Slika:
Danas se značajan dio svih sadržaja na Internetu distribuira preko CDN mreža. Istovremeno, istražiti kako različiti cenzori proširuju svoj utjecaj na takve mreže. Naučnici sa Univerziteta Massachusetts moguće metode blokiranja CDN sadržaja na primjeru prakse kineskih vlasti, a također je razvio alat za zaobilaženje takvog blokiranja.
Pripremili smo pregledni materijal sa glavnim zaključcima i rezultatima ovog eksperimenta.
Uvod
Cenzura je globalna prijetnja slobodi govora na internetu i slobodnom pristupu informacijama. To je u velikoj mjeri moguće zahvaljujući činjenici da je Internet pozajmio model “end-to-end komunikacija” od telefonskih mreža 70-ih godina prošlog stoljeća. Ovo vam omogućava da blokirate pristup sadržaju ili komunikaciji korisnika bez značajnog napora ili troškova jednostavno na osnovu IP adrese. Ovdje postoji nekoliko metoda, od blokiranja same adrese zabranjenim sadržajem do blokiranja mogućnosti korisnika da je čak i prepoznaju koristeći DNS manipulaciju.
Međutim, razvoj interneta je doveo i do pojave novih načina širenja informacija. Jedna od njih je upotreba keširanog sadržaja za poboljšanje performansi i ubrzanje komunikacije. Danas CDN provajderi obrađuju značajnu količinu cjelokupnog prometa u svijetu - Akamai, lider u ovom segmentu, sam čini do 30% globalnog statičkog web prometa.
CDN mreža je distribuirani sistem za isporuku internet sadržaja maksimalnom brzinom. Tipična CDN mreža sastoji se od servera na različitim geografskim lokacijama koji keširaju sadržaj kako bi ga poslužili korisnicima koji su najbliži tom serveru. To vam omogućava značajno povećanje brzine online komunikacije.
Pored poboljšanja iskustva za krajnje korisnike, CDN hosting pomaže kreatorima sadržaja da skaliraju svoje projekte smanjujući opterećenje njihove infrastrukture.
Cenzura CDN sadržaja
Unatoč činjenici da CDN promet već čini značajan dio svih informacija koje se prenose putem interneta, još uvijek gotovo da nema istraživanja o tome kako cenzori u stvarnom svijetu pristupaju njegovoj kontroli.
Autori studije počeli su istraživanjem tehnika cenzure koje se mogu primijeniti na CDN-ove. Zatim su proučavali stvarne mehanizme koje koriste kineske vlasti.
Prvo, hajde da razgovaramo o mogućim metodama cenzure i mogućnosti njihovog korišćenja za kontrolu CDN-a.
IP filtriranje
Ovo je najjednostavnija i najjeftinija tehnika za cenzuru interneta. Koristeći ovaj pristup, cenzor identifikuje i stavlja na crnu listu IP adrese resursa koji hostuju zabranjeni sadržaj. Tada kontrolisani internet provajderi prestaju da isporučuju pakete poslate na takve adrese.
Blokiranje zasnovano na IP-u jedna je od najčešćih metoda cenzure interneta. Većina komercijalnih mrežnih uređaja opremljena je funkcijama za implementaciju takvog blokiranja bez značajnih računskih napora.
Međutim, ova metoda nije baš prikladna za blokiranje CDN prometa zbog nekih svojstava same tehnologije:
- Distribuirano keširanje – kako bi osigurale najbolju dostupnost sadržaja i optimizirale performanse, CDN mreže keširaju korisnički sadržaj na velikom broju rubnih servera smještenih na geografski raspoređenim lokacijama. Da bi filtrirao takav sadržaj na osnovu IP-a, cenzor bi trebao saznati adrese svih rubnih servera i staviti ih na crnu listu. To će potkopati glavna svojstva metode, jer je njegova glavna prednost u tome što u uobičajenoj shemi blokiranje jednog servera omogućava da "presiječete" pristup zabranjenom sadržaju velikom broju ljudi odjednom.
- Zajedničke IP adrese – komercijalni CDN provajderi dijele svoju infrastrukturu (tj. rubni serveri, sistem za mapiranje, itd.) između mnogih klijenata. Kao rezultat toga, zabranjeni CDN sadržaj se učitava sa istih IP adresa kao i nezabranjeni sadržaj. Kao rezultat, svaki pokušaj IP filtriranja će rezultirati blokiranjem velikog broja stranica i sadržaja koji nisu interesantni cenzorima.
- Vrlo dinamična IP dodjela – radi optimizacije balansiranja opterećenja i poboljšanja kvaliteta usluge, mapiranje rubnih servera i krajnjih korisnika se obavlja vrlo brzo i dinamično. Na primjer, Akamai ažurira vraćene IP adrese svake minute. Ovo će učiniti gotovo nemogućim da adrese budu povezane sa zabranjenim sadržajem.
DNS smetnje
Osim IP filtriranja, još jedna popularna metoda cenzure je DNS interferencija. Ovaj pristup uključuje akcije cenzora koje imaju za cilj da spriječe korisnike da prepoznaju IP adrese resursa sa zabranjenim sadržajem. To jest, intervencija se dešava na nivou rezolucije imena domena. Postoji nekoliko načina za to, uključujući otmicu DNS veza, korištenje tehnika trovanja DNS-a i blokiranje DNS zahtjeva ka zabranjenim stranicama.
Ovo je vrlo efikasna metoda blokiranja, ali se može zaobići ako koristite nestandardne metode DNS rezolucije, na primjer, kanale izvan opsega. Stoga cenzori obično kombinuju DNS blokiranje sa IP filtriranjem. Ali, kao što je gore navedeno, IP filtriranje nije efikasno u cenzuri CDN sadržaja.
Filtrirajte prema URL-u/Ključnim riječima koristeći DPI
Moderna oprema za praćenje mrežne aktivnosti može se koristiti za analizu specifičnih URL-ova i ključnih riječi u prenesenim paketima podataka. Ova tehnologija se zove DPI (deep packet inspection). Takvi sistemi pronalaze spominjanje zabranjenih riječi i resursa, nakon čega ometaju online komunikaciju. Kao rezultat toga, paketi se jednostavno odbacuju.
Ova metoda je efikasna, ali složenija i zahtjevnija za resurse jer zahtijeva defragmentaciju svih paketa podataka koji se šalju unutar određenih tokova.
CDN sadržaj se može zaštititi od takvog filtriranja na isti način kao i „običan“ sadržaj – u oba slučaja pomaže korištenje enkripcije (tj. HTTPS).
Osim korištenja DPI-ja za pronalaženje ključnih riječi ili URL-ova zabranjenih resursa, ovi alati se mogu koristiti za napredniju analizu. Ove metode uključuju statističku analizu onlajn/offline saobraćaja i analizu identifikacionih protokola. Ove metode su izuzetno zahtjevne za resurse i trenutno jednostavno nema dokaza da ih cenzori koriste u dovoljno ozbiljnoj mjeri.
Autocenzura CDN provajdera
Ako je cenzor država, onda ona ima sve mogućnosti da zabrani onim CDN provajderima da rade u zemlji koji ne poštuju lokalne zakone koji regulišu pristup sadržaju. Autocenzuri se ne može oduprijeti ni na koji način – stoga, ako je kompanija koja pruža usluge CDN-a zainteresirana za poslovanje u određenoj zemlji, bit će primorana da poštuje lokalne zakone, čak i ako ograničavaju slobodu govora.
Kako Kina cenzurira CDN sadržaj
Kineski Veliki zaštitni zid s pravom se smatra najefikasnijim i najnaprednijim sistemom za osiguranje internet cenzure.
Istraživačka metodologija
Naučnici su izveli eksperimente koristeći Linux čvor koji se nalazi unutar Kine. Takođe su imali pristup nekoliko računara van zemlje. Prvo su istraživači provjerili da li je čvor podvrgnut cenzuri sličnoj onoj koja se primjenjuje na druge kineske korisnike - da bi to učinili, pokušali su otvoriti razne zabranjene stranice sa ove mašine. Tako je potvrđeno prisustvo istog nivoa cenzure.
Lista web lokacija blokiranih u Kini koje koriste CDN-ove preuzeta je sa GreatFire.org. Zatim je analiziran način blokiranja u svakom slučaju.
Prema javnim podacima, jedini veliki igrač na CDN tržištu sa sopstvenom infrastrukturom u Kini je Akamai. Ostali provajderi koji učestvuju u studiji: CloudFlare, Amazon CloudFront, EdgeCast, Fastly i SoftLayer.
Tokom eksperimenata, istraživači su otkrili adrese Akamai edge servera u zemlji, a zatim su pokušali da preko njih dobiju keširani dozvoljeni sadržaj. Nije bilo moguće pristupiti zabranjenom sadržaju (HTTP 403 Zabranjena greška je vraćena) - očigledno se kompanija samocenzurira kako bi zadržala mogućnost poslovanja u zemlji. Istovremeno, pristup ovim resursima je ostao otvoren van zemlje.
ISP-ovi bez infrastrukture u Kini ne samocenzurišu lokalne korisnike.
U slučaju drugih provajdera, najčešće korištena metoda blokiranja je DNS filtriranje – zahtjevi prema blokiranim stranicama rješavaju se na netačne IP adrese. Istovremeno, firewall ne blokira same CDN rubne servere, jer oni pohranjuju i zabranjene i dozvoljene informacije.
A ako u slučaju nekriptiranog prometa vlasti imaju mogućnost blokiranja pojedinačnih stranica web-mjesta koristeći DPI, onda kada koriste HTTPS mogu samo uskratiti pristup cijeloj domeni u cjelini. To također dovodi do blokiranja dozvoljenog sadržaja.
Osim toga, Kina ima svoje CDN provajdere, uključujući mreže kao što su ChinaCache, ChinaNetCenter i CDNetworks. Sve ove kompanije u potpunosti poštuju zakone zemlje i blokiraju zabranjeni sadržaj.
CacheBrowser: CDN zaobilazni alat
Kako je analiza pokazala, cenzorima je prilično teško blokirati CDN sadržaj. Stoga su istraživači odlučili ići dalje i razviti online alat za zaobilaženje blokova koji ne koristi proxy tehnologiju.
Osnovna ideja alata je da cenzori moraju ometati DNS da bi blokirali CDN-ove, ali zapravo ne morate koristiti rezoluciju imena domene da biste učitali CDN sadržaj. Tako korisnik može dobiti sadržaj koji mu je potreban direktnim kontaktiranjem edge servera, gdje je već keširan.
Dijagram ispod prikazuje dizajn sistema.
Klijentski softver je instaliran na računaru korisnika, a za pristup sadržaju se koristi običan pretraživač.
Kada je URL ili dio sadržaja već zatražen, pretraživač upućuje zahtjev lokalnom DNS sistemu (LocalDNS) da dobije IP adresu hostinga. Uobičajeni DNS se pita samo za domene koje već nisu u bazi podataka LocalDNS. Modul Scraper kontinuirano prolazi kroz tražene URL-ove i pretražuje listu za potencijalno blokirana imena domena. Scraper zatim poziva Resolver modul da razriješi novootkrivene blokirane domene, ovaj modul izvršava zadatak i dodaje unos u LocalDNS. DNS keš pretraživača se zatim briše kako bi se uklonili postojeći DNS zapisi za blokirani domen.
Ako Resolver modul ne može otkriti kojem CDN provajderu pripada domen, zatražit će pomoć od modula Bootstrapper.
Kako to funkcionira u praksi
Klijentski softver proizvoda je implementiran za Linux, ali se lako može prenijeti i za Windows. Obična Mozilla se koristi kao pretraživač
Firefox. Moduli Scraper i Resolver su napisani u Python-u, a baze podataka Customer-to-CDN i CDN-toIP su pohranjene u .txt datotekama. LocalDNS baza podataka je obična /etc/hosts datoteka u Linuxu.
Kao rezultat toga, za blokirani URL kao što je Skripta će dobiti IP adresu rubnog servera iz datoteke /etc/hosts i poslati HTTP GET zahtjev za pristup BlockedURL.html sa poljima Host HTTP zaglavlja:
blocked.com/ and User-Agent: Mozilla/5.0 (Windows
NT 5.1; rv:14.0) Gecko/20100101 Firefox/14.0.1Modul Bootstrapper implementiran je pomoću besplatnog alata digwebinterface.com. Ovaj DNS rezolver se ne može blokirati i odgovara na DNS upite u ime više geografski distribuiranih DNS servera u različitim regionima mreže.
Koristeći ovaj alat, istraživači su uspjeli da dobiju pristup Facebooku sa svog kineskog čvora, iako je društvena mreža već dugo blokirana u Kini.
zaključak
Eksperiment je pokazao da se iskorištavanje problema s kojima se cenzori susreću kada pokušavaju blokirati CDN sadržaj može koristiti za kreiranje sistema za zaobilaženje blokova. Ovaj alat vam omogućava da zaobiđete blokove čak i u Kini, koja ima jedan od najmoćnijih sistema online cenzure.
Ostali članci na temu upotrebe za posao:
izvor: www.habr.com