírá o složitou právní a infrastrukturní základnu. Takzvaný „Jarovajův zákon“ (374-FZ a 375-FZ) uložil telekomunikačním operátorům povinnost uchovávat obrovské objemy uživatelských dat a poskytovat šifrovací klíče speciálním službám, což posloužilo jako formální důvod pro blokování Telegramu v roce 2018. „Lugovojův zákon“ (398-FZ) udělil Generální prokuratuře právo na mimosoudní blokování webových stránek.

Infrastrukturně, koncept „suverénního Runetu“, zakotvený v zákoně z roku 2019, předpokládá vytvoření Národního systému doménových jmen (NSDI – Národní systém doménových jmen) – ruského analogu globální DNS. To umožňuje státu kontrolovat doménová jména v ruské zóně viditelnosti autonomně, bez odkazování na mezinárodní kořenové servery. Ve spojení s TSPU dává NSDI možnost fakticky „odpojovat“ segmenty internetu nebo jednotlivé zdroje pro ruské uživatele. Účinnost kontroly se také zvyšuje díky automatizovaným monitorovacím systémům, jako je hardwarově-softwarový komplex „Revizor“. Tato sonda, instalovaná u poskytovatelů, nepřetržitě simuluje akce uživatele, ověřuje dostupnost zablokovaných zdrojů a automaticky zaznamenává porušení, což eliminuje lidský faktor a zvyšuje disciplínu blokování.

V podmínkách totální kontroly stát také vytváří „bílé seznamy“ – seznamy webových stránek a služeb, které budou zaručeně fungovat i v případě globálních výpadků nebo zpřísnění blokací. Zařazení do takového seznamu obvykle vyžaduje umístění serverů na území Ruska a plné dodržování místní legislativy, což fakticky znamená souhlas se státní regulací a přístupem k datům.

Co je důležité

  • Internetová cenzura se vyvinula od jednoduchých IP blokací k složitým systémům hloubkové inspekce paketů (DPI), fungujícím na úrovni L7.
  • DPI systémy, jako je TSPU, analyzují hlavičky protokolů a signatury aplikací, včetně SNI v TLS ClientHello, pro cílené blokování.
  • Pro obcházení moderní cenzury se používají pokročilé techniky, maskující provoz jako běžný HTTPS (Shadowsocks, VLESS, XRay) nebo manipulující s pakety (goodbyedpi).
  • Paralelně s blokacemi fungují monitorovací systémy (SORM) a rozvíjí se infrastruktura „suverénního internetu“ (NSDI), posilující státní kontrolu.
  • Závod ve zbrojení mezi cenzory a vývojáři nástrojů pro obcházení je neustálý a vyžaduje nepřetržitý vývoj technologií na obou stranách.

— Editorial Team

Advertisement 728x90

Číst dál