Продолжаем нашу серию статей с разбором работы Китайского Firewall'а (GFW). В этой статье углубимся в техническую часть этой системы

Мы скачали 500 Гб утечек чтобы вам не пришлось и решили их изучить.
Если хотите ознакомиться с файлами сами, опубликовали их в нашем Telegram-канале. Подписывайтесь, сейчас там выходит серия постов про работу Китайского Фаервола

Geedge - контора, которая занимается блокировками и сетью в Китае

Нас многие критиковали за фразу социальный рейтинг в прошлой части. Объясняем

Правда про социальный рейтинг и "интернет по паспорту"

В Китае есть гос программа под названием "социальная кредитная система" (SCS), но единого социального рейтинга для каждого человека нет.
В основном это набор черных списков для обмена между ведомствами, причем основной фокус именно на компаниях

Кредитный рейтинг существует в основном для юрлиц и не касается обычных граждан

Однако, в Китае действует режим реальной идентификации в онлайне и требует подтверждать личность при доступе к сети. Интернет по паспорту

В 2019 году MIIT обязало операторов сканировать лицо при оформлении SIM-карты.
Есть исключения, но в основном принцип такой

Репутационные баллы

В утечке нашли информацию о репутационных баллах, однако прямых подтверждений, что эта система введена в эксплуатацию нет.

Скорее всего, это региональный эксперимент, который тестируется

Система также может вести репутационный рейтинг для каждого абонента, формируя его на основе активности в интернете и объёма собранных персональных данных.

Если рейтинг сильно падает, пользователю могут отключить интернет-доступ, после чего для восстановления услуги может потребоваться подтверждение личности с предъявлением документа с проверкой по лицу

Кроме того, система способна выявлять пользователей VPN, отслеживать их дальнейшую активность и классифицировать любые новые большие потоки данных как подозрительные.

Такой подход может привести к выявлению и блокировке ранее неизвестных сервисов, когда пользователь переходит на нового VPN-провайдера. Из-за этого в зоне риска не только пользователь, но и VPN-сервис

Это говорим не только мы. Вот скриншот с отчета interseclab The-Internet-Coup_September2025

Прямых подтверждений экспулатции этой киллер фичи нет

Как Китай просматривает ваши запросы?

Когда вы делаете запрос в интернет (то есть любой запрос, кроме локальной сети), пакет отправляется в ваш роутер, оттуда он идет на устройство провайдера. И вот после этого провайдер отправляет этот запрос далее по магистральному каналу.
И вот именно здесь, между магистралью и клиентами, ставится TSG-X, который и просматривает запросы каждого человека.

TSG-X - чёрная коробка, через которую проходят все запросы.
Эта штука должна стоять у каждого провайдера в стране, что для Китая несложно, потому что там всего 3 провайдера

Эта система полностью контролирется государством. При этом система многоуровневая: можно видеть, что помимо главного центра обновлений, правила могут регулировать на региональном уровне под отдельные провинции Китая.

Как устроен TSG-X: Цепочка правил

В TSG-X встроен фреймворк для удаленного обновления "правил фильтрации"

По сути, TSG-X - это организм (конструктор) в котором можно динамически управлять правилами цензуры и поведенческими триггерами.

Например, если в Китае появится новая запретная тема, то для её добавления в систему достаточно добавить дополнительный блок в этот "конструктор фильтрации".

В слитых логах видно, что каждое обновление правил сопровождается:

1. Временем добавления правила

2. UUID

3. Категория блокируемого контента (VPN, запретные темы)

Утечка также показывает, что возможно точечное обновление правил на определенном провайдере. Например, можно создать правило, которое будет блокировать исключительно IPv6-запросы провайдера Unicom в определенном районе, которые отправляются с определенных устройств.

Ну вы поняли.

Как устроен TSG-X: Обработка пакетов

Для блокировки определенных протоколов TSG-X использует DPI, в настройках которого он детектит VPN-хендшейки и аномалии трафика по сигнатурам, которые, в случае чего, блокируются.

Он также позволяет клиентам работать с Geedge для разработки правил блокировки доступа к конкретным поставщикам услуг.

Еще сотрудники Geedge Networks, обладают возможностью создавать сеть Wi-Fi в своём офисе, которая подключает любое устройство к сети клиента удалённо. Эта фича позволяет им проверить, что механизмы блокирования работают эффективно в реальных сценариях.

Даже если TSG не может определить, какое именно приложение или сервис стоит за действиями пользователя, она всё равно способна пометить любой необычно большой объём трафика как подозрительный. После такой пометки систему можно настроить так, чтобы она автоматически блокировала этот трафик спустя определённое время, например через 24 часа

Другими словами, TSG может заблокировать трафик, даже не зная, к какому приложению или сервису он относится.

Физическое устройство TSG-X

TSG-X - это целая система которая работает на своем железе, то есть это как отдельный компьютер со своей ОС

Раньше TSG-X работал на железе от DELL и XP, однако сейчас используется полностью китайское.

Весь трафик проходит через эти железки.

Каждая нода увеличивает пропускную способность для обработки большего объема интернет-трафика. Отдельные узлы соединены друг с другом через брокер сетевых пакетов, который распределяет нагрузку на трафик

TSG-OS

TSG работает на Линукс-дистрибутиве TSG-OS.
ОС основана на Red Hat Enterprise Linux и разворачивается с помощью Ansible, Docker и K3s (облегчённая версия Kubernetes).

Эта архитектера новая, поэтому здесь нет легаси-кода или устаревших подходов разработки (в отличие от огромных западных кодовых баз)

Примечательно, что TSG-OS также может работать на стандартном массовом оборудовании или как виртуальная машина. Например, при первоначальных операциях в Пакистане TSG-OS была развёрнута на переоборудованном железе от канадской компании.

Режимы системы для цензуры

Система Geedge может быть развернута в двух основных режимах - зеркальном (mirrored) и встроенном (in-line) — чтобы обеспечивать контроль над интернетом.

В зеркальном (пассивном) режиме, данные зеркалируются на устройство Geedge с помощью сетевого разветвителя. Пакеты не задерживаются для обработки и продолжают движение к месту назначения. В этом режиме, если система Geedge выйдет из строя, интернет продолжит работать.

Этот режим имеет преимущество, поскольку не добавляет задержек из-за обработки или перегрузки. Однако в зеркальном режиме клиенты не могут останавливать конкретный трафик и вынуждены использовать внедрение пакетов (packet injection), чтобы блокировать соединения.

В встроенном (активном) режиме весь трафик должен проходить через устройство Geedge перед тем, как попасть в пункт назначения. В этом режиме сбой системы Geedge приведёт к остановке работы интернета. Режим добавляет сетевую задержку из-за обработки данных и может вносить дополнительные задержки во время перегрузки сети, когда объём трафика превышает возможности системы Geedge.

Преимущество этого режима в том, что можно полностью блокировать конкретные потоки трафика ещё до того, как они пройдут через сеть. Это решение часто выбирают клиенты, которым требуется полный контроль - ценой надёжности и качества сети.

Попытки заблокировать Tor

В утечке есть информация о попытках китайских властей заблокировать Tor.
В основном это делалось через блокировку мобильных приложений (Tor Browser).

Китай и Мьянма одновременно начали разрабатывать систему для блокировки tor, однако связи с Мьянмой или про обмен тех.средствами подтверждений нет.

В Мьянме к маю 2024 года доступ к Tor там был перекрыт с помощью сетевого оборудования. Китайские структуры попытались внедрить аналогичные меры, однако связи или обмена технологиями между двумя странами нет

После того как прямой доступ к Tor оказался заблокирован, Tor Browser автоматически переключал пользователей на Snowflake, транспорт, который маскирует трафик под обычные интернет-соединения

В Китае активно ведутся работы по блокировке Tor (сегодня tor в Китае все еще доступен)

Блокировка через AppSketch

AppSketch - это база данных, где Geedge создаёт профили для всех поставщиков услуг на основе их отпечатков трафика, позволяя клиентам блокировать VPN и другие приложения таким образом, чтобы они всё ещё могли использоваться утверждёнными компаниями или гос органами.

AppSketch позволяет занести в белый список определённые компании для использования VPN и определить, какие VPN разрешены.

Делать это всё можно просто тыкая на кнопки в интерфейсе, не имея технических знаний

Да, для AppSketch они строят огромную сеть отпечатков приложений. Держат отдельную мобильную ферму в рамках проекта AppSketch Works, в которой записывают трафик этих приложений и записывают сигнатуры с него.

Также используют и статический, и динамический анализ для получения всего пула ip адресов приложения и более точной их блокировки.

Подгрузка вредоносов в рамках блокировки

Оборудование TSG имеет возможность внедрять вредоносный код в файлы, передаваемые через сеть. Компания Geedge прямо указывает, что эта функция предназначена для вставки вредоносного ПО в интернет-трафик, проходящий через систему TSG.

TSG способна внедрять вредоносный JavaScript и CSS в веб-страницы, которые просматривают пользователи, а также модифицировать и дополнять исполняемые файлы вредоносным кодом в момент их загрузки.

Network Zodiac: система для управления сетевыми устройствами и мониторинга

Network Zodiac (Nezha/哪吒) по сути напоминает платформу визуализации данных Grafana, но работает не только с программами, а в первую очередь с роутерами, коммутаторами, серверами и другим сетевым оборудованием.

Главная задача Network Zodiac — в реальном времени следить за состоянием всей сети, показывать её производительность, нагрузку и возможные ошибки. Если Grafana помогает компаниям анализировать работу приложений, то Network Zodiac делает то же самое, но уже на уровне всей инфраструктуры связи

Через веб-интерфейс Network Zodiac оператор может просматривать агрегированную статистику, выяснять, где в сети узкие места, какие устройства перегружены или работают с ошибками, и таким образом поддерживать стабильность всей телеком-инфраструктуры.

Это «панель управления» для больших сетей: провадерских и государственных, позволяющая видеть всё сразу и быстро реагировать на проблемы.

Особенность системы это интегрированный терминал, который позволяет сетевым администраторам удаленно подключаться к
любой контролируемой конечной точке по SSH.

Эта функция предоставляет клиенту прямой доступ к сетевым устройствам для устранения неполадок и управления.

Однако она подвергает клиента значительному риску безопасности.
В худшем случае хакер может получить доступ ко всему оборудованию безопасности клиента, развернутому в стране.

Такой компромисс
указывает на то, что Geedge отдает приоритет удобству и простоте использования для крупномасштабного управления, а не базовым мерам безопасности.

Китай всё видит

Слитая переписка китайских сетевиков

Это рабочие отчёты или комментарии сотрудников о тестировании, обновлениях и диагностике VPN-подключений в разных окружениях.

VPN перестаёт работать, система не может получить API, не удаётся получить список IP-адресов серверов, происходят частичные или полные блокировки VPN, особенно после обновлений или при использовании инструментов анализа трафика

Мы скачали 500 Гб утечек и решили их изучить.

Если хотите ознакомиться с файлами сами, опубликовали их в нашем Telegram-канале. Подписывайтесь, сейчас там выходит серия постов про работу Китайского Фаервола

Если не видели можете глянуть первую часть:
Как работает цензура на государственном уровне? Разбираем на примере слитого китайского фаерволла