В современном цифровом мире системы интернет-цензуры играют ключевую роль в контроле доступа к информации. Одной из самых известных и сложных систем такого рода служит Великий файрвол Китая (Great Firewall, GFW). Его масштаб и техническая изощренность привлекали внимание исследователей уже давно. В начале 2025 года было представлено детальное исследование уязвимости, получившей название Wallbleed — серьезного дефекта в подсистеме DNS-инъекций этого файрвола, раскрывающей внутреннюю память цензурирующих устройств. Эта уязвимость стала прецедентом, показывающим, что вред, причиняемый цензорским оборудованием, выходит за рамки блокировки информации и затрагивает вопросы безопасности и конфиденциальности пользователей.
Wallbleed — это ошибка переполнения буфера (buffer over-read), обнаруженная в устройствах, которые реализуют DNS-инъекции — метод, используемый для подмены DNS-ответов с целью заблокировать доступ к определённым доменам. Принцип работы этой подсистемы таков: когда машина посылает DNS-запрос к заблокированному домену, специальное устройство перехватывает запрос и быстро отправляет ложный ответ, содержащий неверный IP-адрес, не позволяющий достичь заблокированного ресурса. До появления Wallbleed предусматривалось, что эти устройства лишь перехватывают и изменяют ответы, не раскрывая никаких своих внутренних данных. Однако Wallbleed меняет эту картину. Из-за отсутствия должной проверки границ обработки DNS-запроса уязвимые устройства подвержены ошибке, при которой в ответах оказывается до 125 байт случайных данных из их памяти.
Эта утечка предоставляет уникальный взгляд «изнутри» на структуру и работу Великого файрвола, подтверждая, что системы цензуры не только ограничивают свободу пользователей, но и могут серьезно нарушать их приватность и безопасность. Исследование уязвимости длилось более двух лет и основывалось на систематических измерениях и тестах, которые позволили установить несколько важных фактов. Во-первых, Wallbleed была известна, по крайней мере, с 2010 года в различных формах, но в современном оснащении GFW уязвимость существовала с октября 2021 года до марта 2024 года, когда была окончательно устранена. Во-вторых, анализ утечек памяти показал, что она содержит фрагменты различных протоколов и реальных сетевых пакетов — от HTTP-запросов и SMTP до сетевых заголовков IPv4, TCP и UDP. Это означает, что даже непреднамеренно злоумышленники и исследователи могли получить доступ к личной и служебной информации пользователей внутри и вне Китая.
Технически уязвимость связана с тем, как DNS-инжектор анализирует структуру DNS-запроса, в частности QNAME — имя домена в запросе. Вместо того чтобы корректно проверять длину каждого лейбла в домене и убедиться, что не происходит выхода за пределы переданного пакета, устройство неверно обрабатывает неправильные или искусственно изменённые запросы, включая в ответ лишние данные из собственной памяти. При этом блокировка работает по паттернам, схематично и классово, что позволяет обойти некоторые детали парсинга. Интересно, что DNS-инъекции в GFW не ограничены аппаратурой, работающей только по IPv4 — исследователи показали, что уязвимые устройства обрабатывают и IPv6-трафик в общей памяти, что расширяет потенциальную область воздействия. Эксперименты, проводившиеся с помощью специально сконструированных запросов с изменёнными длинами лейблов, позволяли максимально увеличить объём утечки в каждом ответе до 125 байт.
Некоторые из этих вредоносных запросов были достаточно короткими, что облегчало массовый сбор данных, и именно это сделало возможным проведение широкомасштабных измерений. Уникальным открытием стала внутренняя организация DNS-инжекторов — они работают как несколько параллельных процессов с собственными циклами IP-адресов для инъекций и собственным контекстом памяти. Определённые запросы назначаются на конкретные процессы на основе исходных портов UDP, что позволило исследователям установить связь между получаемыми утечками и конкретными внутрисистемными процессами. Такой подход помог понять масштаб и распределение уязвимости внутри инфраструктуры. Проведённые широкомасштабные IPv4-сканы выявили, что Wallbleed-проблема затрагивает фактически весь Китай, а также некоторые IP-адреса вне страны.
Последнее объясняется роутингом трафика, проходящего через китайские узлы, и характерным поведением сети, когда трафик из-за особенностей маршрутизации может частично обрабатываться GFW даже за пределами Китая. Основные пострадавшие сети принадлежат крупным китайским провайдерам, включая China Telecom, China Unicom, China Mobile и государственным образовательным сетям типа CERNET. Государственные усилия по исправлению уязвимости проходили постепенно. Первый неполный патч был внедрён в конце 2023 года, временно уменьшив возможности утечки, но оставив лазейки под названием Wallbleed v2. Окончательный и полноценный патч был внедрён только в марте 2024 года.
Такой поэтапный подход к исправлению позволил наблюдать, как развивается реакция системы на угрозу, и как внутренние процессы обновлялись с определённым временным лагом и поэтапностью. Этическая сторона исследований Wallbleed стала предметом отдельного обсуждения. С одной стороны, эксплуатировать уязвимость в системе массовой цензуры — задача спорная, учитывая возможный вред пользователям и последствия для самой инфраструктуры. С другой стороны, сама система является источником вреда, ущемляя свободу и конфиденциальность, и раскрытие таких проблем способствует прозрачности и глобальному осознанию рисков, а также стимулирует развитие технологии обхода блокировок и защиты данных. Собранные данные содержали множество моментов конфиденциальности, включая реальные IP-адреса, сессии и даже пароли, поэтому исследователи предприняли меры по сокращению объёмов и дальнейшей обработке информации, в том числе удалению сохранившихся данных после публикации результатов.
В научном и техническом плане Wallbleed стал поводом для переосмысления подходов к анализу систем цензуры и безопасности инфраструктуры. Впервые была получена возможность изучить внутреннее устройство и логику работы GFW на уровне отдельных процессов и памяти, что ранее считалось недоступным из-за закрытости технологии и государственной тайны. Wallbleed доказал, что технические ошибки в устройствах цензуры могут оборачиваться не только обходом блокировок, но и принципиальной угрозой безопасности пользователей. Системы, изначально предназначенные для контроля информации, при неверной реализации создают уязвимости, которые несут риск утечки персональных данных, прослушки и даже манипулирования трафиком в непредвиденных масштабах. В заключение, изучение Wallbleed — это не только раскрытие уязвимости, но и важный урок для разработчиков, операторов и исследователей: любые системы, работающие на перехвате и изменении сетевого трафика, должны строиться с максимально строгим соблюдением принципов безопасности и приватности.
Также это отражение баланса между государственным контролем и правами пользователей — баланс, который во многом определяется именно техническими решениями. Wallbleed напоминает нам о том, что цифровая безопасность — это не только вопрос защиты от внешних атак, но и о том, как глубоко и обдуманно мы строим внутренние механизмы контроля. Надёжность и прозрачность должны быть частью любой системы, особенно такой масштабной и вмешивающейся в коммуникации миллионов людей, как Великий файрвол Китая.
