Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 31 reacties
Submitter: staatsgeheim

Een klein deel van het internationale internetverkeer krijgt onbedoeld te maken met de Chinese overheidscensuur. De Chinese rootservers zorgen ervoor dat bepaalde sites op ipv6 worden geblokkeerd of slecht werken. Het is onbekend hoe groot het probleem is.

China Chinese vlagHet onbedoelde bij-effect van de Chinese firewall werd ontdekt door de Nederlander Bert Hubert, die de opensource-dns-software PowerDNS heeft ontwikkeld. China heeft net als andere landen dns-rootservers, de dns-servers die het hoogst in de dns-keten staan.

Normaliter past China alleen op binnenlandse dns-verzoeken censuur toe en worden buitenlandse dns-verzoeken niet langs de Chinese firewall geleid. "Voor ipv4 gaat dat goed, maar het lijkt er op dat ze hun firewall nu ook voor ipv6-verzoeken hebben ingesteld", zegt Hubert tegenover Tweakers. "Maar er wordt nu geen uitzondering gemaakt voor buitenlandse verzoeken."

Door de manier waarop het internet in elkaar zit, kunnen internetters in andere werelddelen op een dns-verzoek aan een rootserver toch antwoord krijgen van een rootserver in China. Het is moeilijk te zeggen hoe vaak dat gebeurt. "In Luxemburg en Duitsland is dit een probleem, en in België speelt het op universiteitsnetwerken", stelt Hubert.

Wie te maken krijgt met de Chinese dns-servers, merkt onder meer dat Facebook wordt geblokkeerd. Daarnaast werken sommige andere sites slecht. "De Chinese firewall blokkeert verkeer vaak niet 100 procent, maar sites gaan opeens slechter werken", aldus Hubert. "Vaak snappen Chinezen de hint dan wel. Een uitzondering is Facebook: dat zit wel potdicht." Ook YouTube, Dropbox, verschillende Google-diensten en Twitter zijn geblokkeerd in China.

Dat dns-verzoeken in China terecht kunnen komen, komt door het border gateway protocol. Daarmee wordt de snelste route voor een internetpakket gevonden; dat is niet altijd de server die geografisch het dichtstbij is. Ook zorgt bgp soms voor problemen: het is een decentraal systeem dat is gebaseerd op vertrouwen, en vorig jaar bleek dat dat vertrouwen actief wordt misbruikt voor het onderscheppen van internetverkeer.

Moderatie-faq Wijzig weergave

Reacties (31)

het is een decentraal systeem dat is gebaseerd op vertrouwen, en vorig jaar bleek dat dat vertrouwen actief wordt misbruikt voor het onderscheppen van internetverkeer.
Daarom wordt je pakketje via China gestuurd :') zodat ook zij beschikken over jouw data.
Welke data? De data van:

Mijn computer: "Hey google dns server ik wil naar het volgende adres, geef me het ip eens"

Google DNS server: "Oh shit die heb ik niet in mij cache, hey rootservers vertel mij eens waar ik adresseren met deze TLD kan resolven"

Chinese root server (antwoord toevallig het snelste): "Hier is het IP van de authoritative name server voor deze TLD's"

Google DNS server: "name server, ik heb een request voor een domain op jouw TLD"

Name server: "hier is je antwoord"

Google DNS server: "bedankt ik stop hem in mijn cache"
(computers bedanken elkaar natuurlijk niet echt)

Google DNS server: " computer hier is je IP"

Computer: "Joepie, nu snel naar de pron!"
(ik kijk natuurlijk niet echt naar pron)

Die data? Kunnen ze niet zo veel mee hoor ....

(afhankelijk van hoeveel extra informatie over jou computer de google dns servers mee sturen met elk request die eventueel bij de Chinezen terecht komen wanneer een DNS server ze niet in zijn eigen gecachte tabellen heeft zitten. Maar volgens mij zal dat wel vrij beperkt zijn. dns resolving moet supersnel gaan want zelfs maar een kleine beetje latency op elke dns resolve kan het surfen gigantisch vertragen ook al is je verbinding supersnel, Daarom dat een DNS resolve uiterst efficient moet zijn en er dus hopelijk geen plaats is voor niet essentiŽle data)

[Reactie gewijzigd door Kain_niaK op 11 juni 2014 18:20]

Maar volgens mij zal dat wel vrij beperkt zijn.
En je hele conclusie is hiermee weg. Je kunt hele profielen opbouwen met weinig data die vervolgens gekoppeld wordt aan een andere database met weinig data. Zo gaat het door en vanzelf ontstaat er een veel groter geheel.
Het is ook beperkt, meestal tot landen die dichtbij/rondom china zitten. Aangezien dns wordt gekozen op het server dat het snelste een antwoord krijgt. Maar uiteraard het is mogelijk dat hun een vraag krijgen dat door een bijzonder omstandigheden toch deze DNS gebruikt wordt en dan krijg je een bepaald resultaten niet door de censuur. Maar de kans is klein voor de Nederlands aangezien de ping redelijk hoog is van hier tot China.

Voor de rest is het ook mogelijk dat deze dns1 uit uk data haalt, uk uit china enzovoort en dan heb je ook op zich hetzelfde resultaat :(
Gebruik je wel eens een dienst van Google?
Chicane heeft een punt kain,

Zelfs het dns verzoek naar een bepaald ip kan tegen je gebruikt worden.Nu is er voor veel gebruikers weinig aan de hand maar stel je voor dat je in een zwaar moslim landje woont, je wilt niet meer als vrouw zijnde gediscrimineerd worden en gekleineerd worden door een raar geloof en wilt eigenlijk liefste zonder hoofddoek door het leven.

je zoekt naar www.zonderhoofddoekinhetleven.uk . Je verzoek word opgeslagen en binnen een week staat er een man of 30 met stenen voor je deur omdat ze hebben gezien dat jij naar een ip served wat voor hun not-done is.

Dan kan je toch wel even heel hard rennen of je gaat er heel snel achterkomen dat geloof een sprookje is ^^.

Nu is dit voorbeeld natuurlijk wel weer heel extreem , maar het geeft wel aan dat een dns verzoek wel degelijk tegen je gebruikt kan worden en er zeker een profiel mee kan worden opgebouwd. In landen waar censuur / opstanden / onderdrukking is kunnen ze hier dus heel makkelijk mensen de cel in gaan gooien. en hun maakt het toch niet uit als ze de verkeerde zouden hebben , ze hebben immers het verzoek zwart op wit staan en dat is genoeg. Sommige zijn zo gek dat ze zelfs bij meerdere sites op 1 ip je gewoon al als schuldig zouden bevinden. ondanks dat je miss op een andere onschuldige site zat. (bv pro china ipv een tibaneze verzetssite)

[Reactie gewijzigd door Aionicus op 12 juni 2014 00:53]

In mijn voorbeeld word er geen connectie opgezet van jou IP naar een Chinees IP. Nee de Google DNS server doet dat. De vraag is of de Google DNS server jou IP adres door geeft. Waarom zouden ze? Dat zou meer data kosten en het DNS verkeer minder efficient maken. Misschien kan er iemand eens even de officiele protocolen opzoeken, dan weten we welke sidedata er word doorgegeven of niet.
Nu is dit voorbeeld natuurlijk wel weer heel extreem , maar het geeft wel aan dat een dns verzoek wel degelijk tegen je gebruikt kan worden en er zeker een profiel mee kan worden opgebouwd. In landen waar censuur / opstanden / onderdrukking is kunnen ze hier dus heel makkelijk mensen de cel in gaan gooien. en hun maakt het toch niet uit als ze de verkeerde zouden hebben , ze hebben immers het verzoek zwart op wit staan en dat is genoeg. Sommige zijn zo gek dat ze zelfs bij meerdere sites op 1 ip je gewoon al als schuldig zouden bevinden. ondanks dat je miss op een andere onschuldige site zat. (bv pro china ipv een tibaneze verzetssite)
Ja maar ik woon dus in Nederland, dus ik daar niks voor te vrezen! Het wordt pas een probleem wanneer ik naar een China ga en dat ze dus gezien hebben dat ik bijvoorbeeld de site: www.ikgamorgenchinakapitaliseren.nl. Moeten ze natuurlijk wel weten welke naam aan mijn IP-adres is gekoppeld :Y) .

Tevens zou ik in een land als Iran, sowieso niet dergelijke sites bezoeken zonder gebruik te maken VPN of een TOR-netwerk. Een land kan altijd eigen inwoners bespioneren ;).
(computers bedanken elkaar natuurlijk niet echt) ;(
ACK is natuurlijk ook een soort bedanken :P
Ik snap werkelijk niet dat dat die firewall er nog steeds staat. Ik woon op dit moment zelf in Shanghai, en werkelijk iedereen weet dat je met een simpele VPN verbinding van 5 euro per maand de limietringen kunt omzeilen. Vrijwel iedereen doet dat ook, en nog nooit heb ik gehoord dat mensen problemen hebben kregen met de overheid.
Shanghai, maar ook Beijing zijn iets beter maar hier in Shenzhen is het zelfs met VPN (StrongVPN, Astrill of welke dan ook) nog steeds bagger.
Ik had in ShenZhen eigenlijk net zoveel problemen als hier, op bepaalde dagen merk je wel het verschil heel erg. Op bijvoorbeeld regenachtige dagen of koudere dagen wanneer mensen meer thuis blijven en het internet gebruiken merk je heel erg dat internationaal verkeer er niet goed doorheen komt. Op bepaalde momenten draaien ze de kraan dan volledig dicht en op andere momenten merk je simpelweg hoe erg overbelast de servers zijn.
Het deel van de bevolking dat geinformeerd genoeg is om een VPN te gebruiken, is ook niet het deel van de bevolking dat men buitenlandse informatie wil ontzeggen. Het is vooral de modale internetgebruiker die vooral niet te weten mag komen dat er buiten China ook iets gebeurt dat niet per definitie slecht is.
Daar ben ik van op te hoogte, maar zelfs in PingYao, een traditioneel standje dichtbij de hoofdstad konden mensen The Guardian gewoon bereiken via omweggetjes. Bijvoorbeeld via de DNS servers van Google etc. De moeite gaat het doel voorbij.
Dropbox via https werkt gewoon in China. Helaas kan je dropbox via http niet bereiken in China..
Helaas? Welk nadeel ondervind je om dan dat je via een beveiligde verbinding met Dropbox moet werken? Lijkt mij juist veiliger/beter? En met SSL-Everywhere kun je volgens mij je browser ook automagisch laten redirecten naar https als je dropbox links bezoekt.
Als je naar http://www.dropbox.com gaat in China verschijnt de website niet. Niet iedereen heeft de besef dat de website misschien wel bereikbaar is op https.
Dat wordt straks leuk internetten met IPV6. China die Fakebook tegenhoudt, Amerika de blootcensuur en geen YMCA door het Ruslandfilter.
Kan jij je eindelijk gaan richten op nuttige zaken. ;-)
Ik zit hier in BelgiŽ op het universiteitsnetwerk van de KU Leuven, en heb inderdaad de laatste tijd voortdurend problemen met het laden van Facebook, Google en Dropbox geven ook al wel eens problemen. Na enkele pogingen lukt het dan wel weer wel. Dit zou dus wel eens de verklaring kunnen zijn.

[Reactie gewijzigd door kl570 op 11 juni 2014 20:48]

Als je nu op je router je DNS instellingen veranderderd naar de google dns heb je er dan nog last van?
Of gaat de google dns ook nog de root dns moeten raadplegen om facebook etc te vinden.
Het lijkt me wel dat die wel gecached zal zijn.

En is de google dns al een rootdns? want dan kan je zo het probleem makkelijk omzeilen.
Dit is een probleem dat verder reikt dan China. Ik lees namelijk niet waarom het probleem niet zou kunnen gelden voor Nederlandse servers, waar tot voor kort The Pirate Bay werd geblokkeerd. Dit vereist een internationale aanpak om de werking van het DNS-protocol aan te pakken.
Ik lees namelijk niet waarom het probleem niet zou kunnen gelden voor Nederlandse servers, waar tot voor kort The Pirate Bay werd geblokkeerd.
TPB werd niet op rootservers geblokkeerd.
Klopt! En in Belgie werd het zelfs alleen geblokkeerd op DNS niveau bij een paar grote providers (Telenet en Belgacom). Dus wanneer je een andere DNS server gebruikte als die van je provider dan had je nergens last van. In Nederland waren het wel IP adressen die geblokkeerd werden door de providers. Ik vraag me eigenlijk af of ze ook de IPV6 adressen blokkeerde .....en of de Pirate Bay Łberhaupt bereikbaar is over IPV6.

Nu zijn alle Nederlandse blokkades toch weer weg? Best jammer eigenlijk. Ik kan me voorstellen dat er mensen zijn die persee van de piratebay wilden downloaden LOUTER omdat het geblokkeerd werd. Die hebben nu geen interesse meer. Daarbij is het goed voor het internet als ook de gebruikers zonder al te veel kennis af en toe tegen een blokkade aan lopen waardoor ze door krijgen dat het internet niet altijd 100% vrijheid is en dat het in je eigen voordeel is om wat technische kennis op te doen mocht je vrijheid in de toekomst verder ingeperkt worden. Omdat het internet bijna een oneindig aantal routes kan hebben tussen A en B is het blokkeren van iets op het internet bijna onmogelijk. Maar dan moet je wel de nodige kennis hebben om daar gebruik van te kunnen maken.

Het zou goed zijn voor de toekomst van het internet als surfen via TOR en VPN een standaard word. Ook al maakt het je internet ervaring veel en veel trager. De enige 100% poolproof manier om het internet volledig decentraal en vrij ongereguleerd te houden is technologie te gebruiken die niet tegen valt te houden.

Daarom dat Napster, Kazaa, Emule, DC++, IRC downloading, en vele andere manieren om te downloaden practisch volledig dood zijn. Bittorrent is de Keizer (Usenet de Koning, maar Youtube dient het meeste mensen) en dat zal voorlopig nog wel even zo blijven want het is bijna onmogelijk tegen te houden.

[Reactie gewijzigd door Kain_niaK op 11 juni 2014 18:18]

Omdat dit probleem denk ik te maken heeft met of software gerelateerde problemen of iets met de inrichting van de ipv6 servers. China moet wel naar ipv6 omdat er voor China voor minder ipv4 adressen beschikbaar zijn dan voor andere landen die eerder in de rij stonden voor de ipv4 reservingen. In Nederland wordt op veel kleinere schaal gebruik gemaakt van ipv6 ivm China.
Liever niet eigenlijk. Een enorme meerderheid van de wereldbevolking woont in landen die sterk pro internetcensuur zijn. En dan heb ik het niet over de milde censuur op gerechtelijk bevel die wij kennen, maar grootschalige censuur met als doel informatie en meningsuiting te onderdrukken zoals courant gebeurt in China, Rusland, de Arabische wereld, Iran en dergelijke meer.
Mogelijk omdat de route via de ASM-IX en de DNS root in Amsterdam sneller is. Hoewel duitsland er ook een heeft.

wanneer dit goed werkt is het niet erg.

Ik kan me ook voorstellen dat je als DNS server bepaalde root servers niet "werken". Je wil als google nooit naar china toe, dan maar iets langer wachten.
Internet... gebaseerd op vertrouwen?

Wel vervelend dat facebook hierdoor traag wordt gelukkig zit mijn provider nog op IPv4
Omdat het
desnoods een bom gooien
nogal extremistisch en overdreven is... (bommen werpen omdat je facebook niet altijd even snel is... 8)7
Als je de post leest is dit niet de schuld van China, de kans dat dit bewust is gedaan schat ik ook erg klein in, IPv6 is en blijft flink wennen voor systeembeheerders en fouten kunnen gemaakt worden, dat bgp dan helaas China kiest als snelste route en hun routers niet goed geconfigureerd zijn is niets anders dan jammer.
(Als China het expres had gedaan hadden ze het wel juist doorgelaten en gelogd om spionage praktijken etc te kunnen uitvoeren, dit was gedoemd om gemerkt te worden dus opzet lijkt me niet)

Hopelijk pakt China dit snel op en is het snel verholpen.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True