Não sou engenheiro de redes, mas tenho interesse em como a monitoração e manipulação de redes podem ser feitas em uma escala tão grande. Então, perdoe-me pela minha compreensão limitada sobre isso e por favor, compartilhe se você souber mais sobre o assunto.
Agora é de conhecimento comum que o GFW usa algoritmos de aprendizado de máquina e técnicas de inspeção profunda de pacotes para identificar padrões HTTP/PTP em pacotes criptografados PPTP, IPSec e L2TP/IPSec. Considerando que a China é um dos principais centros de uso de Hadoop e pesquisa em ML, não parece impossível especular que eles poderiam armazenar cópias de bilhões de pacotes criptografados e rodar algoritmos de aprendizado de máquina contra esse conjunto de dados para encontrar padrões. Mas eles realmente podem inspecionar todos os dados criptografados em tempo real? Isso é algo que poderia ser feito com recursos suficientes?
Embora o GFW claramente monitore o tráfego de saída ao nível do pacote, parece improvável que consigam inspecionar todos os pacotes e manter uma latência razoável para a maioria dos IPs estrangeiros (claro, o tráfego internacional é lento, mas não tão lento quanto seria se eles tentassem interceptar e descriptografar cada pacote para encontrar padrões antes de roteá-lo/removê-lo).
A maior parte dos recursos que encontrei sobre isso sugere que a DPI é feita em todo o tráfego. Mas certamente haveria maneiras mais eficientes de bloquear/monitorar tentativas de autenticação de VPN do que inspecionar todos os pacotes criptografados.
Eles poderiam rastrear padrões comuns de requisições e marcar certos IPs ou agentes de usuário para uma análise mais detalhada. Por exemplo, se você tentou autenticar com um serviço VPN conhecido via um protocolo bloqueado, poderia ser sinalizado para uma análise mais aprofundada. Mesmo usando OSX ou Google Chrome ou serviços web fora da China (bancos, email, portais escolares/empresariais, etc) poderiam indicar que o usuário está tentando se autenticar com uma VPN. Considerando que muito do tráfego web não é criptografado, os usuários podem estar entregando dicas valiosas que algoritmos de ML poderiam identificar como de alto risco de VPN. Além disso, isso os colocaria em uma posição melhor para bloquear novos protocolos.
Basicamente, minha principal questão é: Você acha que eles monitoram todo o tráfego no nível do pacote ou acham que monitoram alvejando usuários?
Além disso, provavelmente irrelevante, notei que muitos serviços chineses não usam TLS/SSL (yun.baidu.com, taobao, etc) exceto para autenticação de login, o que me parece ok, mas contraria a direção em que o resto do mundo está indo. Isso me faz perguntar se isso sugere que o governo quer gerir a censura de serviços sociais/webs por si próprio, ao invés de confiar nos provedores para se autocensurarem — e estou assumindo que não usar uma conexão criptografada facilita isso. Isso não é diretamente relevante, mas indicaria que os sistemas de monitoramento são suficientemente robustos para filtrar grandes volumes de tráfego doméstico.
Algum engenheiro de redes/segurança ou especialista em matemática/criptografia se arriscaria a especular sobre como eles fazem isso? Ou alguém conhece algum recurso/artigo relacionado a esse tema?
Numa nota lateral, me pergunto se eles têm um plano para quando as redes via satélite se tornarem viáveis em grande escala, ou se planejam simplesmente queimar essa ponte quando chegarem lá.
Informações úteis: