صورة:
اليوم، يتم توزيع جزء كبير من المحتوى الموجود على الإنترنت باستخدام شبكات CDN. وفي الوقت نفسه، إجراء بحث حول كيفية قيام مختلف أجهزة الرقابة بتوسيع نفوذها على مثل هذه الشبكات. علماء من جامعة ماساتشوستس الطرق الممكنة لحظر محتوى CDN باستخدام مثال ممارسات السلطات الصينية، كما طورت أداة لتجاوز هذا الحجب.
لقد قمنا بإعداد مادة مراجعة مع الاستنتاجات والنتائج الرئيسية لهذه التجربة.
مقدمة
تمثل الرقابة تهديدًا عالميًا لحرية التعبير على الإنترنت وحرية الوصول إلى المعلومات. ويرجع ذلك إلى حد كبير إلى حقيقة أن الإنترنت استعارت نموذج "الاتصال الشامل" من شبكات الهاتف في السبعينيات من القرن الماضي. يتيح لك هذا منع الوصول إلى المحتوى أو اتصالات المستخدم دون بذل جهد أو تكلفة كبيرة بناءً على عنوان IP. هناك عدة طرق هنا، بدءًا من حظر العنوان نفسه بمحتوى محظور وحتى منع قدرة المستخدمين على التعرف عليه باستخدام معالجة DNS.
ومع ذلك، أدى تطور الإنترنت أيضًا إلى ظهور طرق جديدة لنشر المعلومات. أحدها هو استخدام المحتوى المخزن مؤقتًا لتحسين الأداء وتسريع الاتصالات. اليوم، يقوم موفرو CDN بمعالجة قدر كبير من جميع حركة المرور في العالم - تمثل Akamai، الشركة الرائدة في هذا القطاع، وحدها ما يصل إلى 30% من حركة الويب الثابتة العالمية.
شبكة CDN هي نظام موزع لتوصيل محتوى الإنترنت بأقصى سرعة. تتكون شبكة CDN النموذجية من خوادم في مواقع جغرافية مختلفة تقوم بتخزين المحتوى مؤقتًا لتقديمه للمستخدمين الأقرب إلى ذلك الخادم. يتيح لك ذلك زيادة سرعة الاتصال عبر الإنترنت بشكل كبير.
بالإضافة إلى تحسين تجربة المستخدمين النهائيين، تساعد استضافة CDN منشئي المحتوى على توسيع نطاق مشاريعهم عن طريق تقليل الحمل على البنية التحتية الخاصة بهم.
مراقبة محتوى CDN
على الرغم من حقيقة أن حركة مرور CDN تشكل بالفعل جزءًا كبيرًا من جميع المعلومات المنقولة عبر الإنترنت، إلا أنه لا يوجد حتى الآن أي بحث تقريبًا حول كيفية تعامل أجهزة الرقابة في العالم الحقيقي مع سيطرتها.
بدأ مؤلفو الدراسة باستكشاف تقنيات الرقابة التي يمكن تطبيقها على شبكات CDN. ثم قاموا بدراسة الآليات الفعلية التي تستخدمها السلطات الصينية.
أولاً، دعونا نتحدث عن طرق الرقابة المحتملة وإمكانية استخدامها للتحكم في CDN.
تصفية IP
هذه هي الطريقة الأبسط والأكثر تكلفة لفرض الرقابة على الإنترنت. باستخدام هذا الأسلوب، يقوم الرقيب بتحديد عناوين IP الخاصة بالموارد التي تستضيف محتوى محظورًا وإدراجها في القائمة السوداء. ثم يتوقف مزودو خدمة الإنترنت الخاضعون للرقابة عن تسليم الحزم المرسلة إلى هذه العناوين.
يعد الحظر القائم على بروتوكول الإنترنت (IP) أحد أكثر الطرق شيوعًا للرقابة على الإنترنت. تم تجهيز معظم أجهزة الشبكات التجارية بوظائف لتنفيذ هذا الحظر دون بذل جهد حسابي كبير.
ومع ذلك، فإن هذه الطريقة ليست مناسبة جدًا لحظر حركة مرور CDN بسبب بعض خصائص التقنية نفسها:
- التخزين المؤقت الموزع - لضمان أفضل توافر للمحتوى وتحسين الأداء، تقوم شبكات CDN بتخزين محتوى المستخدم مؤقتًا على عدد كبير من خوادم الحافة الموجودة في مواقع موزعة جغرافيًا. لتصفية مثل هذا المحتوى بناءً على عنوان IP، سيحتاج الرقيب إلى معرفة عناوين جميع خوادم الحافة وإدراجها في القائمة السوداء. سيؤدي هذا إلى تقويض الخصائص الرئيسية للطريقة، لأن ميزتها الرئيسية هي أنه في المخطط المعتاد، يتيح لك حظر خادم واحد "قطع" الوصول إلى المحتوى المحظور لعدد كبير من الأشخاص في وقت واحد.
- عناوين IP المشتركة – يقوم موفرو CDN التجاريون بمشاركة البنية التحتية الخاصة بهم (أي خوادم الحافة ونظام رسم الخرائط وما إلى ذلك) بين العديد من العملاء. ونتيجة لذلك، يتم تحميل محتوى CDN المحظور من نفس عناوين IP مثل المحتوى غير المحظور. ونتيجة لذلك، فإن أي محاولة لتصفية عناوين IP ستؤدي إلى حجب عدد كبير من المواقع والمحتويات التي لا تهم الرقابة.
- تعيين IP ديناميكي للغاية - لتحسين موازنة التحميل وتحسين جودة الخدمة، يتم إجراء تعيين خوادم الحافة والمستخدمين النهائيين بسرعة وديناميكية كبيرة. على سبيل المثال، كانت تحديثات Akamai تعرض عناوين IP كل دقيقة. وهذا سيجعل من المستحيل تقريبًا ربط العناوين بمحتوى محظور.
تدخل DNS
إلى جانب تصفية IP، هناك طريقة شائعة أخرى للرقابة وهي تدخل DNS. يتضمن هذا الأسلوب إجراءات من جانب الرقابة تهدف إلى منع المستخدمين من التعرف على عناوين IP الخاصة بالموارد ذات المحتوى المحظور. أي أن التدخل يحدث على مستوى تحليل اسم المجال. هناك عدة طرق للقيام بذلك، بما في ذلك اختطاف اتصالات DNS، واستخدام تقنيات تسميم DNS، وحظر طلبات DNS إلى المواقع المحظورة.
تعد هذه طريقة حظر فعالة جدًا، ولكن يمكن تجاوزها إذا كنت تستخدم طرق تحليل DNS غير قياسية، على سبيل المثال، القنوات خارج النطاق. لذلك، عادةً ما تجمع أجهزة الرقابة بين حظر DNS وتصفية IP. ولكن، كما هو مذكور أعلاه، فإن تصفية IP ليست فعالة في مراقبة محتوى CDN.
التصفية حسب عنوان URL/الكلمات الرئيسية باستخدام DPI
يمكن استخدام معدات مراقبة نشاط الشبكة الحديثة لتحليل عناوين URL وكلمات رئيسية محددة في حزم البيانات المرسلة. تسمى هذه التقنية DPI (الفحص العميق للحزم). تعثر هذه الأنظمة على إشارات للكلمات والموارد المحظورة، وبعد ذلك تتداخل مع الاتصال عبر الإنترنت. ونتيجة لذلك، يتم إسقاط الحزم ببساطة.
هذه الطريقة فعالة، ولكنها أكثر تعقيدًا وتستهلك الكثير من الموارد لأنها تتطلب إلغاء تجزئة جميع حزم البيانات المرسلة ضمن تدفقات معينة.
يمكن حماية محتوى CDN من هذه التصفية بنفس طريقة حماية المحتوى "العادي" - وفي كلتا الحالتين يساعد استخدام التشفير (أي HTTPS).
بالإضافة إلى استخدام DPI للعثور على الكلمات الرئيسية أو عناوين URL للموارد المحظورة، يمكن استخدام هذه الأدوات لإجراء تحليل أكثر تقدمًا. تتضمن هذه الأساليب التحليل الإحصائي لحركة المرور عبر الإنترنت/دون الاتصال بالإنترنت وتحليل بروتوكولات التعريف. هذه الأساليب كثيفة الاستهلاك للموارد وفي الوقت الحالي لا يوجد ببساطة أي دليل على استخدامها من قبل الرقابة إلى حد خطير بما فيه الكفاية.
الرقابة الذاتية لمقدمي CDN
إذا كانت الدولة هي الجهة الرقابية، فلديها كل الفرص لمنع موفري CDN من العمل في الدولة التي لا تلتزم بالقوانين المحلية التي تحكم الوصول إلى المحتوى. لا يمكن مقاومة الرقابة الذاتية بأي شكل من الأشكال - لذلك، إذا كانت الشركة المزودة لشبكة CDN مهتمة بالعمل في بلد معين، فسوف تضطر إلى الامتثال للقوانين المحلية، حتى لو كانت تقيد حرية التعبير.
كيف تقوم الصين بمراقبة محتوى CDN
يعتبر جدار الحماية الصيني العظيم بحق النظام الأكثر فعالية وتقدمًا لضمان الرقابة على الإنترنت.
مناهج البحث العلمي
أجرى العلماء تجارب باستخدام عقدة Linux الموجودة داخل الصين. وكان لديهم أيضًا إمكانية الوصول إلى العديد من أجهزة الكمبيوتر خارج البلاد. أولاً، تحقق الباحثون من أن العقدة تخضع لرقابة مماثلة لتلك المطبقة على المستخدمين الصينيين الآخرين - للقيام بذلك، حاولوا فتح العديد من المواقع المحظورة من هذا الجهاز. لذلك تم تأكيد وجود نفس المستوى من الرقابة.
تم أخذ قائمة المواقع المحظورة في الصين والتي تستخدم شبكات CDN من GreatFire.org. ثم تم تحليل طريقة الحجب في كل حالة.
وفقًا للبيانات العامة، فإن اللاعب الرئيسي الوحيد في سوق CDN الذي يتمتع ببنية تحتية خاصة به في الصين هو Akamai. مقدمو الخدمات الآخرون المشاركون في الدراسة: CloudFlare، وAmazon CloudFront، وEdgeCast، وFastly، وSoftLayer.
خلال التجارب، اكتشف الباحثون عناوين خوادم Akamai edge داخل الدولة، ثم حاولوا الحصول على المحتوى المسموح به مؤقتًا من خلالها. لم يكن من الممكن الوصول إلى المحتوى المحظور (تم إرجاع خطأ HTTP 403 Forbidden) - يبدو أن الشركة تمارس رقابة ذاتية من أجل الحفاظ على القدرة على العمل في الدولة. وفي الوقت نفسه، ظل الوصول إلى هذه الموارد مفتوحًا خارج البلاد.
لا يقوم مقدمو خدمات الإنترنت الذين ليس لديهم بنية تحتية في الصين بفرض رقابة ذاتية على المستخدمين المحليين.
في حالة المزودين الآخرين، كانت طريقة الحظر الأكثر استخدامًا هي تصفية DNS - يتم حل طلبات المواقع المحجوبة إلى عناوين IP غير صحيحة. وفي الوقت نفسه، لا يقوم جدار الحماية بحظر خوادم CDN Edge نفسها، لأنها تقوم بتخزين المعلومات المحظورة والمسموح بها.
وإذا كانت السلطات، في حالة حركة المرور غير المشفرة، لديها القدرة على حظر الصفحات الفردية للمواقع باستخدام DPI، فعند استخدام HTTPS، يمكنها فقط رفض الوصول إلى النطاق بأكمله ككل. وهذا يؤدي أيضًا إلى حظر المحتوى المسموح به.
بالإضافة إلى ذلك، تمتلك الصين موفري خدمات CDN الخاصة بها، بما في ذلك شبكات مثل ChinaCache وChinaNetCenter وCDNetworks. تلتزم جميع هذه الشركات تمامًا بقوانين الدولة وتحظر المحتوى المحظور.
CacheBrowser: أداة تجاوز CDN
وكما أظهر التحليل، فمن الصعب جدًا على أجهزة الرقابة حظر محتوى CDN. ولذلك، قرر الباحثون المضي قدمًا وتطوير أداة لتجاوز الحظر عبر الإنترنت لا تستخدم تقنية الوكيل.
الفكرة الأساسية للأداة هي أنه يتعين على المراقبين التدخل في DNS لحظر شبكات CDN، لكن ليس عليك في الواقع استخدام تحليل اسم المجال لتحميل محتوى CDN. وبالتالي، يمكن للمستخدم الحصول على المحتوى الذي يحتاجه عن طريق الاتصال مباشرة بخادم الحافة، حيث تم تخزينه مؤقتًا بالفعل.
ويوضح الرسم البياني أدناه تصميم النظام.
يتم تثبيت برنامج العميل على جهاز الكمبيوتر الخاص بالمستخدم، ويتم استخدام متصفح عادي للوصول إلى المحتوى.
عندما يتم طلب عنوان URL أو جزء من المحتوى بالفعل، يقدم المتصفح طلبًا إلى نظام DNS المحلي (LocalDNS) للحصول على عنوان IP للاستضافة. يتم الاستعلام عن DNS العادي فقط للمجالات غير الموجودة بالفعل في قاعدة بيانات LocalDNS. تقوم وحدة Scraper بالتنقل بشكل مستمر عبر عناوين URL المطلوبة وتبحث في القائمة عن أسماء النطاقات التي يحتمل أن تكون محظورة. تقوم Scraper بعد ذلك باستدعاء وحدة Resolver لحل المجالات المحظورة المكتشفة حديثًا، وتقوم هذه الوحدة بتنفيذ المهمة وإضافة إدخال إلى LocalDNS. يتم بعد ذلك مسح ذاكرة التخزين المؤقت لنظام أسماء النطاقات (DNS) للمتصفح لإزالة سجلات DNS الموجودة للمجال المحظور.
إذا لم تتمكن وحدة Resolver من معرفة موفر CDN الذي ينتمي إليه المجال، فسوف تطلب المساعدة من وحدة Bootstrapper.
كيف يعمل في الممارسة
تم تنفيذ برنامج العميل الخاص بالمنتج لنظام التشغيل Linux، ولكن يمكن نقله بسهولة أيضًا لنظام التشغيل Windows. يتم استخدام Mozilla العادي كمتصفح
ثعلب النار. تتم كتابة وحدات Scraper وResolver بلغة Python، ويتم تخزين قواعد بيانات Customer-to-CDN وCDN-toIP في ملفات .txt. قاعدة بيانات LocalDNS هي الملف /etc/hosts العادي في Linux.
ونتيجة لذلك، بالنسبة لعنوان URL المحظور، مثل سيحصل البرنامج النصي على عنوان IP لخادم الحافة من ملف /etc/hosts ويرسل طلب HTTP GET للوصول إلى BlockedURL.html مع حقول رأس Host HTTP:
blocked.com/ and User-Agent: Mozilla/5.0 (Windows
NT 5.1; rv:14.0) Gecko/20100101 Firefox/14.0.1يتم تنفيذ وحدة Bootstrapper باستخدام الأداة المجانية digwebinterface.com. لا يمكن حظر محلل DNS هذا ويجيب على استعلامات DNS نيابة عن خوادم DNS المتعددة الموزعة جغرافيًا في مناطق الشبكة المختلفة.
وباستخدام هذه الأداة، تمكن الباحثون من الوصول إلى فيسبوك من عقدتهم الصينية، على الرغم من أن الشبكة الاجتماعية كانت محظورة منذ فترة طويلة في الصين.
اختتام
أظهرت التجربة أن الاستفادة من المشاكل التي يواجهها المراقبون عند محاولة حظر محتوى CDN يمكن استخدامها لإنشاء نظام لتجاوز الحظر. تسمح لك هذه الأداة بتجاوز الحجب حتى في الصين، التي تمتلك أحد أقوى أنظمة الرقابة على الإنترنت.
مقالات أخرى حول موضوع الاستخدام للأعمال التجارية:
المصدر: www.habr.com