Prent:
Vandag word 'n aansienlike deel van alle inhoud op die internet versprei deur gebruik te maak van CDN-netwerke. Terselfdertyd, navorsing oor hoe verskeie sensors hul invloed oor sulke netwerke uitbrei. Wetenskaplikes van die Universiteit van Massachusetts moontlike metodes om CDN-inhoud te blokkeer met behulp van die voorbeeld van die praktyke van die Chinese owerhede, en het ook 'n instrument ontwikkel om sulke blokkering te omseil.
Ons het 'n oorsigmateriaal voorberei met die belangrikste gevolgtrekkings en resultate van hierdie eksperiment.
Inleiding
Sensuur is 'n wêreldwye bedreiging vir vryheid van spraak op die internet en vrye toegang tot inligting. Dit is grootliks moontlik as gevolg van die feit dat die internet die "end-tot-end kommunikasie"-model van telefoonnetwerke van die 70's van die vorige eeu geleen het. Dit laat jou toe om toegang tot inhoud of gebruikerskommunikasie te blokkeer sonder noemenswaardige moeite of koste bloot op grond van IP-adres. Daar is verskeie metodes hier, van die blokkering van die adres self met verbode inhoud tot die blokkering van die vermoë van gebruikers om dit selfs te herken met behulp van DNS-manipulasie.
Die ontwikkeling van die internet het egter ook gelei tot die ontstaan van nuwe maniere om inligting te versprei. Een daarvan is die gebruik van gekaste inhoud om werkverrigting te verbeter en kommunikasie te bespoedig. Vandag verwerk CDN-verskaffers 'n aansienlike hoeveelheid van alle verkeer in die wêreld - Akamai, die leier in hierdie segment, is alleen verantwoordelik vir tot 30% van globale statiese webverkeer.
'n CDN-netwerk is 'n verspreide stelsel om internetinhoud teen maksimum spoed te lewer. 'n Tipiese CDN-netwerk bestaan uit bedieners in verskillende geografiese liggings wat inhoud kas om dit te bedien aan gebruikers wat die naaste aan daardie bediener is. Dit laat jou toe om die spoed van aanlyn kommunikasie aansienlik te verhoog.
Benewens die verbetering van die ervaring vir eindgebruikers, help CDN-hosting inhoudskeppers om hul projekte te skaal deur die las op hul infrastruktuur te verminder.
Sensureer CDN-inhoud
Ten spyte van die feit dat CDN-verkeer reeds 'n aansienlike deel uitmaak van alle inligting wat oor die internet versend word, is daar nog byna geen navorsing oor hoe sensors in die regte wêreld die beheer daarvan benader nie.
Die skrywers van die studie het begin deur sensuurtegnieke te ondersoek wat op CDN'e toegepas kan word. Daarna het hulle die werklike meganismes bestudeer wat deur die Chinese owerhede gebruik word.
Kom ons praat eers oor moontlike sensuurmetodes en die moontlikheid om dit te gebruik om die CDN te beheer.
IP-filtrering
Dit is die eenvoudigste en goedkoopste tegniek om die internet te sensor. Deur hierdie benadering te gebruik, identifiseer en swartlys die sensor die IP-adresse van hulpbronne wat verbode inhoud huisves. Dan hou die beheerde internetverskaffers op om pakkies af te lewer wat na sulke adresse gestuur word.
IP-gebaseerde blokkering is een van die mees algemene metodes om die internet te sensor. Die meeste kommersiële netwerktoestelle is toegerus met funksies om sulke blokkering te implementeer sonder noemenswaardige berekeningspoging.
Hierdie metode is egter nie baie geskik om CDN-verkeer te blokkeer nie as gevolg van sommige eienskappe van die tegnologie self:
- Verspreide kas – om die beste beskikbaarheid van inhoud te verseker en werkverrigting te optimaliseer, kas CDN-netwerke gebruikersinhoud op 'n groot aantal randbedieners wat in geografies verspreide liggings geleë is. Om sulke inhoud op grond van IP te filter, sal die sensor die adresse van alle randbedieners moet uitvind en hulle swartlys. Dit sal die belangrikste eienskappe van die metode ondermyn, want die grootste voordeel daarvan is dat die blokkering van een bediener in die gewone skema jou toelaat om toegang tot verbode inhoud vir 'n groot aantal mense gelyktydig te "afsny".
- Gedeelde IP's – kommersiële CDN-verskaffers deel hul infrastruktuur (d.w.s. randbedieners, karteringstelsel, ens.) tussen baie kliënte. Gevolglik word verbode CDN-inhoud vanaf dieselfde IP-adresse as nie-verbode inhoud gelaai. As gevolg hiervan sal enige poging tot IP-filtrering daartoe lei dat 'n groot aantal werwe en inhoud wat nie van belang is vir sensors, geblokkeer word nie.
- Hoogs dinamiese IP-toewysing – om lasbalansering te optimaliseer en die kwaliteit van diens te verbeter, word kartering van randbedieners en eindgebruikers baie vinnig en dinamies uitgevoer. Byvoorbeeld, Akamai-opdaterings het elke minuut IP-adresse teruggestuur. Dit sal dit byna onmoontlik maak vir adresse om met verbode inhoud geassosieer te word.
DNS-inmenging
Behalwe IP-filtrering, is 'n ander gewilde sensuurmetode DNS-inmenging. Hierdie benadering behels optrede deur sensors wat daarop gemik is om te verhoed dat gebruikers die IP-adresse van hulpbronne met verbode inhoud herken. Dit wil sê, die ingryping vind plaas op die domeinnaam-resolusievlak. Daar is verskeie maniere om dit te doen, insluitend die kaping van DNS-verbindings, die gebruik van DNS-vergiftigingstegnieke en die blokkering van DNS-versoeke na verbode werwe.
Dit is 'n baie effektiewe blokkeermetode, maar dit kan omseil word as jy nie-standaard DNS-resolusiemetodes gebruik, byvoorbeeld buiteband-kanale. Daarom kombineer sensors gewoonlik DNS-blokkering met IP-filtrering. Maar, soos hierbo genoem, is IP-filtrering nie effektief om CDN-inhoud te sensor nie.
Filter volgens URL/sleutelwoorde deur DPI te gebruik
Moderne netwerkaktiwiteitmoniteringtoerusting kan gebruik word om spesifieke URL's en sleutelwoorde in versendte datapakkies te ontleed. Hierdie tegnologie word DPI (deep packet inspection) genoem. Sulke stelsels vind meldings van verbode woorde en hulpbronne, waarna dit met aanlyn kommunikasie inmeng. Gevolglik word die pakkies eenvoudig laat val.
Hierdie metode is effektief, maar meer kompleks en hulpbron-intensief omdat dit defragmentasie van alle datapakkies wat binne sekere strome gestuur word, vereis.
CDN-inhoud kan op dieselfde manier as “gewone” inhoud teen sulke filtering beskerm word – in albei gevalle help die gebruik van enkripsie (d.w.s. HTTPS).
Benewens die gebruik van DPI om sleutelwoorde of URL's van verbode hulpbronne te vind, kan hierdie instrumente gebruik word vir meer gevorderde ontleding. Hierdie metodes sluit in statistiese ontleding van aanlyn/aflyn verkeer en ontleding van identifikasieprotokolle. Hierdie metodes is uiters hulpbron-intensief en op die oomblik is daar eenvoudig geen bewyse van die gebruik daarvan deur sensors in 'n voldoende ernstige mate nie.
Selfsensuur van CDN-verskaffers
As die sensor die staat is, het dit elke geleentheid om daardie CDN-verskaffers te verbied om in die land te werk wat nie plaaslike wette gehoorsaam wat toegang tot inhoud beheer nie. Selfsensuur kan op geen manier weerstaan word nie - dus, as 'n CDN-verskaffermaatskappy belangstel om in 'n sekere land te werk, sal dit gedwing word om aan plaaslike wette te voldoen, selfs al beperk dit vryheid van spraak.
Hoe China censureer CDN-inhoud
Die Groot Firewall van China word met reg beskou as die mees doeltreffende en gevorderde stelsel om internetsensuur te verseker.
Navorsingsmetodologie
Wetenskaplikes het eksperimente uitgevoer met behulp van 'n Linux-knooppunt wat in China geleë is. Hulle het ook toegang tot verskeie rekenaars buite die land gehad. Eerstens het die navorsers nagegaan dat die nodus onderhewig is aan sensuur soortgelyk aan dié wat op ander Chinese gebruikers toegepas word - om dit te doen, het hulle probeer om verskeie verbode werwe vanaf hierdie masjien oop te maak. Die teenwoordigheid van dieselfde vlak van sensuur is dus bevestig.
Die lys van webwerwe wat in China geblokkeer is wat CDN's gebruik, is van GreatFire.org geneem. Die metode van blokkering in elke geval is dan ontleed.
Volgens openbare data is Akamai die enigste groot speler in die CDN-mark met sy eie infrastruktuur in China. Ander verskaffers wat aan die studie deelneem: CloudFlare, Amazon CloudFront, EdgeCast, Fastly en SoftLayer.
Tydens die eksperimente het die navorsers die adresse van Akamai-randbedieners binne die land uitgevind, en toe probeer om toegelate inhoud in die kas te kry. Dit was nie moontlik om toegang tot verbode inhoud te kry nie (HTTP 403-verbode fout is teruggestuur) - blykbaar is die maatskappy besig om selfsensor te kry om die vermoë om in die land te werk te behou. Terselfdertyd het toegang tot hierdie hulpbronne buite die land oop gebly.
ISP's sonder infrastruktuur in China self-sensor nie plaaslike gebruikers nie.
In die geval van ander verskaffers, was die mees gebruikte blokkeermetode DNS-filtrering - versoeke na geblokkeerde werwe word opgelos na verkeerde IP-adresse. Terselfdertyd blokkeer die firewall nie die CDN-randbedieners self nie, aangesien hulle beide verbode en toegelate inligting stoor.
En as die owerhede in die geval van ongeënkripteerde verkeer die vermoë het om individuele bladsye van werwe met DPI te blokkeer, dan kan hulle slegs toegang tot die hele domein as 'n geheel weier wanneer hulle HTTPS gebruik. Dit lei ook tot die blokkering van toegelate inhoud.
Daarbenewens het China sy eie CDN-verskaffers, insluitend netwerke soos ChinaCache, ChinaNetCenter en CDNetworks. Al hierdie maatskappye voldoen ten volle aan die wette van die land en blokkeer verbode inhoud.
CacheBrowser: CDN-omseilinstrument
Soos die ontleding getoon het, is dit redelik moeilik vir sensors om CDN-inhoud te blokkeer. Daarom het die navorsers besluit om verder te gaan en 'n aanlyn blokomleidingsinstrument te ontwikkel wat nie instaanbedienertegnologie gebruik nie.
Die basiese idee van die instrument is dat sensors met die DNS moet inmeng om CDN's te blokkeer, maar jy hoef nie eintlik domeinnaamresolusie te gebruik om CDN-inhoud te laai nie. Die gebruiker kan dus die inhoud kry wat hy benodig deur direk met die randbediener in verbinding te tree, waar dit reeds gekas is.
Die diagram hieronder toon die stelselontwerp.
Kliëntsagteware word op die gebruiker se rekenaar geïnstalleer, en 'n gewone blaaier word gebruik om toegang tot die inhoud te verkry.
Wanneer 'n URL of stukkie inhoud reeds aangevra is, rig die blaaier 'n versoek aan die plaaslike DNS-stelsel (LocalDNS) om die gasheer-IP-adres te verkry. Gereelde DNS word slegs navraag gedoen vir domeine wat nie reeds in die LocalDNS-databasis is nie. Die Scraper-module gaan voortdurend deur die gevraagde URL's en soek die lys vir potensieel geblokkeerde domeinname. Scraper roep dan die Resolver-module om die nuut ontdekte geblokkeerde domeine op te los, hierdie module voer die taak uit en voeg 'n inskrywing by LocalDNS. Die blaaier se DNS-kas word dan skoongemaak om bestaande DNS-rekords vir die geblokkeerde domein te verwyder.
As die Resolver-module nie kan uitvind aan watter CDN-verskaffer die domein behoort nie, sal dit die Bootstrapper-module om hulp vra.
Hoe dit in die praktyk werk
Die kliëntsagteware van die produk is vir Linux geïmplementeer, maar dit kan maklik ook vir Windows oorgedra word. Gereelde Mozilla word as 'n blaaier gebruik
Firefox. Die Scraper- en Resolver-modules word in Python geskryf, en die Customer-to-CDN- en CDN-toIP-databasisse word in .txt-lêers gestoor. Die LocalDNS-databasis is die gewone /etc/hosts-lêer in Linux.
As gevolg hiervan, vir 'n geblokkeerde URL soos Die skrip sal die randbediener-IP-adres van die /etc/hosts-lêer kry en 'n HTTP GET-versoek stuur om toegang te verkry tot BlockedURL.html met die Host HTTP-opskrifvelde:
blocked.com/ and User-Agent: Mozilla/5.0 (Windows
NT 5.1; rv:14.0) Gecko/20100101 Firefox/14.0.1Die Bootstrapper-module word geïmplementeer met behulp van die gratis hulpmiddel digwebinterface.com. Hierdie DNS-oplosser kan nie geblokkeer word nie en beantwoord DNS-navrae namens verskeie geografies verspreide DNS-bedieners in verskillende netwerkstreke.
Deur hierdie instrument te gebruik, het die navorsers daarin geslaag om toegang tot Facebook te verkry vanaf hul Chinese nodus, hoewel die sosiale netwerk lank reeds in China geblokkeer is.
Gevolgtrekking
Die eksperiment het getoon dat die voordeel van die probleme wat sensors ervaar wanneer hulle CDN-inhoud probeer blokkeer, gebruik kan word om 'n stelsel te skep om blokke te omseil. Hierdie instrument laat jou toe om blokke selfs in China te omseil, wat een van die kragtigste aanlyn sensuurstelsels het.
Ander artikels oor die onderwerp van gebruik vir besigheid:
Bron: will.com