Hulagway:
Karon, usa ka hinungdanon nga bahin sa tanan nga sulud sa Internet giapod-apod gamit ang mga network sa CDN. Sa parehas nga oras, panukiduki kung giunsa ang lainlaing mga censor nagpalapad sa ilang impluwensya sa ingon nga mga network. Mga siyentipiko gikan sa University of Massachusetts posible nga mga pamaagi sa pag-ali sa sulod sa CDN gamit ang panig-ingnan sa mga gawi sa mga awtoridad sa China, ug nakamugna usab og himan alang sa pag-bypass sa maong blocking.
Nag-andam kami usa ka materyal sa pagrepaso nga adunay panguna nga mga konklusyon ug mga sangputanan sa kini nga eksperimento.
Pasiuna
Ang censorship usa ka global nga hulga sa kagawasan sa pagsulti sa Internet ug libre nga pag-access sa impormasyon. Kini sa kadaghanan posible tungod sa kamatuoran nga ang Internet nanghulam sa "end-to-end nga komunikasyon" nga modelo gikan sa mga network sa telepono sa 70s sa miaging siglo. Gitugotan ka niini nga babagan ang pag-access sa sulud o komunikasyon sa gumagamit nga walaβy hinungdan nga paningkamot o gasto nga gibase lamang sa IP address. Adunay daghang mga pamaagi dinhi, gikan sa pag-block sa adres mismo sa gidili nga sulud hangtod sa pagbabag sa katakus sa mga tiggamit nga mailhan kini gamit ang pagmaniobra sa DNS.
Bisan pa, ang pag-uswag sa Internet nagdala usab sa pagtungha sa mga bag-ong paagi sa pagsabwag sa kasayuran. Usa niini mao ang paggamit sa naka-cache nga sulod aron mapalambo ang performance ug mapadali ang komunikasyon. Karon, ang mga tagahatag sa CDN nagproseso sa usa ka hinungdanon nga kantidad sa tanan nga trapiko sa kalibutan - si Akamai, ang nanguna sa kini nga bahin, nag-inusara nga nag-asoy hangtod sa 30% sa global nga static nga trapiko sa web.
Ang CDN network kay usa ka distributed system para sa paghatud sa sulod sa Internet sa pinakataas nga tulin. Ang usa ka tipikal nga network sa CDN naglangkob sa mga server sa lain-laing geographic nga mga lokasyon nga nag-cache sa sulod aron isilbi kini sa mga tiggamit nga labing duol sa maong server. Gitugotan ka niini nga madugangan ang katulin sa komunikasyon sa online.
Agi og dugang sa pagpaayo sa kasinatian alang sa mga end user, ang CDN hosting nagtabang sa mga taghimo sa sulod nga sukdon ang ilang mga proyekto pinaagi sa pagpakunhod sa load sa ilang imprastraktura.
Pag-censor sa sulod sa CDN
Bisan pa sa kamatuoran nga ang trapiko sa CDN naglangkob na sa usa ka mahinungdanong bahin sa tanang impormasyon nga gipasa sa Internet, halos wala pa'y panukiduki kung giunsa ang mga censor sa tinuod nga kalibutan nagduol sa pagkontrol niini.
Nagsugod ang mga tagsulat sa pagtuon pinaagi sa pagsuhid sa mga teknik sa pagsensor nga mahimong magamit sa mga CDN. Dayon ilang gitun-an ang aktuwal nga mga mekanismo nga gigamit sa mga awtoridad sa China.
Una, hisgotan nato ang posibleng mga pamaagi sa pagsensor ug ang posibilidad sa paggamit niini aron makontrol ang CDN.
Pagsala sa IP
Kini ang pinakasimple ug labing barato nga teknik sa pag-censor sa Internet. Gamit kini nga pamaagi, ang censor nagpaila ug nag-blacklist sa mga IP address sa mga kapanguhaan nga nag-host sa gidili nga sulud. Dayon ang kontroladong mga Internet providers mohunong sa paghatud sa mga packet nga gipadala sa maong mga adres.
Ang pag-block nga nakabase sa IP usa sa labing kasagaran nga pamaagi sa pag-censor sa Internet. Kadaghanan sa komersyal nga mga aparato sa network adunay mga gimbuhaton aron ipatuman ang ingon nga pagbabag nga walaβy hinungdanon nga paningkamot sa pagkalkula.
Bisan pa, kini nga pamaagi dili kaayo angay alang sa pagbabag sa trapiko sa CDN tungod sa pipila nga mga kabtangan sa teknolohiya mismo:
- Giapod-apod nga caching β aron masiguro ang labing kaayo nga pagkaanaa sa sulud ug ma-optimize ang pasundayag, ang mga network sa CDN nag-cache sa sulud sa gumagamit sa daghang gidaghanon sa mga server sa sulud nga nahimutang sa mga lokasyon nga giapod-apod sa heyograpiya. Aron ma-filter ang ingon nga sulud base sa IP, kinahanglan nga mahibal-an sa censor ang mga adres sa tanan nga mga server sa sulud ug i-blacklist kini. Kini makapahuyang sa mga nag-unang kabtangan sa pamaagi, tungod kay ang nag-unang bentaha niini mao nga sa naandan nga laraw, ang pag-block sa usa ka server nagtugot kanimo sa "pagputol" sa pag-access sa gidili nga sulud alang sa daghang mga tawo sa usa ka higayon.
- Mga gipaambit nga IP β Ang mga komersyal nga CDN providers nagpaambit sa ilang imprastraktura (ie mga edge server, mapping system, ug uban pa) tali sa daghang mga kliyente. Ingon usa ka sangputanan, ang gidili nga sulud sa CDN gikarga gikan sa parehas nga mga adres sa IP ingon nga wala gidili nga sulud. Ingon usa ka sangputanan, bisan unsang pagsulay sa pagsala sa IP moresulta sa daghang mga site ug sulud nga dili interesado sa mga censor nga gibabagan.
- Labing dinamikong IP assignment β aron ma-optimize ang pagbalanse sa load ug mapausbaw ang kalidad sa serbisyo, ang pagmapa sa mga edge server ug end user kay paspas ug dinamikong gihimo. Pananglitan, ang mga update sa Akamai nagbalik sa mga IP address matag minuto. Kini maghimo nga halos imposible alang sa mga adres nga malambigit sa gidili nga sulod.
DNS interference
Gawas sa IP filtering, laing popular nga pamaagi sa pagsensor mao ang DNS interference. Kini nga pamaagi naglakip sa mga aksyon sa mga censor nga gitumong sa pagpugong sa mga tiggamit sa pag-ila sa mga IP address sa mga kapanguhaan nga adunay gidili nga sulod. Kana mao, ang interbensyon mahitabo sa lebel sa resolusyon sa ngalan sa domain. Adunay daghang mga paagi aron mahimo kini, lakip ang pag-hijack sa mga koneksyon sa DNS, paggamit sa mga teknik sa pagkahilo sa DNS, ug pagbabag sa mga hangyo sa DNS sa mga gidili nga site.
Kini usa ka epektibo kaayo nga pamaagi sa pag-block, apan mahimo kini nga laktawan kung mogamit ka nga dili standard nga mga pamaagi sa resolusyon sa DNS, pananglitan, mga out-of-band channel. Busa, ang mga censor kasagarang maghiusa sa DNS blocking sa IP filtering. Apan, sama sa giingon sa ibabaw, ang pagsala sa IP dili epektibo sa pag-censor sa sulud sa CDN.
Pagsala pinaagi sa URL/Mga Keyword gamit ang DPI
Ang modernong kagamitan sa pagmonitor sa kalihokan sa network mahimong magamit sa pag-analisar sa mga piho nga mga URL ug mga keyword sa gipadala nga mga pakete sa datos. Kini nga teknolohiya gitawag nga DPI (deep packet inspection). Ang ingon nga mga sistema makit-an ang mga paghisgot sa gidili nga mga pulong ug mga kapanguhaan, pagkahuman kini makabalda sa online nga komunikasyon. Ingon usa ka sangputanan, ang mga pakete nahulog ra.
Kini nga pamaagi epektibo, apan mas komplikado ug resource-intensive tungod kay nagkinahanglan kini og defragmentation sa tanang data packet nga gipadala sulod sa pipila ka sapa.
Ang sulud sa CDN mahimong mapanalipdan gikan sa ingon nga pagsala sa parehas nga paagi sama sa "regular" nga sulud - ββsa duha nga mga kaso makatabang ang paggamit sa pag-encrypt (ie HTTPS).
Dugang pa sa paggamit sa DPI sa pagpangita sa mga keyword o URL sa gidili nga mga kapanguhaan, kini nga mga himan mahimong magamit alang sa mas abante nga pagtuki. Kini nga mga pamaagi naglakip sa istatistikal nga pagtuki sa online/offline nga trapiko ug pagtuki sa mga protocol sa pag-ila. Kini nga mga pamaagi hilabihan ka kusog sa kahinguhaan ug sa pagkakaron walay ebidensya sa ilang paggamit sa mga censor sa igo nga seryoso nga gidak-on.
Self-censorship sa CDN providers
Kung ang censor mao ang estado, nan kini adunay matag higayon nga idili kadtong mga tagahatag sa CDN sa pag-operate sa nasud nga wala magsunod sa mga lokal nga balaod nga nagdumala sa pag-access sa sulud. Ang self-censorship dili mabatokan sa bisan unsa nga paagi - busa, kung ang usa ka CDN provider company interesado sa pag-operate sa usa ka nasud, kini mapugos sa pagsunod sa lokal nga mga balaod, bisan kung ilang gipugngan ang kagawasan sa pagsulti.
Giunsa pagsensor sa China ang sulud sa CDN
Ang Great Firewall sa China husto nga giisip nga labing epektibo ug abante nga sistema alang sa pagsiguro sa censorship sa Internet.
Pamaagi sa panukiduki
Naghimo og mga eksperimento ang mga siyentipiko gamit ang Linux node nga nahimutang sa sulod sa China. Adunay usab sila access sa daghang mga kompyuter sa gawas sa nasud. Una, gisusi sa mga tigdukiduki nga ang node gipailalom sa censorship susama sa gigamit sa ubang mga tiggamit sa China - aron mahimo kini, gisulayan nila ang pag-abli sa lainlaing mga gidili nga mga site gikan sa kini nga makina. Mao nga ang presensya sa parehas nga lebel sa censorship nakumpirma.
Ang lista sa mga website nga gibabagan sa China nga naggamit sa mga CDN gikuha gikan sa GreatFire.org. Ang pamaagi sa pag-block sa matag kaso gisusi dayon.
Sumala sa datos sa publiko, ang bugtong mayor nga magdudula sa merkado sa CDN nga adunay kaugalingon nga imprastraktura sa China mao ang Akamai. Ang ubang mga provider nga miapil sa pagtuon: CloudFlare, Amazon CloudFront, EdgeCast, Fastly ug SoftLayer.
Atol sa mga eksperimento, nahibal-an sa mga tigdukiduki ang mga adres sa mga server sa Akamai edge sa sulod sa nasud, ug dayon gisulayan nga makuha ang gi-cache nga gitugotan nga sulud pinaagi kanila. Dili mahimo ang pag-access sa gidili nga sulod (HTTP 403 Forbidden error gibalik) - dayag nga ang kompanya nag-self-censoring aron mapadayon ang abilidad sa pag-operate sa nasud. Sa samang higayon, ang pag-access niini nga mga kahinguhaan nagpabiling bukas sa gawas sa nasud.
Ang mga ISP nga walay imprastraktura sa China wala mag-sensor sa kaugalingon sa mga lokal nga tiggamit.
Sa kaso sa ubang mga providers, ang labing kasagarang gigamit nga paagi sa pag-block mao ang DNS filtering - ang mga hangyo sa gibabagan nga mga site masulbad sa sayop nga mga IP address. Sa samang higayon, ang firewall dili makababag sa CDN edge servers sa ilang kaugalingon, tungod kay sila nagtipig sa gidili ug gitugotan nga impormasyon.
Ug kung sa kaso sa dili ma-encrypt nga trapiko ang mga awtoridad adunay katakus sa pag-block sa indibidwal nga mga panid sa mga site gamit ang DPI, nan kung gigamit ang HTTPS mahimo ra nila ipanghimakak ang pag-access sa tibuuk nga domain sa kinatibuk-an. Nagdala usab kini sa pagbabag sa gitugotan nga sulud.
Dugang pa, ang China adunay kaugalingong CDN providers, lakip ang mga network sama sa ChinaCache, ChinaNetCenter ug CDNetworks. Ang tanan nga kini nga mga kompanya hingpit nga nagsunod sa mga balaod sa nasud ug gibabagan ang gidili nga sulud.
CacheBrowser: CDN bypass tool
Ingon sa gipakita sa pagtuki, lisud alang sa mga censor nga babagan ang sulud sa CDN. Busa, ang mga tigdukiduki nakahukom sa pag-adto sa dugang ug sa pagpalambo sa usa ka online block bypass himan nga wala sa paggamit sa proxy teknolohiya.
Ang sukaranan nga ideya sa himan mao nga ang mga censor kinahanglan nga manghilabot sa DNS aron babagan ang mga CDN, apan dili nimo kinahanglan nga mogamit sa resolusyon sa ngalan sa domain aron ma-load ang sulud sa CDN. Sa ingon, makuha sa user ang sulud nga iyang gikinahanglan pinaagi sa direktang pagkontak sa edge server, diin kini naka-cache na.
Ang diagram sa ubos nagpakita sa disenyo sa sistema.
Ang software sa kliyente gi-install sa kompyuter sa tiggamit, ug usa ka regular nga browser ang gigamit aron ma-access ang sulud.
Kung gihangyo na ang usa ka URL o piraso sa sulud, ang browser naghangyo sa lokal nga sistema sa DNS (LocalDNS) aron makuha ang host IP address. Ang regular nga DNS gipangutana lamang alang sa mga dominyo nga wala pa sa database sa LocalDNS. Ang Scraper module padayon nga moagi sa gihangyo nga mga URL ug mangita sa listahan alang sa posibleng gibabagan nga mga domain name. Gitawag dayon sa Scraper ang Resolver module aron masulbad ang bag-ong nadiskobrehan nga gibabagan nga mga domain, kini nga module naghimo sa buluhaton ug nagdugang usa ka entry sa LocalDNS. Ang DNS cache sa browser dayon matangtang aron matangtang ang mga naglungtad nga mga rekord sa DNS alang sa gibabagan nga domain.
Kung ang Resolver module dili mahibal-an kung asa nga CDN provider ang domain iya, kini mangutana sa Bootstrapper module alang sa tabang.
Giunsa kini molihok sa praktis
Ang software sa kliyente sa produkto gipatuman alang sa Linux, apan kini dali nga ma-port usab alang sa Windows. Ang regular nga Mozilla gigamit isip browser
Firefox. Ang Scraper ug Resolver modules gisulat sa Python, ug ang Customer-to-CDN ug CDN-toIP databases gitipigan sa .txt files. Ang database sa LocalDNS mao ang regular nga /etc/hosts file sa Linux.
Ingon usa ka sangputanan, alang sa usa ka gibabagan nga URL sama sa Makuha sa script ang edge server IP address gikan sa /etc/hosts file ug magpadala ug HTTP GET request nga ma-access ang BlockURL.html gamit ang Host HTTP header fields:
blocked.com/ and User-Agent: Mozilla/5.0 (Windows
NT 5.1; rv:14.0) Gecko/20100101 Firefox/14.0.1Ang Bootstrapper module gipatuman gamit ang libre nga himan nga digwebinterface.com. Kini nga DNS resolver dili ma-block ug motubag sa DNS nga mga pangutana alang sa daghang geographically distributed DNS servers sa lain-laing network regions.
Gigamit kini nga himan, ang mga tigdukiduki nakahimo sa pag-access sa Facebook gikan sa ilang Chinese node, bisan kung ang social network dugay na nga gibabagan sa China.
konklusyon
Gipakita sa eksperimento nga ang pagpahimulos sa mga problema nga nasinati sa mga censor sa pagsulay sa pag-block sa sulud sa CDN mahimong magamit aron makahimo usa ka sistema sa pag-bypass sa mga bloke. Kini nga himan nagtugot kanimo sa pag-bypass sa mga bloke bisan sa China, nga adunay usa sa labing gamhanan nga online censorship system.
Ang ubang mga artikulo bahin sa hilisgutan sa paggamit alang sa negosyo:
Source: www.habr.com