Şəkil:
Bu gün İnternetdəki bütün məzmunun əhəmiyyətli bir hissəsi CDN şəbəkələrindən istifadə etməklə paylanır. Eyni zamanda, müxtəlif senzorların bu cür şəbəkələrə təsirini necə genişləndirdiyini araşdırın. Massaçusets Universitetinin alimləri Çin hakimiyyət orqanlarının təcrübələrindən istifadə edərək CDN məzmununun bloklanmasının mümkün üsulları, həmçinin bu cür bloklamadan yan keçmək üçün bir alət hazırladı.
Bu eksperimentin əsas nəticələri və nəticələri ilə icmal materialı hazırlamışıq.
Giriş
Senzura internetdə söz azadlığına və informasiyaya sərbəst çıxışa qlobal təhlükədir. Bu, əsasən İnternetin keçən əsrin 70-ci illərinin telefon şəbəkələrindən "başdan-başa rabitə" modelini götürməsi ilə əlaqədardır. Bu, sadəcə IP ünvanına əsaslanaraq əhəmiyyətli səy və ya xərc tələb etmədən məzmuna və ya istifadəçi əlaqəsinə girişi bloklamağa imkan verir. Burada bir neçə üsul var: qadağan olunmuş məzmunla ünvanın özünü bloklamaqdan tutmuş, DNS manipulyasiyasından istifadə edərək istifadəçilərin hətta onu tanımaq qabiliyyətini bloklamağa qədər.
Bununla belə, internetin inkişafı həm də informasiyanın yayılmasının yeni üsullarının yaranmasına səbəb olmuşdur. Onlardan biri performansı yaxşılaşdırmaq və ünsiyyəti sürətləndirmək üçün keşlənmiş məzmunun istifadəsidir. Bu gün CDN provayderləri dünyadakı bütün trafikin əhəmiyyətli bir hissəsini emal edir - bu seqmentdə lider olan Akamai qlobal statik veb trafikinin 30%-ə qədərini təkbaşına təşkil edir.
CDN şəbəkəsi İnternet məzmununu maksimum sürətlə çatdırmaq üçün paylanmış sistemdir. Tipik bir CDN şəbəkəsi, məzmunu həmin serverə ən yaxın olan istifadəçilərə xidmət etmək üçün keşləyən müxtəlif coğrafi yerlərdə serverlərdən ibarətdir. Bu, onlayn ünsiyyətin sürətini əhəmiyyətli dərəcədə artırmağa imkan verir.
Son istifadəçilər üçün təcrübəni təkmilləşdirməklə yanaşı, CDN hostinqi məzmun yaradıcılarına infrastrukturlarına yükü azaltmaqla layihələrini genişləndirməyə kömək edir.
CDN məzmununa senzura
CDN trafikinin artıq İnternet üzərindən ötürülən bütün məlumatların əhəmiyyətli bir hissəsini təşkil etməsinə baxmayaraq, real dünyada senzorların ona nəzarətə necə yanaşdığı ilə bağlı hələ də demək olar ki, heç bir araşdırma aparılmayıb.
Tədqiqatın müəllifləri CDN-lərə tətbiq oluna bilən senzura üsullarını tədqiq etməklə başladılar. Sonra Çin hakimiyyətinin istifadə etdiyi faktiki mexanizmləri öyrəndilər.
Əvvəlcə mümkün senzura üsulları və CDN-yə nəzarət etmək üçün onlardan istifadə imkanlarından danışaq.
IP filtrasiyası
Bu İnternet senzurasının ən sadə və ən ucuz texnikasıdır. Bu yanaşmadan istifadə edərək, senzura qadağan olunmuş məzmunu saxlayan resursların IP ünvanlarını müəyyən edir və qara siyahıya salır. Sonra nəzarət edilən internet provayderləri bu cür ünvanlara göndərilən paketləri çatdırmağı dayandırırlar.
IP əsaslı bloklama İnternet senzurasının ən geniş yayılmış üsullarından biridir. Əksər kommersiya şəbəkəsi cihazları əhəmiyyətli hesablama səyləri olmadan belə bloklamanı həyata keçirmək funksiyaları ilə təchiz edilmişdir.
Bununla belə, bu üsul texnologiyanın özünün bəzi xüsusiyyətlərinə görə CDN trafikini bloklamaq üçün çox uyğun deyil:
- Paylanmış Keşləmə – məzmunun ən yaxşı əlçatanlığını təmin etmək və performansı optimallaşdırmaq üçün CDN şəbəkələri istifadəçi məzmununu coğrafi cəhətdən paylanmış yerlərdə yerləşən çoxlu sayda kənar serverlərdə keşləyir. Belə məzmunu İP əsasında süzmək üçün senzor bütün kənar serverlərin ünvanlarını tapmalı və onları qara siyahıya salmalıdır. Bu, metodun əsas xüsusiyyətlərini pozacaq, çünki onun əsas üstünlüyü ondan ibarətdir ki, adi sxemdə bir serverin bloklanması bir anda çox sayda insan üçün qadağan olunmuş məzmuna girişi "kəsməyə" imkan verir.
- Paylaşılan IP-lər – kommersiya CDN provayderləri öz infrastrukturlarını (məsələn, kənar serverlər, xəritəçəkmə sistemi və s.) bir çox müştərilər arasında bölüşürlər. Nəticədə, qadağan edilmiş CDN məzmunu qadağan olunmayan məzmunla eyni IP ünvanlarından yüklənir. Nəticə etibarı ilə IP filtrləmə cəhdi senzorları maraqlandırmayan çoxlu sayda sayt və məzmunun bloklanması ilə nəticələnəcək.
- Yüksək dinamik IP təyinatı – yük balansını optimallaşdırmaq və xidmət keyfiyyətini artırmaq üçün kənar serverlərin və son istifadəçilərin xəritələşdirilməsi çox tez və dinamik şəkildə həyata keçirilir. Məsələn, Akamai yeniləmələri hər dəqiqə IP ünvanlarını qaytardı. Bu, ünvanların qadağan olunmuş məzmunla əlaqələndirilməsini demək olar ki, qeyri-mümkün edəcək.
DNS müdaxiləsi
IP filtrindən başqa, başqa bir məşhur senzura üsulu DNS müdaxiləsidir. Bu yanaşma istifadəçilərin qadağan olunmuş məzmunlu resursların IP ünvanlarını tanımasının qarşısını almağa yönəlmiş senzorların hərəkətlərini əhatə edir. Yəni müdaxilə domen adının həlli səviyyəsində baş verir. Bunun bir neçə yolu var, o cümlədən DNS bağlantılarını oğurlamaq, DNS ilə zəhərlənmə üsullarından istifadə etmək və qadağan olunmuş saytlara DNS sorğularını bloklamaq.
Bu, çox təsirli bir bloklama üsuludur, lakin qeyri-standart DNS həlli üsullarından, məsələn, diapazondan kənar kanallardan istifadə etsəniz, onu keçmək olar. Buna görə də senzorlar adətən DNS bloklamasını IP filtrləmə ilə birləşdirir. Lakin, yuxarıda qeyd edildiyi kimi, IP filtrasiyası CDN məzmununa senzurada təsirli deyil.
DPI istifadə edərək URL/Açar sözlərə görə süzün
Müasir şəbəkə fəaliyyəti monitorinq avadanlığı ötürülən məlumat paketlərində xüsusi URL-ləri və açar sözləri təhlil etmək üçün istifadə edilə bilər. Bu texnologiya DPI (dərin paket yoxlaması) adlanır. Bu cür sistemlər qadağan olunmuş sözlər və resursların qeydlərini tapır, bundan sonra onlar onlayn ünsiyyətə mane olur. Nəticədə paketlər sadəcə atılır.
Bu üsul effektivdir, lakin daha mürəkkəb və resurs tutumludur, çünki müəyyən axınlar daxilində göndərilən bütün məlumat paketlərinin defraqmentasiyasını tələb edir.
CDN məzmunu bu cür filtrasiyadan "adi" məzmunla eyni şəkildə qoruna bilər - hər iki halda şifrələmənin istifadəsi (yəni HTTPS) kömək edir.
Açar sözlər və ya qadağan olunmuş resursların URL-lərini tapmaq üçün DPI-dən istifadə etməklə yanaşı, bu alətlər daha təkmil təhlil üçün istifadə edilə bilər. Bu üsullara onlayn/oflayn trafikin statistik təhlili və identifikasiya protokollarının təhlili daxildir. Bu üsullar son dərəcə resurs tələb edir və hazırda onların senzura tərəfindən kifayət qədər ciddi şəkildə istifadə edilməsinə dair heç bir sübut yoxdur.
CDN provayderlərinin öz-özünə senzurası
Əgər senzura dövlətdirsə, onun məzmuna girişi tənzimləyən yerli qanunlara tabe olmayan CDN provayderlərinin ölkədə fəaliyyət göstərməsini qadağan etmək üçün hər cür imkanı var. Öz-özünə senzuraya heç bir şəkildə müqavimət göstərmək olmaz - buna görə də, CDN provayder şirkəti müəyyən bir ölkədə fəaliyyət göstərməkdə maraqlı olarsa, söz azadlığını məhdudlaşdırsalar belə, yerli qanunlara əməl etməyə məcbur olacaq.
Çin CDN məzmununa necə senzura qoyur
Çinin Böyük Firewall internet senzurasını təmin etmək üçün haqlı olaraq ən effektiv və təkmil sistem hesab olunur.
Tədqiqat metodologiyası
Alimlər Çin daxilində yerləşən Linux node istifadə edərək təcrübələr aparıblar. Onların ölkədən kənarda bir neçə kompüterə çıxışı da var idi. Əvvəlcə tədqiqatçılar qovşağın digər Çin istifadəçilərinə tətbiq edilən senzuraya bənzər senzuraya məruz qaldığını yoxladılar - bunun üçün onlar bu maşından müxtəlif qadağan olunmuş saytları açmağa çalışdılar. Beləliklə, eyni səviyyədə senzuranın mövcudluğu təsdiqləndi.
Çində bloklanmış CDN-lərdən istifadə edən saytların siyahısı GreatFire.org saytından götürülüb. Sonra hər bir halda bloklama metodu təhlil edilmişdir.
İctimai məlumatlara görə, Çində öz infrastrukturu olan CDN bazarında yeganə əsas oyunçu Akamai-dir. Tədqiqatda iştirak edən digər provayderlər: CloudFlare, Amazon CloudFront, EdgeCast, Fastly və SoftLayer.
Təcrübələr zamanı tədqiqatçılar ölkə daxilində Akamai kənar serverlərinin ünvanlarını tapdılar və sonra onlar vasitəsilə icazə verilən məzmunu keşləməyə çalışdılar. Qadağan olunmuş məzmuna daxil olmaq mümkün olmadı (HTTP 403 Qadağan edilmiş xəta qaytarıldı) - görünür, şirkət ölkədə fəaliyyət göstərmək qabiliyyətini saxlamaq üçün özünü senzura edir. Eyni zamanda, bu resurslara çıxış ölkə hüdudlarından kənarda açıq qaldı.
Çində infrastrukturu olmayan internet provayderləri yerli istifadəçiləri öz-özünə senzura etmir.
Digər provayderlərin vəziyyətində, ən çox istifadə edilən bloklama üsulu DNS filtrasiyası idi - bloklanmış saytlara edilən sorğular yanlış IP ünvanları ilə həll olunur. Eyni zamanda, firewall CDN kənar serverlərinin özlərini bloklamır, çünki onlar həm qadağan olunmuş, həm də icazə verilən məlumatları saxlayırlar.
Şifrələnməmiş trafik vəziyyətində səlahiyyətlilər DPI-dən istifadə edərək saytların ayrı-ayrı səhifələrini bloklamaq imkanına malikdirlərsə, HTTPS-dən istifadə edərkən onlar yalnız bütövlükdə bütün domenə girişi rədd edə bilərlər. Bu da icazə verilən məzmunun bloklanmasına gətirib çıxarır.
Bundan əlavə, Çinin öz CDN provayderləri, o cümlədən ChinaCache, ChinaNetCenter və CDNetworks kimi şəbəkələri var. Bütün bu şirkətlər ölkənin qanunlarına tam əməl edir və qadağan olunmuş məzmunu bloklayır.
CacheBrowser: CDN bypass aləti
Təhlil göstərdiyi kimi, senzorlar üçün CDN məzmununu bloklamaq olduqca çətindir. Buna görə də, tədqiqatçılar daha da irəli getmək və proxy texnologiyasından istifadə etməyən onlayn blokdan yan keçmə aləti hazırlamaq qərarına gəliblər.
Alətin əsas ideyası ondan ibarətdir ki, senzorlar CDN-ləri bloklamaq üçün DNS-ə müdaxilə etməlidirlər, lakin CDN məzmununu yükləmək üçün əslində domen adının qətnaməsindən istifadə etməli deyilsiniz. Beləliklə, istifadəçi artıq keşdə saxlanılan kənar serverlə birbaşa əlaqə saxlayaraq ona lazım olan məzmunu əldə edə bilər.
Aşağıdakı diaqram sistemin dizaynını göstərir.
Müştəri proqramı istifadəçinin kompüterində quraşdırılır və məzmuna daxil olmaq üçün adi brauzerdən istifadə olunur.
URL və ya məzmun parçası artıq tələb olunduqda, brauzer hosting IP ünvanını əldə etmək üçün yerli DNS sisteminə (LocalDNS) sorğu göndərir. Daimi DNS yalnız LocalDNS verilənlər bazasında olmayan domenlər üçün sorğulanır. Scraper modulu davamlı olaraq tələb olunan URL-lərdən keçir və potensial bloklanmış domen adları üçün siyahı axtarır. Scraper daha sonra yeni aşkar edilmiş bloklanmış domenləri həll etmək üçün Resolver modulunu çağırır, bu modul tapşırığı yerinə yetirir və LocalDNS-ə giriş əlavə edir. Daha sonra bloklanmış domen üçün mövcud DNS qeydlərini silmək üçün brauzerin DNS keşi təmizlənir.
Əgər Resolver modulu domenin hansı CDN provayderinə aid olduğunu anlaya bilmirsə, o, Bootstrapper modulundan kömək istəyəcək.
Praktikada necə işləyir
Məhsulun müştəri proqramı Linux üçün tətbiq edilib, lakin onu Windows üçün də asanlıqla daşımaq olar. Daimi Mozilla brauzeri kimi istifadə olunur
Firefox. Scraper və Resolver modulları Python-da yazılmışdır və Customer-to-CDN və CDN-toIP verilənlər bazaları .txt fayllarında saxlanılır. LocalDNS verilənlər bazası Linux-da adi /etc/hosts faylıdır.
Nəticədə, bloklanmış bir URL üçün kimi Skript /etc/hosts faylından kənar server IP ünvanını alacaq və Host HTTP başlıq sahələri ilə BlockedURL.html-ə daxil olmaq üçün HTTP GET sorğusu göndərəcək:
blocked.com/ and User-Agent: Mozilla/5.0 (Windows
NT 5.1; rv:14.0) Gecko/20100101 Firefox/14.0.1Bootstrapper modulu digwebinterface.com pulsuz alətindən istifadə etməklə həyata keçirilir. Bu DNS həlledicisi bloklana bilməz və müxtəlif şəbəkə regionlarında çoxlu coğrafi olaraq paylanmış DNS serverləri adından DNS sorğularına cavab verir.
Tədqiqatçılar bu alətdən istifadə edərək, Çində uzun müddətdir ki, sosial şəbəkə bloklanmış olsa da, Facebook-a öz Çin qovşağından daxil ola biliblər.
Nəticə
Təcrübə göstərdi ki, CDN məzmununu bloklamaq istəyərkən senzuranın qarşılaşdığı problemlərdən istifadə etməklə blokları keçmək üçün sistem yaratmaq olar. Bu alət hətta ən güclü onlayn senzura sistemlərindən birinə sahib olan Çində də bloklardan yan keçməyə imkan verir.
İstifadə mövzusunda digər məqalələr iş üçün:
Mənbə: www.habr.com