איך חותכים מדינה מהאינטרנט? הצצה טכנית למכונת הצנזורה האיראנית

איך מבצעים חיתוך של האינטרנט? מסתבר שזה לא כל כך פשוט כמו שאנחנו חושבים.

בעקבות המלחמה האחרונה נגד איראן, איראן כהרגלה בקודש חתכה את האינטרנט לכל התושבים שלה. הארגון netblock שעוסק בניטור האינטרנט ממש הראה את זה בגרף של חסימת האינטרנט.

נשאלת השאלה… איך חוסמים הרמטית אינטרנט? איך ממשלות מפילות את כל האינטרנט באיזורים שונים או בכל המדינה אפילו?

ההבדל בין צנזורה לחסימה

יש הבדל משמעותי בין צנזורה – כלומר אני רוצה לעצור או להאט את התנועה לאתרים/שירותים מסוימים לבין עצירת האינטרנט. צנזורה זה דבר קשה ומורכב, מי שמעוניין בזה יכול לצפות בהרצאה הזו שמראה כמה קשה ומורכב לבצע התערבות בתקשורת באינטרנט המודרני.

בפוסט הזה אנחנו מדברים על חסימה – כלומר עצירת כל תנועת האינטרנט במדינה.

חיתוך פיזי או השבתה

במקרה של חסימה פיזית, הממשלה יכולה להורות על השבתת מרכזיות או ניתוק של ציוד תקשורת – בין אם באמצעות צו ממשלתי ובין אם פיזית, באמצעות חיילים או טכנאים שמנתקים פיזית ציוד כולל חיתוך כבל. מסתבר שזה קצת יותר מורכב ממה שחשבנו. כאשר מדובר במדינה גדולה שיש לה כמה וכמה חיבורי רשתות עם מדינת שכנות, אי אפשר לחתוך כבל אחד וזהו. גם חיתוך של כבל הוא בעייתי כי לחבר אותו זה לא תמיד כמו לחבר כבל של חשמל או של USB. ניתן כמובן לבצע השבתה של המרכזיות אבל זה משבית את כל הרשת ולא תמיד זה מה שרוצים. במצבים קיצוניים אפשר לעשות את זה וזה מה שנעשה למשל במצרים בתקופת האביב הערבי. הרשויות המצריות דרשו מכל ספקיות האינטרנט של המדינה לסגור את האינטרנט והשירותים לחלוטין באמצעות ניתוק חשמלי או מיאנימר בשנת 2019.

לכאורה הניתוק הזה הרמטי, אבל אפשר לעקוף אותו. ראשית, במדינות שהן מעט פחות טוטליטריות או שיש בהן יותר אנרכיה, ישנן ספקיות אינטרנט שיש להן קווים פרטיים או גישה לווינית ולאו דווקא יהיה אפשר לנתק אותן. בנוסף, יש אינטרנט לוויני ולאנשים שגרים ליד הגבולות יש יכולת להתחבר לאנטנות תקשורת של מדינות אחרות. יש גם תקשורת בגלים ארוכים כמו Lora שלא מספקת רוחב פס אבל כן תאפשר שליחת מסרים. גם ניתוק פיזי לא אומר ניתוק הרמטי וזה לא תמיד כל כך פשוט.

אבל גם אם נניח שאפשר לבצע ניתוק חשמלי או חיתוך של הכבלים וזה יחתוך את האינטרנט: אפילו במדינות עולם שלישי זה בעייתי מאד. מעבר לזה שמדובר בחסימה שחוסמת גם את האינטרנט הפנימי במדינה (למשל, אם אני רוצה להכנס לאתר הממשלתי כדי לקרוא חדשות) ומשבית מערכות פנים מדינתיות שתלויות באינטרנט ובתקשורת כמו שירותי רפואה, בנקאות ומסחר. אפילו במדינות פרימיטיביות ניתוק חשמלי/מונחה כבלים של האינטרנט מתחיל להיות בעייתי. שנית, גם אם רוצים להחזיר את האינטרנט, ניתוק חשמלי עלול להיות בעייתי ובטח שחיתוך של כבלים הוא בעייתי. שלישית, ניתוק באופן אחר יכול גם להיות מוכחש או תלוי ב״בעיות טכניות״ ורביעית – חסימה כזו גם מונעת מפקידי הממשלה לשדר החוצה תעמולה או תקשורת.

זו הסיבה שחיתוך חשמלי לא נפוץ כל כך ומדינות, בטח כמו איראן, מעדיפות ניתוק אחר ושליטה יותר מורכבת על הרשת. כאשר לעתים השליטה היא בפורמט של צנזורה (פחות יעיל), סינון עם Deep Packet Inspection או עם SNI ולפעמים חסימה ברמות שונות וגם מעבר לרשת הפנימית שלה (NIN).

ניתוק של הצומת המקומי

ישנה עוד דרך פחות אגרסיבית לנתק את הרשת וזה לבצע את הרשת החיצונית וזה בעצם לנתק את החיבור של הצומת המקומי של הרשת, המקום שבעצם כל התקשורת של המדינה עוברת בו בדרך החוצה. הצומת המקומי, שידוע בכינויו IXP הוא חלק חשוב מהתשתית של כל מדינה ומאפשר בעצם תקשורת מקומית טובה יותר אבל כן גורמת לריכוזיות של המידע. הממשלה יכולה לגשת למקום מרכזי ולנתק את החיבור לעולם החיצון. הבעיות שיש בניתוק כזה הן חלק מהבעיות של ניתוק פיזי.

זה אפשרי כמובן במדינות עם שלטון ריכוזי שיש בהן צומת בודדת וגם יש חיוב של כל הספקיות לעבוד דרך הצומת. למשל בישראל יש ספקיות שיש להן חיבורים ישירים שלא דרך הצומת.

ההשבתות האלו הן השבתות פיזיות, אבל ההשבתה הבאה היא השבתה מבוססת פרוטוקול והיא קלה יותר. גם היא גמישה יותר (אני יכול להוריד למשל רק חלק מה-AS ולעשות מניפולציות אחרות) וגם היא מאד קלה להפעלה ולהסרה, בניגוד להשבתות פיזיות. גם אם יש את התשתיות המתאימות, זה עניין של לחיצת כפתור.

ניתוק עם Border Gateway Protocol

אחת משיטות הניתוק הנפוצות מנצלת לרעה את פרוטוקול Border Gateway Protocol או בראשי תיבות BGP. הפרוטוקול הזה הוא אבן היסוד של האינטרנט וכדאי לדעת עליו מעט יותר. בגדול הוא מאפשר למערכות אוטונומיות לתקשר. מה הן מערכות אוטונומיות? מדובר באוסף של נתבים ויחידות תקשורת המנוהלות על ידי גוף יחיד. זה יכול להיות ספק אינטרנט, ארגון עסקי גדול (כמו גוגל), אוניברסיטה, כל דבר מספיק גדול. באנגלית השם הוא autonomous system וראשי התבות הן AS. איך AS מתקשרת עם AS אחרת? באמצעות פרוטוקול שנקרא BGP.

אם אני למשל רוצה לגלוש ל-8.8.8.8 שהוא ב-AS של גוגל ואני בפרטנר, אז המעבר שלי בין ה-AS של פרטנר לבין זה של גוגל יוסדר באמצעות BGP.

אני חושב שממש קל לראות את זה באמצעות שימוש בפקודה שמאפשרת לראות את זה בעיניים. בלינוקס ובמק זה קל עם תוכנת mtr. במק מתקינים אותה עם brew install mtr ובלינוקס עם sudo apt get install mtr או תלוי הפצה. אחרי ההתקנה, נסו להריץ את זה:

sudo mtr --aslookup 1.1.1.1

תוכלו לראות משהו כזה:

טבלה של ניתוב, אני מסביר בהמשך על מה שיש בה.

אפשר לראות ממש את התנועה בין ה-AS המקומי שלי, של פרטנר AS12400 ל-AS13335 של קלאודפלייר. השלב הראשון הוא מעבר מקומי מהנתב שלי 192.168.2.1 אל 192.168.1.1 שזה הברידג׳ של פרטנר. כרגע אני ברשת המקומית שלי אז אין AS. השלב השלישי הוא השלב שבו אני יוצא החוצה אל הספק שלי שזה פרטנר ואני לראשונה במערכת מקומית AS12400. אני זז בתוכה כמה פעמים ואז יוצא אל AS13335 שזו המערכת המקומית של 1.1.1.1.

איך עברתי בעצם בין שתי הרשתות? איך פרטנר יכולה להעביר אותי כך? והאם זו הדרך הכי יעילה? הנתבים בעצם ברשת מעבירים את המידע באמצעות BGP וגם שומרים בזכרון הפנימי שלהם את המידע על הנתבים הסמוכים להם וכך הם יודעים להעביר את התנועה, כשהכל תקין. הנתבים השונים מנוהלים על ידי ה-AS כאשר כל AS יכול להחליט על חסימות או ניתובים שונים.

כדי לראות את המבנה של רשתות והמעבר ביניהן, ניתן להשתמש גם בפקודת whois (לפחות במק) ושירות של cymru שהיא חברת אבטחה שמאפשר לנו לבדוק את ה-BGP וה-AS של כתובת IP. למשל 8.8.8.8.

whois -h whois.cymru.com " -v 8.8.8.8"

התוצאה שתחזיר תיראה בערך כך:

אני מסביר על הפלט הויזואלי הזה בפסקה הבאה.

מה אנחנו רואים כאן?

כתובת ה-IP 8.8.8.8 שייכת ל־AS15169 – שהוא ה-AS של גוגל, והיא יושבת בתוך prefix של 8.8.8.0/24, כלומר גוש של 256 כתובות IP. ה־AS הזה בעצם מפרסם את ה־prefix הזה לרשת באמצעות פרוטוקול BGP – כלומר מודיע לעולם: "אם אתם מחפשים את הכתובת הזו, אני יודע להגיע אליה. כך ה-AS שלי יודעת להגיע אל ה-AS של גוגל. כך גם מה שיושב ב-AS שלי נגיש החוצה. ככה האינטרנט עובד.

וזו הנקודה שבה ממשלות יכולות להתערב. כאמור ה-AS הוא מקומי ובשליטת הממשלה היא יכולה להורות ל-AS לבצע מניפולציות ב-BGP. למשל:

להורות לכל הנתבים ברשת להודיע לשכנים שהם לא זמינים. העולם לא יכול להגיע אל הנתבים ואז יש השבתה מוחלטת.
להורות לכל הנתבים ברשת להעביר את התנועה דרך מקום אחד, שהוא בעצם נקודת צנזורה שנשלטת על ידי הממשלה. בשלב הזה היא יכולה לחסום מה שבא לה באמצעות נקודה אחת.
FlowSpec – חסימה של פורטים ספציפיים. למשל פורטים של VPNים או פורטים אחרים. FlowSpec הוא מנגנון בתוך BGP שמאפשר לנתבים להפיץ כללי סינון מבוססי תכונות של תעבורה (כמו פורטים, פרוטוקולים או סוגי חיבורים) והוא משמש בעיקר למניעת התקפות DDoS או לצנזורה נקודתית.
חסימה של כתובות IP חיצוניות.

המניפולציה הזו של BGP הזו אפקטיבית כי היא מפילה את התקשורת לפני שהיא מגיעה ל-DNS ויש חיבור HTTPS. הניתוק הוא ברמת החיבור עצמו. אבל, זה לא אומר שאין מה לעשות, בדיוק כמו ניתוק פיזי. אפשר לבצע מניפולציה הרמטית (מספר 1) או מניפולציות יותר רכות – של פורטים מסוימים, של כתובות IP חיצוניות או של חלק מכתובות ה-IP. זה אפקטיבי יותר מחסימת IP רגילה שאנחנו מכירים כי כאן ממש הנתבים פשוט לא יודעים להגיע למקום מסוים.

איך אפשר לעקוף את המניפולציה ב-BGP?

במידה וזה לא מניפולציה מסוג 1 – הודעת BGP שמפסיקה לפרסם את הרשת, עדיין יש מה לעשות – כי לא כל כתובות ה-IP והניתובים נחסמים.

לפעמים הכללים של מניפולצית ה-BGP מתעלמים מהגרסאות החדשות של IP v6 ואז מעבר אליהן יכול לגרום ל-AS לתקשר כמו שצריך.

במקרה של חסימה של שירותים פופולריים, אפשר לנסות VPN שעדיין לא נחסם.

במקרה של חסימה נרחבת של שירותים פופולריים, אפשר להשתמש ב-Tor, הדפדפן של הרשת האפלה, והפעלת snowflakes שזה פרוקסי פרטיים של מתנדבים שמאפשרים לקפוץ בינהם יותר מהר ממה שאפשר לחסום אותם.

מה קורה באיראן?

באיראן יש מערכת חסימות שעבדו עליה שנים. מעבר לשיטות הצנזורה הבסיסיות שאנחנו מכירים כמו חסימת DNS או חסימות אחרות. יש לאיראן היסטוריה ארוכה שנים של חסימות BGP, גם בניתובי תנועה וגם ב-DPI שבודק תנועה בנקודה שה-BGP ניתב אליה.

כמו כן, באיראן (בדומה לסין) יש מערכת אינטרנט שמתוכננת להיות פנימית. ה-National Information Network או ה-NIN שלה – בעצם מאפשר לאינטרנט של איראן להתקיים גם כשיש חסימה של כל הרשת מבחוץ באמצעות BGP. בדרך כלל הצנזורה שם יותר רכה, אבל במקרים שונים מגבירים את הלחץ. התפקוד הפנימי של המדינה לא נפגע או לפחות לא נפגע קשות בגלל שיש את ה-NIN שמאפשרת תקשורת פנימית באופן מסוים. ל-NIIN יש מגבלות רבות – הוא איטי, לא מאפשר תקשורת לרוב השירותים וכמובן נתון לפיקוח הדוק של המדינה. א-ב-ל ניתוק האינטרנט שיש באיראן לא אומר שמר איראנוביץ׳ אחמדינג׳דוביץ׳ לא יכול לעשות קניות בסופר, לבצע מסחר בבורסה האיראנית או לראות סרטונים ב-Aparat (הגרסה האיראנית ליוטיוב). הוא יכול לגלוש לאתרים מקומיים בתוך איראן, אך לא לאתרים בינלאומיים כמו יוטיוב.

בחלק גדול ממקרי החסימה בעבר, איראן השתמשה ב-BGP על מנת לבצע את הניתוקים. אבל כעת יש סימנים לכך שכנראה שאיראן ניתקה את הצומת המקומי שלה וחסמה את כל החיבור לעולם החיצוני. קשה להוכיח את זה כמו במקרי BGP, אבל חלק מההערכות של המומחים, כמו בקישור הזה, מדווחים על זה שהניתוק המיידי והעלמת כל ה-AS בבת אחת מצביעים על ניתוק של הצומת המקומי – כלומר חסימה של כל האינטרנט החיצוני למעט ה-NIN ולא חסימות ה-BGP הרגילות. זה מראה על רצון לבצע חסימה יותר הרמטית. דיווחים אחרים מספרים על הורדה של אנטנות תקשורת בחלק מהמקומות.

האינטרנט החיצוני באיראן, נכון לשעת כתיבת שורות אלו, עדיין למטה והאזרחים שם נהנים מהאינטרנט ב-NIN.

⚠️ Update: Internet connectivity has again collapsed in #Iran following a brief period when residents could exchange messages with the outside world; Iran's nation-scale internet shutdown remains in effect, limiting access to information as the conflict with Israel continues pic.twitter.com/rtRvktC8Wg
— NetBlocks (@netblocks) June 21, 2025

גם כשיש ניתוק של הצומת וגם אם מדובר ב-BGP רך יותר, השלטונות כנראה כן משאירים חלק מהרשת פתוחה עבור אמצעי התעמולה שלהם. כמובן שזה לא מונע מאזרחים שקרובים לגבול או עם לווין לתקשר עם העולם החיצוני כפי שציינו קודם. אבל זה הופך את העניין לקשה ומסובך. איראן גם סופגת נזק כלכלי (למרות ה-NIN ולמרות שהיא מדינה שלא נשענת על האינטרנט). אז ככה שגם היכולת שלהם לעצור את האינטרנט להמון זמן היא מוגבלת.

אגב – fun fact – למי שזוכר את התקלה הקשוחה בפייסבוק לפני כמה שנים שבמסגרתה כל השירותים של מטא הפסיקו לעבוד – זה קרה בגלל BGP. הנתבים במערכת האוטונומית של פייסבוק – AS13335, הפסיקו לשדר את המיקום שלהם עם BGP. שרתי ה-DNS של פייסבוק הפסיקו לעבוד והחגיגה היתה בעיצומה. יש הסבר בפוסט הנפלא של קלאודפלייר.