معماری اینترنت و مکانیزم‌های سانسور

برای دور زدن مؤثر سانسور و حفظ حریم خصوصی در ایران، درک نحوه عملکرد اینترنت و شناخت نقاطی که ابزارهای کنترلی حاکمیت (چه فیزیکی و چه دیجیتالی) در آن مستقر هستند، امری ضروری است. این راهنما مسیر حرکت داده‌های شما را روشن می‌سازد و فناوری‌های خاصی را که جمهوری اسلامی برای رصد، فیلترینگ و ایجاد اختلال در اتصالات به کار می‌گیرد، تشریح می‌کند.

مسیر داده‌ها: اطلاعات در حرکت

اینترنت یک «ابر» اثیری نیست؛ بلکه شبکه‌ای فیزیکی متشکل از کابل‌ها، روترها و سرورهاست. هنگامی که شما وب‌سایتی را باز می‌کنید یا پیامی ارسال می‌کنید، داده‌های شما از «نقاط گلوگاه» (Choke points) خاصی عبور می‌کنند که نظارت و سانسور در آنجا اعمال می‌شود.

زنجیره اتصال

1. دستگاه شما: نقطه شروع (تلفن همراه، لپ‌تاپ).
2. شبکه محلی (LAN/Wi-Fi): روتر خانگی یا نقطه اتصال وای‌فای عمومی.
3. ارائه‌دهنده خدمات اینترنت (ISP): شرکت‌هایی مانند ایرانسل، همراه اول، شاتل یا مخابرات. در ایران، تمامی ISPها طبق قانون ملزم به اجرای فیلترینگ و ثبت وقایع (Log) دستور داده شده توسط نهادهای دولتی هستند.
4. دروازه یا گیت‌وی (TIC): تمامی ترافیک بین‌المللی در ایران از طریق شرکت ارتباطات زیرساخت (TIC) عبور می‌کند. این نقطه، کنترل مرزی دیجیتال کشور است که در آن سنگین‌ترین سطح سانسور (فایروال بزرگ ایران) اعمال می‌شود.
5. ستون فقرات اینترنت (Internet Backbone): شبکه جهانی کابل‌های فیبر نوری.
6. سرور مقصد: کامپیوتری که وب‌سایت یا سرویس مورد نظر را میزبانی می‌کند (مانند گوگل، اینستاگرام، یا یک سرور VPN).

نقاط آسیب‌پذیر

• شبکه محلی: آسیب‌پذیر در برابر استراق سمع توسط افراد نزدیک.
• ISP و TIC: دشمنان اصلی. آن‌ها دید کاملی نسبت به ترافیک رمزنگاری نشده و متادیتای (داده‌های جانبی) ترافیک رمزنگاری شده دارند. آن‌ها از بازرسی عمیق بسته (DPI) برای تحلیل محتوا و هدرهای ترافیک استفاده می‌کنند.

---

شبکه ملی اطلاعات (NIN)

جمهوری اسلامی یک اینترانت داخلی را توسعه داده است که به نام شبکه ملی اطلاعات (و اغلب با عناوینی مانند "شما" یا "اینترنت حلال") شناخته می‌شود.

هدف استراتژیک

شبکه ملی اطلاعات به گونه‌ای طراحی شده است که به دولت اجازه می‌دهد دسترسی به اینترنت جهانی (اتصال بین‌المللی) را قطع کند، در حالی که سرویس‌های داخلی (بانکداری، درگاه‌های دولتی، پیام‌رسان‌های داخلی) همچنان فعال باقی بمانند. این امر امکان اجرای «قطعی اینترنت» (Internet Shutdown) را بدون فروپاشی کامل اقتصاد داخلی فراهم می‌کند تا ارتباطات با جهان خارج فلج شود.

پیامدها برای کاربران

• خطرات تونل‌زنی دوگانه (Split Tunneling): برنامه‌های داخلی اغلب نیاز به اتصال مستقیم دارند، در حالی که برنامه‌های بین‌المللی نیازمند VPN هستند. استفاده همزمان از این دو می‌تواند منجر به نشت اطلاعات شود.
• تمایز ترافیک: ISPها نرخ‌های ارزان‌تری را برای ترافیک داخلی ارائه می‌دهند تا کاربران را تشویق کنند در محدوده شبکه ملی اطلاعات باقی بمانند؛ جایی که نظارت بر آن مطلق است.

---

مکانیزم‌های سانسور

حاکمیت از یک رویکرد چندلایه برای مسدود کردن دسترسی به اطلاعات استفاده می‌کند. درک این روش‌ها به انتخاب ابزار مناسب برای دور زدن فیلترینگ کمک می‌کند.

۱. دستکاری DNS (حمله دفترچه تلفن)

وقتی دامنه‌ای (مانند youtube.com) را تایپ می‌کنید، دستگاه شما از یک سرور DNS آدرس IP آن را درخواست می‌کند.

• حمله: ISPهای ایران این درخواست را رهگیری کرده و یک آدرس IP جعلی برمی‌گردانند (DNS Spoofing) یا هیچ آدرسی ارائه نمی‌دهند (DNS Blocking).
• راهکار متقابل: استفاده از DNS رمزنگاری شده (DoH - DNS بر بستر HTTPS، یا DoT - DNS بر بستر TLS). این روش فرآیند جستجوی آدرس را رمزنگاری می‌کند تا ISP نتواند ببیند شما قصد دسترسی به چه دامنه‌ای را دارید.

۲. مسدودسازی IP (سیاه‌چاله کردن)

فایروال حاوی لیستی از آدرس‌های IP متعلق به سرویس‌های ممنوعه (مانند سرورهای تلگرام یا نودهای شناخته‌شده VPN) است.

• حمله: گیت‌وی به سادگی تمام بسته‌هایی (Packets) که مقصدشان این IPها باشد را دور می‌ریزد (Drop می‌کند).
• راهکار متقابل: استفاده از پروکسی‌های چرخشی و VPNهایی که مرتباً آدرس IP خود را تغییر می‌دهند یا از IPهای «مسکونی» (Residential) استفاده می‌کنند که مسدود کردن آن‌ها دشوارتر است.

۳. بازرسی عمیق بسته (DPI)

این پیشرفته‌ترین ابزار در زرادخانه رژیم است. برخلاف مسدودسازی ساده IP، سیستم DPI محتوا و متادیتای بسته‌های داده را در حین عبور بررسی می‌کند.

• فیلترینگ SNI: حتی اگر ترافیک رمزنگاری شده باشد (HTTPS)، در مرحله اولیه «دست‌دهی» (Handshake)، نام سرور یا Server Name Indication (SNI) اغلب به صورت متن ساده (Plain text) ارسال می‌شود که وب‌سایت مقصد را فاش می‌کند.
• تشخیص پروتکل: سیستم DPI الگوهای ترافیک (اندازه بسته، زمان‌بندی) را تحلیل می‌کند تا پروتکل‌های VPN (مانند OpenVPN یا WireGuard) را شناسایی و مسدود کند، حتی اگر خود داده‌ها رمزنگاری شده باشند.
• راهکار متقابل:
  • مبهم‌سازی (Obfuscation): شبیه‌سازی ترافیک VPN به ترافیک عادی وبگردی HTTPS (مانند استفاده از Shadowsocks، V2Ray/VMess یا Obfs4).
  • ECH (Encrypted Client Hello): فناوری جدیدتری که SNI را رمزنگاری می‌کند و مانع از آن می‌شود که ISP در طول فرآیند دست‌دهی، دامنه مقصد را ببیند.

۴. اختلال و شکل‌دهی پهنای باند (Throttling)

به جای مسدودسازی کامل، رژیم اغلب کیفیت اتصالات رمزنگاری شده را تخریب می‌کند تا آن‌ها را غیرقابل استفاده کند.

• روش: ISP پروتکل‌های تونل‌زنی رمزنگاری شده را تشخیص داده و عمداً سرعت آن‌ها را کاهش می‌دهد که منجر به قطعی مکرر (Timeouts) و قطع اتصال می‌شود.

---

مکانیزم‌های نظارت (Surveillance)

نظارت با سانسور متفاوت است؛ یکی مانع صحبت کردن شما می‌شود، دیگری آنچه می‌گویید را تماشا می‌کند.

۱. تحلیل متادیتا (Metadata Analysis)

حتی با وجود رمزنگاری سرتاسری (مانند سیگنال یا واتس‌اپ)، ISP می‌تواند متادیتا را مشاهده کند:

• چه کسی: آدرس IP شما و آدرس IP سروری که با آن صحبت می‌کنید.
• چه زمانی: زمان و مدت اتصال.
• چه مقدار: حجم داده‌های منتقل شده.
• استنتاج: با ارتباط دادن این نقاط داده، نهادهای اطلاعاتی می‌توانند روابط و فعالیت‌ها را استنباط کنند.

۲. حملات مرد میانی (MitM)

حاکمیت ممکن است تلاش کند خود را بین شما و مقصد قرار دهد.

• تزریق گواهی (Certificate Injection): ممکن است کاربر فریب داده شود تا یک «گواهی ریشه» (Root Certificate) دولتی را نصب کند (که اغلب برای شبکه‌های دانشگاهی یا اداری اجباری می‌شود). این کار به مهاجم اجازه می‌دهد ترافیک HTTPS را رمزگشایی کرده، بخواند، دوباره رمزنگاری کند و به مقصد بفرستد.
• هشدار: هرگز گواهی‌های ریشه سفارشی را روی دستگاه‌های شخصی خود نصب نکنید، مگر اینکه به صادرکننده آن اعتماد کامل داشته باشید.

۳. کاوش فعال (Active Probing)

هنگامی که فایروال بزرگ یک اتصال مشکوک (مانند یک سرور ShadowSocks) را شناسایی می‌کند، ممکن است «کاوشگرهای» خود را به آن سرور بفرستد تا ببیند آیا مانند یک پروکسی پاسخ می‌دهد یا خیر. در صورت پاسخ مثبت، سرور مسدود می‌شود.

---

مبانی فنی دور زدن فیلترینگ

برای شکست دادن این سیستم‌ها، ابزارهای امنیت دیجیتال بر سه مفهوم اصلی تکیه دارند:

۱. تونل‌زنی (لوله)

تونل‌زنی بسته‌های داده شما را درون پروتکل دیگری بسته‌بندی می‌کند. این کار یک لینک مجازی مستقیم بین دستگاه شما و سروری در خارج از ایران ایجاد می‌کند.

• هدف: دور زدن قوانین مسیریابی ISP محلی و خروج به اینترنت آزاد از یک حوزه قضایی متفاوت.

۲. رمزنگاری (پاکت نامه)

رمزنگاری داده‌ها را به هم می‌ریزد به طوری که هر رهگیری‌کننده (ISP یا TIC) فقط داده‌های نامفهوم می‌بیند.

• رمزنگاری انتقال (Transport Encryption): از داده‌ها در مسیر دستگاه شما تا سرور VPN محافظت می‌کند (مانند WireGuard, OpenVPN).
• رمزنگاری سرتاسری (E2EE): از داده‌ها در مسیر دستگاه شما تا دستگاه گیرنده محافظت می‌کند (مانند Signal, PGP). حتی ارائه‌دهنده VPN نیز نمی‌تواند داده‌های E2EE را بخواند.

۳. مبهم‌سازی (استتار)

از آنجا که ایران از DPI برای مسدود کردن تونل‌های استاندارد استفاده می‌کند، مبهم‌سازی (Obfuscation) حیاتی است. این کار «اثر انگشت» بسته‌های داده را تغییر می‌دهد تا شبیه ترافیک بی‌خطر (معمولاً وبگردی استاندارد HTTPS یا استریم ویدیو) به نظر برسند.

• Pluggable Transports: ابزارهایی مانند Snowflake یا v2ray-plugin ترافیک را تغییر چهره می‌دهند تا فایروال را فریب دهند.

چک‌لیست خلاصه برای کاربران ایرانی

هنگام تنظیم دفاع دیجیتال خود، اطمینان حاصل کنید که استراتژی شما تمام لایه‌ها را پوشش می‌دهد:

1. DNS: آیا درخواست DNS شما رمزنگاری شده است؟ (از DoH/DoT استفاده کنید).
2. SNI: آیا دامنه مقصد شما قابل مشاهده است؟ (از ابزارهای دارای ECH یا مبهم‌سازی استفاده کنید).
3. پروتکل: آیا پروتکل VPN شما قابل شناسایی است؟ (از OpenVPN خام اجتناب کنید؛ از پروتکل‌های مبهم‌سازی شده استفاده کنید).
4. متادیتا: آیا موقعیت مکانی خود را نشت می‌دهید؟ (برای پنهان کردن IP از VPN یا Tor استفاده کنید).
5. اعتماد: آیا به ارائه‌دهنده شبکه اعتماد دارید؟ (فرض کنید تمام ISPهای ایرانی ناامن هستند).

موضوعات مرتبط

• [[DNS_Protocols_and_Privacy]]
• [[Tor_and_Anonymity_Networks]]
• [[VPN_Technology_and_Providers]]
• [[Secure_Browsing_and_Web_Hygiene]]