Onderzoekers Universiteit Toronto: Great Firewall blokkeert 311.000 domeinen

Onderzoekers van CitizenLab, een afdeling van de Universiteit van Toronto, hebben een grootschalig platform ontwikkeld, GFWatch, dat helpt de censuur van de Chinese Great Firewall in kaart te brengen. Daaruit blijkt dat de Great Firewall ongeveer 311.000 domeinen blokkeert.

Om te weten te komen hoe de Chinese firewall precies te werk gaat, hebben de onderzoekers van de Universiteit van Toronto een systeem ontwikkeld dat op basis van domain name system-filtering kan uitmaken welke domeinnamen worden toegelaten in China en welke niet. Aan de hand van reverse engineering konden ze vervolgens een blacklist opstellen waarop ongeveer 311.000 domeinnamen prijken die geblokkeerd worden.

Daarvan zouden ongeveer 41.000 domeinnamen ten onrechte worden weerhouden van in China surfende internetgebruikers. Sommige van die domeinnamen bevatten volgens de onderzoekers ook een letter- of woordcombinatie die voorkomt in geblokkeerde domeinnamen. Hierdoor worden ze naar verluidt ten onrechte geblokkeerd. Ze geven als voorbeeld mentorproject.org, waarin 'torproject.org' is verwerkt, terwijl die site geen banden heeft met het tor-netwerk.

De meeste geblokkeerde domeinnamen werden onderverdeeld in tien categorieën. Daaruit blijkt dat domeinnamen uit de categorieën bedrijfswereld, porno-industrie en informatietechnologie het vaakst werden tegengehouden. Ongeveer 40 procent werd onderverdeeld onder de categorie 'newly observed domain' en dat geeft aan dat het om relatief nieuwe domeinnamen gaat.

De onderzoekers vermoeden dat de filtering deels automatisch en deels handmatig gebeurt. Ze kwamen tot die conclusie nadat ze enkele domeinnamen waarin het coronavirus wordt vermeld, hadden gevolgd en merkten dat deze, in sommige gevallen, relatief laat werden geblokkeerd door de firewall in vergelijking met andere geblokkeerde domeinnamen.

Informatie op websites die volgens de Chinese overheid als gevoelig kan worden beschouwd, kan volgens de onderzoekers ook een reden zijn om geblokkeerd te worden in China. In het onderzoek wordt vermeld dat enkele Amerikaanse websites werden geblokkeerd nadat ze content hadden gepost over de Oeigoerengemeenschap in China. Een website van het filmfestival van Cannes werd dan weer geblokkeerd omdat het festival een documentaire vertoonde over de protesten in Hongkong. Op een aparte dashboard-pagina houden de onderzoekers hun realtime bevindingen bij.

Dashboard-uitsnit GF Watch
Dashboard-uitsnit GF Watch

Door Jay Stout

Redacteur

08-11-2021 • 14:59

30

Reacties (30)

Sorteer op:

Weergave:

Hoe zit die Great Firewall technisch eigenlijk in elkaar? Is het echt zo sophisticated als doet voorkomen?
De Great Firewall werkt op een aantal manieren.

Ten eerste zijn er simpele IP en DNS gebaseerde blacklists. Dit geldt voor uitgaand verkeer (verbinding opgezet vanuit buiten China) en inkomend (verbinding opgezet vanuit Cina). Al is je IP buiten China ooit een Tor relay of exit node geweest, dan kan je daarmee bepaalde Chinese sites (die vanuit China zelf gehost worden) niet bereiken. Dit komt omdat alle Tor relay adressen openbaar zijn, en door China geblokkeerd worden.

Andersom zijn er blacklists voor opgevraagd verkeer (verkeer opgevraagd vanuit China). Een simpel en bekend voorbeeld is Steam Community. Steam zelf is prima bereikbaar, maar de community services zijn dit niet. Ook worden zaken als Google, Facebook, etc. geblokkeerd.

Daarnaast zijn er actieve beschermingen, die bepaalde protocollen blokkeren. Als iemand uit China een verbinding opzet naar TCP 443 buiten China, dan wordt die verbinding initieel altijd toegestaan (mits het IP niet blacklisted is). Binnen korte tijd (seconden, minuten) voert China een actieve scan uit op de betreffende poort om te kijken of het legitiem is (enkele HTTPS, niet (ook) VPN). Als een VPN wordt toegestaan, dan wordt de bestaande en nieuwe verbindingen geblokkeerd. Tevens is de opgebouwde verbinding onderhevig aan deep packet inspection, om ook zo ongewenste karakteristieken te kunnen herkennen.

De truc zit hem in dat het allemaal blacklists gebaseerd op bekende VPN karakteristieken betreft. Je kan er dus omheen werken. Obfuscatie werkt (als in dat verkeer helemaal niet herkenbaar is), bijvoorbeeld door wrapping. Dit werkt voor Tor verkeer via bridges, maar ook voor eigen VPN verbindingen.

Zoals @flippy noemt, check ook Wikiepdia. Er is voldoende over geschreven.

Als je morgen naar China vliegt en je hebt nu iets nodig, zet dan een (up-to-date en hardened) SSH server op, eventueel op een niet standaard poort. SSH wordt niet geblokkeerd. Via SSH kan je TCP sessies wrappen, zoals proxies, VPN's, ... Hou wel rekening met dat TCP over TCP geen goed idee is, zeker niet als je een brakke verbinding hebt aan één of beide kanten.

[Reactie gewijzigd door The Zep Man op 22 juli 2024 18:49]

Nette uitleg. En daarom zit ik altijd op T.net 👍
Er zijn best wat papers te vinden over de GFW. Ook interessant leesvoer hier.

Interessant om te vermelden is dat "de GFW" geen monoliet is. Hoe het technisch exact in elkaar zit weten we niet, we kunnen enkel empirisch kijken wat het doet. Vermoedelijk zitten er bij elke ISP regionaal een aantal GFW servers in de racks die alles mirroren, en zoals Zep al zei wordt er dan op een aantal manieren ingegrepen. In den beginne maakte de GFW vooral gebruik van DNS poisoning en simpele IP/poort/domein blocks, maar tegenwoordig laat men vaak het eerste stukje verkeer toe om de datastroom te analyseren en onderbreekt men pas later de verbinding met een TCP RST. Initieel zijn deze blokkades tijdelijk, misschien een paar uur tot een paar dagen. Als men na een aantal keer blokkeren zeker is dat het een 'illegale' datastroom is, blokkeert men de poort of het IP volledig voor langere tijd. Bij het blokkeren van services is er vermoedelijk ook een deel menselijke inspectie, maar het grootste deel is vermoedelijk geautomatiseerd. De laatste innovatie van de GFW is active probing (zie deze paper) waarbij de GFW zelf gaat aankloppen bij servers om te proberen achterhalen wat het is. Best indrukwekkend allemaal op puur technisch vlak.

Maar zoals met alles is het ook redelijk eenvoudig te omzeilen. Case in point: deze reactie komt vanuit China en ik merk niet dat de GFW er is :+
wikipedia legt het beter uit:https://en.wikipedia.org/wiki/Great_Firewall
https://tweakers.net wordt niet geblokkeerd, https://got.tweakers.net dan weer wel.

Check : https://gfwatch.org/censored_domains

Oppassen met wat er daar gezegd wordt :-)
Dat is het verkeerde domein. Het is https://gathering.tweakers.net en dat staat zo te zien niet op de lijst.

Zo te zien is die got.tw**** een zij-effect van het blokkeren van een Taiwanese site got.tw :)
Tweakers.net heeft de Pricewatch, waar o.a. Chinese (overheids)producten in staan. Om een goed beeld te hebben van de positionering van Chinese producten, is een populaire prijsindex site als Tweakers.net erg handig. Mogelijk daarom het GoT subdomain explicieit geblokkeerd, zodat Tweakers.net second level domain niet geblokkeerd is.
Hoe hebben ze het getest? Door hun computers in China te plaatsen???? Of via VPN verbinding?
Bij AlibabaCloud een VPS van een paar euro in China huren. Wil je daar een website op hosten dan heb je een ICP licentie nodig, maar verder kent het geen beperkingen. Je kunt dus naar naar hartelust kijken wat de GFW allemaal doet.
Wel interessant om te zien dat ze geen enkele Nederlandse universiteit blokkeren. Dat was wel handig geweest ivm de hackpogingen en het gehammer op de institutionele repositories. Worldcat hebben ze dan wel weer compleet geblokt. Niet interessant genoeg voor de concurrentiepositie neem ik aan.
Als ze van staatswege willen hacken, dan zorgen ze er wel voor dat de pc's die dat doen niet vallen onder de Great Firewall.
Het Nederlandse universitaire onderwijs zijn sowieso een doelwit voor de Chinese staat, vanwege de kennis die het bevat. Die kennis kan verkregen worden d.m.v. hackpogingen, maar ook indirect door studenten. Hiermee wil ik uiteraard niet suggereren dat chinese studenten informatie stelen, maar ze kunnen wel informatie mee naar huis nemen wat dat thuisland rijker kan maken aan kennis, maar dat geldt eigenlijk voor elk land. Als ze universiteiten blokkeren, snijdt de Chinese overheid zichzelf dus in de voeten, dus dat zullen ze dan ook niet snel doen. Maar een Nederlandse wo opleiding als "China Studies", zouden ze denk ik wel graag geblokkeerd zien worden, indien het hen niet lukt om invloed uit te oefenen: https://nos.nl/artikel/23...un-mond-niet-open-te-doen
Hiermee wil ik uiteraard niet suggereren dat chinese studenten informatie stelen, maar ze kunnen wel informatie mee naar huis nemen wat dat thuisland rijker kan maken aan kennis, maar dat geldt eigenlijk voor elk land
Nouja, laten we gewoon eerlijk zijn: Dit gebeurt gewoon. Zie https://en.wikipedia.org/wiki/Abdul_Qadeer_Khan . Er zullen vast ook wel Chinese studenten tussen zitten die voor hun overheid werken. Daar is ook al vaker over bericht. Het NOS artikel dat je aanhaalt heeft het ook al over verklikkerij en spionage.

Het probleem is dat nationalistische motieven niet de enige zijn. Mensen kunnen zoiets ook doen om geld, en dan is blokkeren op basis van nationaliteit niet voldoende. En er zullen ook een hoop goede studenten tussen zitten. Dus dan is het gewoon beter om het toe te laten. Wat studenten meekrijgen in hun opleiding is sowieso niet zo heel gevoelig allemaal.

[Reactie gewijzigd door GekkePrutser op 22 juli 2024 18:49]

Daar hoeven ze niet zo moelijk voor te doen.
Ga maar eens naar een posterpresentatie op een conferentie.
Daar zie je geregeld Chinezen die van elke poster een foto, ongeacht of het onderwep ze iets interesseert.
Dat is puur kennis mijnen en dat gaat vervolgens de plagiaatmachine in.

Natuurlijk worden dat soort figuren door de organisatie er wel uit gezet, maar dat is niet voordat er al een hoop data is verzameld...
En als ze willen DDOS’sen doen ze dat ook met systemen van buiten de Great Firewall, want dat ding beperkt de capaciteit gigantisch
Dus effectief gezien blokkeert mijn Pi-Hole op dit momenteen een factor 10 meer domeinen/hosts dan de Great Firewall of China en dat alleen maar om minder reclame en een pornovrij netwerk te hebben.
Er zijn zo'n 1.7 miljard webpagina's en geschat wordt dat ongeveer 5 procent daarvan porno is. Dan blokkeert je Pi-Hole eigenlijk niet eens zoveel.
https://www.franceculture.fr/ :') Stel dat je wat van een andere cultuur leest. Man man man wat een droevenis weer.
De onderzoekers vermoeden dat de filtering deels automatisch en deels handmatig gebeurt.
Ik geloof ook niet dat ze er pietje precies naar kijken.
Deze site heeft enkele uren aan beeldmateriaal over de Dalai Lama. Daarmee kom je sowieso op de blocklist.
Ik blokkeer thuis het drievoudige met m'n PiHole :)
Logisch toch ook? Great Firewall heeft niet als primaire functie om reclame e.d. te blokkeren.

[Reactie gewijzigd door Forsakeneyes op 22 juli 2024 18:49]

Mijn AdGuard Home blokkeert meer domeinen.
Alle Chinese domeinen zeker :+
Zeker niet, ik moet natuurlijk wel goedkope meuk kunnen kopen!
Dat is best veel.

- AdAway op mijn telefoon blokkeert ~94.000 domeinen en daarmee heb je alle reclame en meuk al van het internet geblokkeerd.
- Ublock Origin in mijn browser blokkeert ~77.00 sites en heeft zo'n ~39.000 cosmetische filters.

Hoe kom jij ooit boven de 310.000 uit?

[Reactie gewijzigd door Eonfge op 22 juli 2024 18:49]

In m'n Pi-Hole staan 827k 'domeinen' (top-level en sub) op de blacklist; puur top-level zou ik niet kunnen zeggen. Denk daarbij niet enkel aan (opdringerige) reclame, maar ook aan allerlei andere telemetry- en tracker-meuk (Google Analytics, Tag Manager, Facebook Pixels etc) die of zelf privacy-invasief zijn of de toko die er achter zit dat is, en sites die bekend staan als malware- of spam-hubs.

Als je meerdere vervelende facetten van het web buiten de deur wilt houden, is 310k geblokkeerde domeinen niet zo veel... ;)
OISD lijst is al vrij ruim. Daar komt nog het één en ander bij aan tracking van oa Microsoft en Apple en je bent er zo.
mijn pihole blokt meer dan een miljoen domainen.

Op dit item kan niet meer gereageerd worden.