Imatge:
Avui dia, una part important de tot el contingut d'Internet es distribueix mitjançant xarxes CDN. Al mateix temps, investigar com diversos censors estenen la seva influència sobre aquestes xarxes. Científics de la Universitat de Massachusetts possibles mètodes de bloqueig de contingut CDN utilitzant l'exemple de les pràctiques de les autoritats xineses, i també va desenvolupar una eina per evitar aquest bloqueig.
Hem preparat un material de revisió amb les principals conclusions i resultats d'aquest experiment.
Introducció
La censura és una amenaça global per a la llibertat d'expressió a Internet i el lliure accés a la informació. Això és en gran part possible a causa del fet que Internet va agafar en préstec el model de "comunicació d'extrem a extrem" de les xarxes telefòniques dels anys 70 del segle passat. Això us permet bloquejar l'accés al contingut o les comunicacions de l'usuari sense esforç ni cost significatius simplement basant-vos en l'adreça IP. Aquí hi ha diversos mètodes, des de bloquejar la pròpia adreça amb contingut prohibit fins a bloquejar la capacitat dels usuaris fins i tot de reconèixer-la mitjançant la manipulació de DNS.
Tanmateix, el desenvolupament d'Internet també ha provocat l'aparició de noves maneres de difondre la informació. Un d'ells és l'ús de contingut en memòria cau per millorar el rendiment i accelerar les comunicacions. Avui en dia, els proveïdors de CDN processen una quantitat important de tot el trànsit del món: Akamai, líder en aquest segment, només representa fins al 30% del trànsit web estàtic global.
Una xarxa CDN és un sistema distribuït per oferir contingut d'Internet a la màxima velocitat. Una xarxa CDN típica consisteix en servidors en diferents ubicacions geogràfiques que emmagatzemen contingut a la memòria cau per servir-lo als usuaris més propers a aquest servidor. Això us permet augmentar significativament la velocitat de la comunicació en línia.
A més de millorar l'experiència dels usuaris finals, l'allotjament CDN ajuda els creadors de contingut a escalar els seus projectes reduint la càrrega de la seva infraestructura.
Censurar contingut CDN
Malgrat que el trànsit CDN ja representa una part important de tota la informació transmesa per Internet, encara no hi ha cap investigació sobre com els censors del món real s'apropen al seu control.
Els autors de l'estudi van començar explorant tècniques de censura que es poden aplicar als CDN. Després van estudiar els mecanismes reals utilitzats per les autoritats xineses.
En primer lloc, parlem dels possibles mètodes de censura i de la possibilitat d'utilitzar-los per controlar el CDN.
Filtrat IP
Aquesta és la tècnica més senzilla i econòmica per censurar Internet. Amb aquest enfocament, el censor identifica i inclou a la llista negra les adreces IP dels recursos que allotgen contingut prohibit. Aleshores, els proveïdors d'Internet controlats deixen de lliurar els paquets enviats a aquestes adreces.
El bloqueig basat en IP és un dels mètodes més comuns per censurar Internet. La majoria dels dispositius de xarxa comercials estan equipats amb funcions per implementar aquest bloqueig sense un esforç computacional important.
No obstant això, aquest mètode no és molt adequat per bloquejar el trànsit CDN a causa d'algunes propietats de la pròpia tecnologia:
- Emmagatzematge en memòria cau distribuït – per garantir la millor disponibilitat de contingut i optimitzar el rendiment, les xarxes CDN emmagatzemen en memòria cau el contingut dels usuaris en un gran nombre de servidors perifèrics situats en ubicacions distribuïdes geogràficament. Per filtrar aquest contingut en funció de la IP, el censor hauria d'esbrinar les adreces de tots els servidors perifèrics i posar-les a la llista negra. Això perjudicarà les propietats principals del mètode, perquè el seu principal avantatge és que, en l'esquema habitual, bloquejar un servidor us permet "tallar" l'accés al contingut prohibit per a un gran nombre de persones alhora.
- IPs compartides – Els proveïdors comercials de CDN comparteixen la seva infraestructura (és a dir, servidors perifèrics, sistema de mapes, etc.) entre molts clients. Com a resultat, el contingut CDN prohibit es carrega des de les mateixes adreces IP que el contingut no prohibit. Com a resultat, qualsevol intent de filtratge d'IP provocarà el bloqueig d'un gran nombre de llocs i contingut que no són d'interès per als censors.
- Assignació IP altament dinàmica – per optimitzar l'equilibri de càrrega i millorar la qualitat del servei, el mapeig de servidors perifèrics i usuaris finals es realitza de manera molt ràpida i dinàmica. Per exemple, Akamai actualitza les adreces IP retornades cada minut. Això farà gairebé impossible que les adreces s'associïn amb contingut prohibit.
Interferència DNS
A més del filtratge IP, un altre mètode de censura popular és la interferència DNS. Aquest enfocament implica accions dels censors destinades a evitar que els usuaris reconeguin les adreces IP dels recursos amb contingut prohibit. És a dir, la intervenció es produeix a nivell de resolució de noms de domini. Hi ha diverses maneres de fer-ho, com ara segrestar connexions DNS, utilitzar tècniques d'enverinament de DNS i bloquejar les sol·licituds de DNS a llocs prohibits.
Aquest és un mètode de bloqueig molt eficaç, però es pot evitar si utilitzeu mètodes de resolució DNS no estàndard, per exemple, canals fora de banda. Per tant, els censors solen combinar el bloqueig de DNS amb el filtratge d'IP. Però, com s'ha dit anteriorment, el filtratge d'IP no és efectiu per censurar el contingut CDN.
Filtreu per URL/paraules clau mitjançant DPI
Els equips moderns de monitorització de l'activitat de la xarxa es poden utilitzar per analitzar URL i paraules clau específiques en paquets de dades transmesos. Aquesta tecnologia s'anomena DPI (inspecció profunda de paquets). Aquests sistemes troben mencions de paraules i recursos prohibits, després de la qual cosa interfereixen amb la comunicació en línia. Com a resultat, els paquets simplement es deixen caure.
Aquest mètode és eficaç, però més complex i consumeix molts recursos perquè requereix la desfragmentació de tots els paquets de dades enviats dins de determinats fluxos.
El contingut CDN es pot protegir d'aquest filtrat de la mateixa manera que el contingut "normal": en ambdós casos, l'ús del xifratge (és a dir, HTTPS) ajuda.
A més d'utilitzar DPI per trobar paraules clau o URL de recursos prohibits, aquestes eines es poden utilitzar per a una anàlisi més avançada. Aquests mètodes inclouen l'anàlisi estadística del trànsit en línia/fora de línia i l'anàlisi dels protocols d'identificació. Aquests mètodes són extremadament intensius en recursos i, de moment, simplement no hi ha proves del seu ús per part dels censors en una mesura prou seriosa.
Autocensura dels proveïdors de CDN
Si el censor és l'estat, té totes les oportunitats de prohibir que els proveïdors de CDN operen al país que no compleixin les lleis locals que regulen l'accés al contingut. No es pot resistir de cap manera a l'autocensura; per tant, si una empresa proveïdora de CDN està interessada a operar en un determinat país, es veurà obligada a complir les lleis locals, encara que restringeixin la llibertat d'expressió.
Com la Xina censura el contingut CDN
El Gran Tallafoc de la Xina es considera amb raó el sistema més eficaç i avançat per garantir la censura d'Internet.
Metodologia de recerca
Els científics van dur a terme experiments utilitzant un node Linux situat a la Xina. També tenien accés a diversos ordinadors fora del país. En primer lloc, els investigadors van comprovar que el node estava subjecte a una censura similar a la que s'aplicava a altres usuaris xinesos; per fer-ho, van intentar obrir diversos llocs prohibits des d'aquesta màquina. Així que es va confirmar la presència del mateix nivell de censura.
La llista de llocs web bloquejats a la Xina que utilitzen CDN es va extreure de GreatFire.org. Després es va analitzar el mètode de bloqueig en cada cas.
Segons dades públiques, l'únic actor important del mercat CDN amb infraestructura pròpia a la Xina és Akamai. Altres proveïdors que participen en l'estudi: CloudFlare, Amazon CloudFront, EdgeCast, Fastly i SoftLayer.
Durant els experiments, els investigadors van descobrir les adreces dels servidors perifèrics d'Akamai dins del país i després van tractar d'emmagatzemar contingut permès a la memòria cau a través d'ells. No va ser possible accedir al contingut prohibit (s'ha retornat l'error prohibit HTTP 403): sembla que l'empresa s'autocensura per mantenir la capacitat d'operar al país. Al mateix temps, l'accés a aquests recursos va romandre obert fora del país.
Els ISP sense infraestructura a la Xina no s'autocensuren els usuaris locals.
En el cas d'altres proveïdors, el mètode de bloqueig més utilitzat era el filtratge de DNS: les sol·licituds als llocs bloquejats es resolen amb adreces IP incorrectes. Al mateix temps, el tallafoc no bloqueja els propis servidors CDN perifèrics, ja que emmagatzemen informació tant prohibida com permesa.
I si en el cas del trànsit no xifrat, les autoritats tenen la capacitat de bloquejar pàgines individuals de llocs mitjançant DPI, quan utilitzen HTTPS només poden denegar l'accés a tot el domini en conjunt. Això també comporta el bloqueig del contingut permès.
A més, la Xina té els seus propis proveïdors de CDN, incloses xarxes com ChinaCache, ChinaNetCenter i CDNetworks. Totes aquestes empreses compleixen plenament amb les lleis del país i bloquegen el contingut prohibit.
CacheBrowser: eina de derivació de CDN
Tal com va mostrar l'anàlisi, és bastant difícil per als censors bloquejar el contingut CDN. Per tant, els investigadors van decidir anar més enllà i desenvolupar una eina de bypass de blocs en línia que no utilitza tecnologia proxy.
La idea bàsica de l'eina és que els censors han d'interferir amb el DNS per bloquejar els CDN, però en realitat no cal que utilitzeu la resolució de noms de domini per carregar contingut CDN. Així, l'usuari pot obtenir el contingut que necessita posant-se en contacte directament amb el servidor perifèric, on ja es troba a la memòria cau.
El diagrama següent mostra el disseny del sistema.
El programari client s'instal·la a l'ordinador de l'usuari i s'utilitza un navegador normal per accedir al contingut.
Quan ja s'ha sol·licitat una URL o un contingut, el navegador fa una sol·licitud al sistema DNS local (LocalDNS) per obtenir l'adreça IP d'allotjament. El DNS normal només es consulta per a dominis que encara no es troben a la base de dades LocalDNS. El mòdul Scraper recorre contínuament els URL sol·licitats i cerca a la llista noms de domini potencialment bloquejats. Aleshores, Scraper truca al mòdul Resolver per resoldre els dominis bloquejats recentment descoberts, aquest mòdul realitza la tasca i afegeix una entrada a LocalDNS. A continuació, s'esborra la memòria cau DNS del navegador per eliminar els registres DNS existents per al domini bloquejat.
Si el mòdul Resolver no pot esbrinar a quin proveïdor CDN pertany el domini, demanarà ajuda al mòdul Bootstrapper.
Com funciona a la pràctica
El programari client del producte es va implementar per a Linux, però també es pot portar fàcilment per a Windows. Mozilla normal s'utilitza com a navegador
Firefox. Els mòduls Scraper i Resolver estan escrits en Python, i les bases de dades Customer-to-CDN i CDN-toIP s'emmagatzemen en fitxers .txt. La base de dades LocalDNS és el fitxer normal /etc/hosts a Linux.
Com a resultat, per a un URL bloquejat com L'script obtindrà l'adreça IP del servidor Edge del fitxer /etc/hosts i enviarà una sol·licitud HTTP GET per accedir a BlockedURL.html amb els camps de capçalera Host HTTP:
blocked.com/ and User-Agent: Mozilla/5.0 (Windows
NT 5.1; rv:14.0) Gecko/20100101 Firefox/14.0.1El mòdul Bootstrapper s'implementa mitjançant l'eina gratuïta digwebinterface.com. Aquest solucionador de DNS no es pot bloquejar i respon a les consultes de DNS en nom de diversos servidors DNS distribuïts geogràficament en diferents regions de xarxa.
Amb aquesta eina, els investigadors van aconseguir accedir a Facebook des del seu node xinès, tot i que la xarxa social fa temps que està bloquejada a la Xina.
Conclusió
L'experiment va demostrar que aprofitar els problemes que experimenten els censors quan intenten bloquejar el contingut CDN es pot utilitzar per crear un sistema per evitar els blocs. Aquesta eina us permet evitar els blocs fins i tot a la Xina, que té un dels sistemes de censura en línia més potents.
Altres articles sobre el tema de l'ús per a negocis:
Font: www.habr.com