Zurück zur Startseite

DPI, TSPU und Umgehung von Sperren: Technologien der Internetzensur

Tiefenpaketinspektion (DPI) und TSPU — zentrale Mechanismen der modernen Internetzensur. Studieren Sie deren Funktionsweise, L7-Sperrmethoden und fortgeschrittene Umgehungsstrategien für Techies.

DPI, TSPU und Umgehung von Sperren: Technologien und Strategien der Internetzensur für Techies
Advertisement 728x90

Deep Packet Inspection: Mechanismen der Internetzensur und Umgehungsstrategien für Tech-Profis

In der heutigen Welt wird die Internetzensur immer ausgefeilter, und ihre Methoden entwickeln sich technologisch weiter. Regierungen implementieren aktiv Deep Packet Inspection (DPI)-Systeme und andere Infrastrukturlösungen, um den Datenverkehr zu kontrollieren, zu verlangsamen oder unerwünschte Ressourcen vollständig zu blockieren. Dieser Artikel beleuchtet die Architektur solcher Systeme, ihre Entwicklung von primitiver IP-Blockierung bis zur intelligenten L7-Analyse und das Arsenal technischer Tools, die Benutzer und Entwickler einsetzen, um diese Beschränkungen zu umgehen, und bietet damit einen tiefen Einblick für Spezialisten.

Die Entwicklung der staatlichen Internetzensur

Historisch begann die Internetblockierung mit relativ einfachen Methoden. Frühe Versuche der staatlichen Datenverkehrskontrolle beschränkten sich auf die Blockierung nach IP-Adresse oder DNS-Einträgen. Wenn Roskomnadzor (RKN), Russlands Internet-Aufsichtsbehörde, eine IP-Adresse in ihr Register aufnahm, waren Internetdienstanbieter (ISPs) verpflichtet, den gesamten an diese Adresse gerichteten Datenverkehr zu unterbinden. Dieser Ansatz, der auf der L3-Netzwerkschicht operierte, war kostengünstig und schnell umzusetzen, litt aber unter extremer Ungenauigkeit. Das Blockieren ganzer Subnetze, wie z.B. CIDR-Bereiche, führte zu sogenannter Kollateralblockierung: Tausende oder sogar Millionen legitimer Ressourcen, die auf denselben IP-Adressen oder innerhalb derselben Cloud-Infrastrukturen wie das Zielobjekt gehostet wurden, wurden unbeabsichtigt blockiert. Ein prominentes Beispiel war die Blockierung von Amazon AWS im Jahr 2018 im Versuch, Telegram zu blockieren, was zu weitreichenden Störungen für zahlreiche Drittanbieterdienste führte.

Mit fortschreitender Technologie und dem steigenden Bedarf an präziserer Blockierung wechselten Regierungsbehörden zu komplexeren Tools. Ein wichtiger Schritt war die Implementierung von Technischen Mitteln zur Bedrohungsabwehr (TMTAC) – spezialisierte Ausrüstung, die mit Deep Packet Inspection (DPI)-Modulen ausgestattet ist. Diese „Hardware-Boxen“, die in den Netzwerken aller ISPs installiert sind, ermöglichen nicht nur das Verwerfen von Paketen nach Adresse, sondern auch die Überprüfung und Analyse ihres Inhalts. Während ein ISP zuvor nur den „Umschlag“ (IP-Adresse) sah, ermöglicht DPI nun, den „Brief zu lesen“ – Protokolle, Anwendungssignaturen und sogar spezifische, hinter Verschlüsselung verborgene Domains zu analysieren. Dies verschaffte RKN eine beispiellose Kontrolle über den Datenverkehr, wodurch Ressourcen in Echtzeit blockiert oder gedrosselt werden konnten, ohne direkte Beteiligung des ISPs.

Google AdInline article slot

Deep Packet Inspection (DPI)-Technologien und ihre Anwendung

DPI-Systeme arbeiten auf der siebten Schicht des OSI-Netzwerkmodells – der Anwendungsschicht (L7), was ihre Fähigkeiten im Vergleich zur L3-Blockierung erheblich erweitert. Sie können nicht nur IP-Adressen analysieren, sondern auch Protokoll-Header, spezifische Anwendungssignaturen und Datenverkehrsmuster. Wenn Sie beispielsweise eine verschlüsselte HTTPS-Verbindung herstellen, sendet Ihr Browser das erste Paket – das TLS ClientHello. Dieses Paket enthält die Server Name Indication (SNI) – den Domainnamen, mit dem Sie sich verbinden. Obwohl der Inhalt des Datenverkehrs danach selbst verschlüsselt ist, wird die SNI im ClientHello-Paket im Klartext übertragen, wodurch DPI-Systeme sie abfangen und entscheiden können, ob die Verbindung blockiert oder zugelassen wird. Technologien wie ESNI (Encrypted SNI) und ECH (Encrypted ClientHello) wurden genau entwickelt, um diesen Indikator zu verschlüsseln und DPI die Fähigkeit zu nehmen, ihn zu lesen.

Über die Blockierung hinaus kann DPI zur Drosselung eingesetzt werden – einer künstlichen Verlangsamung des Datenverkehrs zu bestimmten Ressourcen. Dies ist besonders relevant für große Plattformen wie YouTube, wo eine vollständige Blockierung unerwünscht ist, aber die Begrenzung der Inhaltsverfügbarkeit angestrebt wird. DPI-Systeme sind darauf trainiert, die Signaturen gängiger VPN-Protokolle wie OpenVPN und WireGuard zu erkennen, wodurch diese anfällig für Erkennung und Blockierung werden. Dies fördert die Entwicklung komplexerer und verschleierter Methoden zur Umgehung der Zensur.

Es ist entscheidend zu verstehen, dass DPI nicht das einzige Werkzeug zur staatlichen Kontrolle ist. Daneben existieren Systeme für Operative Ermittlungsaktivitäten (SORM), die ISPs auf ihren Netzwerken installieren müssen. Im Gegensatz zu TMTAC mit DPI blockiert SORM den Datenverkehr nicht, sondern kopiert und übermittelt ihn zur Analyse an spezielle Dienste. SORM-3, die fortschrittlichste Generation, ist in der Lage, den gesamten Datenverkehr tiefgehend zu analysieren, einschließlich Nachrichten in Instant Messengern und sozialen Netzwerken, sofern der Dienst keine Ende-zu-Ende-Verschlüsselung (E2E-Verschlüsselung) verwendet.

Google AdInline article slot

Methoden zur Umgehung von Blockaden und ihre Entwicklung

Als Reaktion auf die verschärfte Zensur und die Entwicklung von DPI-Systemen verfeinern Benutzer und Entwickler ständig Methoden zur Umgehung von Blockaden. Traditionelle VPN-Dienste, die einen verschlüsselten Tunnel zwischen dem Gerät des Benutzers und einem entfernten Server herstellen, bleiben eines der gängigsten Tools. Wie jedoch erwähnt, haben DPI-Systeme gelernt, die Signaturen standardmäßiger VPN-Protokolle zu erkennen, was zu deren Blockierung führt.

Dies hat zur Entstehung und Popularisierung fortschrittlicherer und verschleierter Protokolle und Tools geführt:

  • Shadowsocks, VLESS, XRay: Diese Protokolle sind darauf ausgelegt, den Datenverkehr als reguläre HTTPS-Verbindungen zu tarnen. Sie besitzen keine leicht erkennbaren Signaturen, und für DPI erscheint der verschlüsselte Datenverkehr als gewöhnliches Web-Browsing. Zum Beispiel kann VLESS in Kombination mit XTLS-Reality eine Verbindung zu einer echten, legitimen Website so überzeugend nachahmen, dass die Unterscheidung von normalem HTTPS-Verkehr extrem schwierig wird. Diese Tools wurden zum primären Mittel zur Umgehung von Blockaden, nachdem TMTAC begann, OpenVPN und WireGuard effektiv zu blockieren.
  • Tor (The Onion Router): Das Tor-Netzwerk bietet Anonymität, indem es den Datenverkehr über mehrere Vermittlungsknoten weltweit leitet. Dies macht die Verfolgung von Benutzern praktisch unmöglich. Die Nutzung von Tor birgt jedoch bestimmte Risiken für Exit-Node-Betreiber, da der von ihrer IP-Adresse ausgehende Datenverkehr zu rechtlicher Haftung führen kann.
  • Proxys/Anonymisierer: Einfache Vermittlungsserver, die Inhalte im Namen des Benutzers herunterladen. Sie sind weniger sicher als VPNs oder Tor, können aber effektiv sein, um auf einfache blockierte Websites zuzugreifen.
  • Domain Fronting: Historisch von Telegram im Jahr 2018 verwendet. Diese Methode tarnt den Datenverkehr des Zieldienstes als Anfragen an große, legitime CDN-Anbieter (z.B. Google, Amazon). Extern erscheint der Datenverkehr als normale Anfrage an einen erlaubten Dienst, wird aber intern auf die blockierte Ressource umgeleitet. Die Effektivität dieser Methode hat abgenommen, da große CDN-Anbieter ihre Nutzung aktiv bekämpft haben.
  • goodbyedpi / zapret: Dies sind Open-Source-Dienstprogramme, die lokal auf dem Gerät des Benutzers ausgeführt werden. Sie verschlüsseln den Datenverkehr nicht und benötigen keine externen Server, manipulieren aber TCP-Pakete auf eine Weise, die DPI täuscht. Zum Beispiel können sie das TLS ClientHello absichtlich in mehrere TCP-Segmente aufteilen, wodurch DPI daran gehindert wird, eine vollständige Signatur zusammenzusetzen und eine Blockierungsentscheidung zu treffen. Diese Tools wurden massiv populär, als TMTAC begann, den Zugang zu YouTube zu drosseln.

Dieses Wettrüsten zwischen Zensoren und Umgehungsentwicklern zeigt den kontinuierlichen technologischen Fortschritt auf beiden Seiten.

Google AdInline article slot

Rechtliche und infrastrukturelle Aspekte der Kontrolle

Über rein technische Mittel hinaus stützt sich das russische Internetkontrollsystem auf einen komplexen rechtlichen und infrastrukturellen Rahmen. Das sogenannte „Jarowaja-Gesetz“ (Bundesgesetze 374-FZ und 375-FZ) verpflichtete Telekommunikationsbetreiber, große Mengen an Benutzerdaten zu speichern und Verschlüsselungsschlüssel an spezielle Dienste bereitzustellen, was als formeller Vorwand für die Blockierung von Telegram im Jahr 2018 diente. Das „Lugowoi-Gesetz“ (Bundesgesetz 398-FZ) verlieh der Generalstaatsanwaltschaft das Recht zur außergerichtlichen Website-Blockierung.

In Bezug auf die Infrastruktur sieht das Konzept eines „souveränen Internets“, das in einem Gesetz von 2019 verankert ist, die Schaffung eines Nationalen Domain Name Systems (NDNS) vor – ein russisches Analogon zum globalen DNS. Dies ermöglicht es dem Staat, Domainnamen innerhalb der russischen Sichtbarkeitszone autonom zu kontrollieren, ohne auf internationale Root-Server zurückgreifen zu müssen. In Verbindung mit TMTAC ermöglicht NDNS die effektive „Trennung“ von Internetsegmenten oder einzelnen Ressourcen für russische Benutzer. Die Wirksamkeit der Kontrolle wird auch durch automatisierte Überwachungssysteme wie den Hard- und Softwarekomplex „Revisor“ verbessert. Diese Sonde, die bei ISPs installiert ist, simuliert kontinuierlich Benutzeraktionen, überprüft die Verfügbarkeit blockierter Ressourcen und zeichnet Verstöße automatisch auf, wodurch der menschliche Faktor eliminiert und die Blockierungsdisziplin verbessert wird.

Unter Bedingungen der totalen Kontrolle erstellt der Staat auch „Whitelists“ – Listen von Websites und Diensten, die auch bei globalen Ausfällen oder verschärften Blockaden garantiert funktionieren. Die Aufnahme in eine solche Liste erfordert in der Regel, dass Server in Russland ansässig sind und die lokale Gesetzgebung vollständig eingehalten wird, was effektiv die Zustimmung zur staatlichen Regulierung und zum Datenzugriff bedeutet.

Wichtige Erkenntnisse

  • Die Internetzensur hat sich von einfacher IP-Blockierung zu ausgeklügelten Deep Packet Inspection (DPI)-Systemen entwickelt, die auf L7 arbeiten.
  • DPI-Systeme wie TMTAC analysieren Protokoll-Header und Anwendungssignaturen, einschließlich SNI in TLS ClientHello, für gezielte Blockierung.
  • Fortschrittliche Techniken, die den Datenverkehr als reguläres HTTPS tarnen (Shadowsocks, VLESS, XRay) oder Pakete manipulieren (goodbyedpi), werden verwendet, um moderne Zensur zu umgehen.
  • Neben der Blockierung entwickeln sich Überwachungssysteme (SORM) und die Infrastruktur eines „souveränen Internets“ (NDNS), die die staatliche Kontrolle stärken.
  • Das Wettrüsten zwischen Zensoren und Entwicklern von Umgehungstools ist konstant und erfordert kontinuierlichen technologischen Fortschritt auf beiden Seiten.

— Editorial Team

Advertisement 728x90

Weiterlesen