Как работает Великий китайский файрвол: техники цензуры и их пределы
Last updated: апрель 9, 2026
Разбираемся, как устроена система интернет-цензуры в Китае: DNS-отравление, блокировка IP, DPI и техники обхода.
Представьте: вы в Пекине, пытаетесь открыть новостной сайт, который критикует правительство. Страница загружается бесконечно. Вы перезагружаете браузер. Ничего. Вы не знаете, что именно заблокировало доступ — ваш интернет-провайдер, государственный фильтр или что-то ещё. На самом деле, это работает целая система: Великий китайский файрвол (GFW). Это не одна программа, а множество техник, работающих одновременно на разных уровнях сети. Понимание того, как она функционирует, помогает не только разобраться в китайской цензуре, но и узнать о самых продвинутых методах фильтрации в интернете вообще.
Что такое Великий файрвол и почему это сложнее, чем просто заблокировать адрес
Грeat Firewall — это не единственный брандмауэр (firewall), как может показаться из названия. Это распределённая система контроля, которую китайское государство внедрило в инфраструктуру интернета на уровне интернет-провайдеров. Её цель: фильтровать содержимое, которое власти считают нежелательным. Почему это сложнее, чем казалось бы? Потому что просто заблокировать IP-адрес (уникальный номер, который идентифицирует компьютер или сервер в сети) — это слишком грубо. На одном IP-адресе часто живут тысячи веб-сайтов. Если заблокировать весь адрес, упадут и запрещённые, и совершенно безобидные сайты. Поэтому система работает умнее.
DNS-отравление: первый фильтр
Когда вы вводите в браузер адрес вроде "example.com", ваш компьютер должен узнать, где в интернете находится этот сервер. Для этого он обращается к DNS-серверу — своего рода телефонному справочнику интернета. DNS берёт имя (example.com) и переводит его в IP-адрес (например, 93.184.216.34). Файрвол перехватывает этот запрос. Если сайт в чёрном списке, система отправляет ложный ответ — либо неправильный IP-адрес, либо вообще никакого ответа. Ваш браузер получает информацию, что такого адреса не существует. Это называется DNS-отравлением (DNS poisoning). Это первая и самая быстрая линия защиты: зачем блокировать трафик, если можно помешать человеку даже найти сайт?
IP-блокировка: когда DNS не достаточно
Но люди в Китае знают о DNS-отравлении. Они могут использовать другой DNS-сервер — например, публичный, расположенный вне Китая. Тогда они получат правильный IP-адрес. На этот случай система установила второй фильтр: прямую блокировку IP-адресов. Если ваш компьютер пытается соединиться с запрещённым IP-адресом, провайдер просто разрывает соединение. Это похоже на то, как если бы почтальон, зная, что письмо должно попасть в запрещённый дом, просто выбросил бы его. Но и это не окончательное решение: многие крупные компании (Google, Facebook, AWS) распределяют свои серверы по множеству IP-адресов в разных странах. Блокировать все их адреса означает отрезать и легальный контент.
Глубокая инспекция пакетов: читаем содержимое писем
Здесь файрвол переходит на более продвинутый уровень. Техника называется DPI (Deep Packet Inspection, глубокая инспекция пакетов). Данные в интернете передаются небольшими блоками — пакетами. DPI анализирует содержимое этих пакетов, не только адреса отправителя и получателя (как обычный фильтр), но и то, что в них находится. Система ищет определённые слова, паттерны или сигнатуры протоколов — например, фингерпринты прокси-серверов или VPN-соединений. Если она распознаёт использование запрещённого инструмента, соединение разрывается. Это как если бы почтальон открывал каждое письмо и читал текст внутри, чтобы понять, разрешено ли его доставлять.
SNI-инспекция и манипуляция TLS-рукопожатием
Почти весь трафик в современном интернете шифруется (защищается от чтения). Браузер и сервер договариваются друг с другом о способе шифрования — это называется TLS-рукопожатием (TLS handshake). Даже если файрвол не может прочитать содержимое, он может видеть, с какого сервера вы подключаетесь — на первом этапе рукопожатия передаётся расшифрованное имя хоста (Server Name Indication, SNI). GFW читает это имя и блокирует запрещённые домены. Кроме того, система может активно помешать рукопожатию — отправить пакет, который его сбивает, или просто разорвать соединение в неправильный момент. Это активное вмешательство, а не пассивная фильтрация.
Активное зондирование: проверка подозрительного трафика
Если система обнаруживает, что вы используете прокси-сервер или похожий инструмент обхода, она может активно к вам подключиться. Система отправляет собственные запросы на ваш адрес, пытаясь проверить, что именно вы используете и можно ли это блокировать. Это как если бы полиция постучала в дверь и спросила: "Вы используете запрещённое устройство?". Такая активность оставляет логи и может помочь властям выявить людей, активно обходящих цензуру.
Что всё же пробивается сквозь файрвол
Несмотря на весь этот арсенал, система не безупречна. Часто обходят её именно техники, которые постоянно меняют свой вид (obfuscation) — делают трафик похожим на обычный, невидимый для систем обнаружения. Сюда относятся быстро ротируемые прокси-серверы, которые меняют адреса чаще, чем система может их заблокировать. Кроме того, существуют протоколы вроде REALITY (который маскирует трафик под обычное HTTPS-соединение) и системы вроде Snowflake (которые используют обычные браузеры как мосты для доступа). Важно понимать: это не значит, что люди могут совершенно свободно обходить цензуру. Это значит, что это требует знаний, настойчивости и риска — система не ловит всех, но и не нужно ловить всех, чтобы эффективно фильтровать контент для большинства.
Итоговый результат
Великий китайский файрвол работает благодаря не одной технике, а их комбинации: от простого DNS-отравления до глубокой анализа трафика и активного вмешательства. Это наиболее развитая система цензуры в мире, и её изучение показывает как сильные стороны (техническая изощрённость), так и слабые (не может полностью заблокировать определённые типы трафика без того, чтобы не нарушить обычное использование интернета). Если вы хотите глубже разобраться в теме, стоит изучить работу DNS, принципы шифрования и протоколов вроде TLS, а также историю развития техник обхода цензуры в разных странах мира.
Что такое Великий файрвол и почему это сложнее, чем просто заблокировать адрес
Грeat Firewall — это не единственный брандмауэр (firewall), как может показаться из названия. Это распределённая система контроля, которую китайское государство внедрило в инфраструктуру интернета на уровне интернет-провайдеров. Её цель: фильтровать содержимое, которое власти считают нежелательным. Почему это сложнее, чем казалось бы? Потому что просто заблокировать IP-адрес (уникальный номер, который идентифицирует компьютер или сервер в сети) — это слишком грубо. На одном IP-адресе часто живут тысячи веб-сайтов. Если заблокировать весь адрес, упадут и запрещённые, и совершенно безобидные сайты. Поэтому система работает умнее.
DNS-отравление: первый фильтр
Когда вы вводите в браузер адрес вроде "example.com", ваш компьютер должен узнать, где в интернете находится этот сервер. Для этого он обращается к DNS-серверу — своего рода телефонному справочнику интернета. DNS берёт имя (example.com) и переводит его в IP-адрес (например, 93.184.216.34). Файрвол перехватывает этот запрос. Если сайт в чёрном списке, система отправляет ложный ответ — либо неправильный IP-адрес, либо вообще никакого ответа. Ваш браузер получает информацию, что такого адреса не существует. Это называется DNS-отравлением (DNS poisoning). Это первая и самая быстрая линия защиты: зачем блокировать трафик, если можно помешать человеку даже найти сайт?
IP-блокировка: когда DNS не достаточно
Но люди в Китае знают о DNS-отравлении. Они могут использовать другой DNS-сервер — например, публичный, расположенный вне Китая. Тогда они получат правильный IP-адрес. На этот случай система установила второй фильтр: прямую блокировку IP-адресов. Если ваш компьютер пытается соединиться с запрещённым IP-адресом, провайдер просто разрывает соединение. Это похоже на то, как если бы почтальон, зная, что письмо должно попасть в запрещённый дом, просто выбросил бы его. Но и это не окончательное решение: многие крупные компании (Google, Facebook, AWS) распределяют свои серверы по множеству IP-адресов в разных странах. Блокировать все их адреса означает отрезать и легальный контент.
Глубокая инспекция пакетов: читаем содержимое писем
Здесь файрвол переходит на более продвинутый уровень. Техника называется DPI (Deep Packet Inspection, глубокая инспекция пакетов). Данные в интернете передаются небольшими блоками — пакетами. DPI анализирует содержимое этих пакетов, не только адреса отправителя и получателя (как обычный фильтр), но и то, что в них находится. Система ищет определённые слова, паттерны или сигнатуры протоколов — например, фингерпринты прокси-серверов или VPN-соединений. Если она распознаёт использование запрещённого инструмента, соединение разрывается. Это как если бы почтальон открывал каждое письмо и читал текст внутри, чтобы понять, разрешено ли его доставлять.
SNI-инспекция и манипуляция TLS-рукопожатием
Почти весь трафик в современном интернете шифруется (защищается от чтения). Браузер и сервер договариваются друг с другом о способе шифрования — это называется TLS-рукопожатием (TLS handshake). Даже если файрвол не может прочитать содержимое, он может видеть, с какого сервера вы подключаетесь — на первом этапе рукопожатия передаётся расшифрованное имя хоста (Server Name Indication, SNI). GFW читает это имя и блокирует запрещённые домены. Кроме того, система может активно помешать рукопожатию — отправить пакет, который его сбивает, или просто разорвать соединение в неправильный момент. Это активное вмешательство, а не пассивная фильтрация.
Активное зондирование: проверка подозрительного трафика
Если система обнаруживает, что вы используете прокси-сервер или похожий инструмент обхода, она может активно к вам подключиться. Система отправляет собственные запросы на ваш адрес, пытаясь проверить, что именно вы используете и можно ли это блокировать. Это как если бы полиция постучала в дверь и спросила: "Вы используете запрещённое устройство?". Такая активность оставляет логи и может помочь властям выявить людей, активно обходящих цензуру.
Что всё же пробивается сквозь файрвол
Несмотря на весь этот арсенал, система не безупречна. Часто обходят её именно техники, которые постоянно меняют свой вид (obfuscation) — делают трафик похожим на обычный, невидимый для систем обнаружения. Сюда относятся быстро ротируемые прокси-серверы, которые меняют адреса чаще, чем система может их заблокировать. Кроме того, существуют протоколы вроде REALITY (который маскирует трафик под обычное HTTPS-соединение) и системы вроде Snowflake (которые используют обычные браузеры как мосты для доступа). Важно понимать: это не значит, что люди могут совершенно свободно обходить цензуру. Это значит, что это требует знаний, настойчивости и риска — система не ловит всех, но и не нужно ловить всех, чтобы эффективно фильтровать контент для большинства.
Итоговый результат
Великий китайский файрвол работает благодаря не одной технике, а их комбинации: от простого DNS-отравления до глубокой анализа трафика и активного вмешательства. Это наиболее развитая система цензуры в мире, и её изучение показывает как сильные стороны (техническая изощрённость), так и слабые (не может полностью заблокировать определённые типы трафика без того, чтобы не нарушить обычное использование интернета). Если вы хотите глубже разобраться в теме, стоит изучить работу DNS, принципы шифрования и протоколов вроде TLS, а также историю развития техник обхода цензуры в разных странах мира.
🛡️
Recommended VPN Services
Top-rated VPNs trusted by millions
N
NordVPN
⭐ ВЫБОР РЕДАКЦИИ
★★★★★ 9.5/10 · 6,000+ servers · Работает в Китае
$3.39/mo
View Deal →
S
Surfshark
BEST VALUE
★★★★★ 9.6/10 · Unlimited devices
$2.49/mo
View Deal →
E
ExpressVPN
PREMIUM
★★★★★ 9.4/10 · 94 countries
$6.67/mo
View Deal →
Disclosure: SaveClip may earn a commission when you sign up through our links. This helps us keep our tools free for everyone.