Ritrattu:
Oghje, una parte significativa di tuttu u cuntenutu in Internet hè distribuitu cù e rete CDN. À u listessu tempu, a ricerca in quantu diversi censori allarganu a so influenza nantu à tali rete. Scientisti di l'Università di Massachusetts i metudi pussibuli di bluccà u cuntenutu CDN usendu l'esempiu di e pratiche di l'autorità Chinese, è ancu sviluppatu un strumentu per bypassing such blocking.
Avemu preparatu un materiale di rivisione cù i principali cunclusioni è risultati di stu esperimentu.
Introduzione
A censura hè una minaccia glubale per a libertà di parlà in Internet è l'accessu liberu à l'infurmazioni. Questu hè largamente pussibule per u fattu chì l'Internet hà pigliatu in prestu u mudellu di "comunicazione end-to-end" da e rete telefoniche di l'anni 70 di u seculu passatu. Questu permette di bluccà l'accessu à u cuntenutu o cumunicazioni d'utilizatori senza sforzu significativu o costu solu basatu annantu à l'indirizzu IP. Ci sò parechji metudi quì, da bluccà l'indirizzu stessu cù cuntenutu pruibitu à bluccà a capacità di l'utilizatori ancu di ricunnosce cù a manipulazione DNS.
Tuttavia, u sviluppu di l'Internet hà ancu purtatu à l'emergenza di novi modi di sparghje l'infurmazioni. Unu di elli hè l'usu di cuntenutu cache per migliurà u rendiment è accelerà e cumunicazioni. Oghje, i fornituri di CDN processanu una quantità significativa di tuttu u trafficu in u mondu - Akamai, u capu in questu segmentu, solu cuntene finu à u 30% di u trafficu web staticu globale.
Una rete CDN hè un sistema distribuitu per furnisce u cuntenutu Internet à a velocità massima. Una reta tipica CDN hè custituita da servitori in diverse locu geografiche chì cache u cuntenutu per serve à l'utilizatori chì sò più vicinu à quellu servitore. Questu permette di aumentà significativamente a velocità di a cumunicazione in linea.
In più di migliurà l'esperienza per l'utilizatori finali, CDN hosting aiuta i creatori di cuntenutu à scala i so prughjetti riducendu a carica di a so infrastruttura.
Censuring CDN cuntenutu
Malgradu u fattu chì u trafficu CDN custituisce digià una parte significativa di tutte l'infurmazioni trasmesse in Internet, ùn ci hè ancu quasi nisuna ricerca in quantu i censori in u mondu reale avvicinanu u so cuntrollu.
L'autori di u studiu cuminciaru à esplorà e tecniche di censura chì ponu esse applicate à i CDN. Dopu anu studiatu i meccanismi attuali utilizati da l'autorità chinesi.
Prima, parlemu di i pussibuli metudi di censura è a pussibilità di usà per cuntrullà u CDN.
Filtru IP
Questa hè a tecnica più simplice è più prezzu per a censura di Internet. Utilizendu stu approcciu, u censor identifica è mette in lista negra l'indirizzi IP di risorse chì ospitanu cuntenutu pruibitu. Allora i fornituri di Internet cuntrullati cessanu di furnisce i pacchetti mandati à tali indirizzi.
U bluccatu basatu in IP hè unu di i metudi più cumuni di censurà Internet. A maiò parte di i dispositi di rete cummerciale sò dotati di funzioni per implementà tali blocchi senza sforzu computazionale significativu.
Tuttavia, stu metudu ùn hè micca assai adattatu per bluccà u trafficu CDN per via di alcune proprietà di a tecnulugia stessu:
- Caching distribuitu - per assicurà a megliu dispunibilità di cuntenutu è ottimisà u rendiment, e rete CDN cache u cuntenutu di l'utilizatori nantu à un gran numaru di servitori di punta situati in lochi distribuiti geograficamente. Per filtrà tali cuntenutu basatu annantu à l'IP, u censuratore averia bisognu di scopre l'indirizzi di tutti i servitori di punta è a lista negra. Questu hà da minà e proprietà principali di u metudu, perchè u so vantaghju principale hè chì in u schema di solitu, bluccà un servitore permette di "tagliate" l'accessu à u cuntenutu pruibitu per un gran numaru di persone à una volta.
- IPs spartuti - I fornitori di CDN cummirciali sparte a so infrastruttura (vale à dì, servitori di punta, sistema di mappatura, etc.) trà parechji clienti. In u risultatu, u cuntenutu CDN pruibitu hè carricu da i stessi indirizzi IP cum'è u cuntenutu micca pruibitu. In u risultatu, ogni tentativu di filtru IP hà da risultatu in un gran numaru di siti è cuntenutu chì ùn sò micca d'interessu per i censori esse bluccati.
- Assegnazione IP altamente dinamica - per ottimisà l'equilibriu di carica è migliurà a qualità di serviziu, a cartografia di i servitori di punta è l'utilizatori finali hè realizatu assai rapidamente è dinamicamente. Per esempiu, l'aghjurnamenti di Akamai tornanu l'indirizzi IP ogni minutu. Questu farà quasi impussibile chì l'indirizzi sò assuciati cù cuntenutu pruibitu.
Interferenza DNS
In più di u filtru IP, un altru metudu di censura populari hè l'interferenza DNS. Stu approcciu implica l'azzioni di i censori destinati à impedisce l'utilizatori di ricunnosce l'indirizzi IP di risorse cù cuntenutu pruibitu. Questu hè, l'intervenzione si trova à u nivellu di risoluzione di u nome di duminiu. Ci hè parechje manere di fà questu, cumpresu u pirate di cunnessione DNS, utilizendu tecniche di avvelenamentu DNS, è bluccà e dumande DNS à i siti pruibiti.
Questu hè un metudu di bloccu assai efficace, ma pò esse ignoratu se utilizate metudi di risoluzione DNS non standard, per esempiu, canali fora di banda. Per quessa, i censori di solitu combinanu u bloccu DNS cù u filtru IP. Ma, cum'è dichjaratu sopra, u filtru IP ùn hè micca efficace à censurà u cuntenutu CDN.
Filtra per URL / Parole chjave cù DPI
L'equipaggiu modernu di monitoraghju di l'attività di a rete pò esse utilizatu per analizà URL specifichi è parole chjave in pacchetti di dati trasmessi. Sta tecnulugia hè chjamata DPI (Deep Packet Inspection). Tali sistemi trovanu menzioni di parolle è risorse pruibiti, dopu chì interferiscenu cù a cumunicazione in linea. In u risultatu, i pacchetti sò simpliciamente abbandunati.
Stu metudu hè efficace, ma più cumplessu è risorsa intensiva perchè esige a defragmentazione di tutti i pacchetti di dati mandati in certi flussi.
U cuntenutu CDN pò esse prutettu da tali filtri in u listessu modu cum'è u cuntenutu "regular" - in i dui casi l'usu di criptografia (vale à dì HTTPS) aiuta.
In più di utilizà DPI per truvà e parolle chjave o URL di risorse pruibitu, sti strumenti ponu esse aduprati per un analisi più avanzatu. Questi metudi includenu l'analisi statistiche di u trafficu in linea / offline è l'analisi di i protokolli d'identificazione. Questi metudi sò estremamente intensivi di risorse è à u mumentu ùn ci hè simplicemente micca evidenza di u so usu da i censori à una misura abbastanza seria.
Autocensura di i fornitori di CDN
Se u censore hè u statu, allora hà tutte l'uppurtunità di pruibisce quelli fornituri di CDN d'operanu in u paese chì ùn ubbidiscenu micca e lege lucali chì guvernanu l'accessu à u cuntenutu. L'autocensura ùn pò micca esse resistitu in ogni modu - per quessa, se una cumpagnia di fornitore di CDN hè interessata à operare in un certu paese, serà obligatu à rispettà e lege lucali, ancu s'ellu limitanu a libertà di parolla.
Cumu a Cina censura u cuntenutu CDN
U Great Firewall of China hè cunsideratu cum'è u sistema più efficace è avanzatu per assicurà a censura di Internet.
Metodulugia di ricerca
I scientisti anu realizatu esperimenti utilizendu un nodu Linux situatu in Cina. Anu avutu ancu accessu à parechji computer fora di u paese. Prima, i circadori verificatu chì u node era sottumessu à a censura simile à quella applicata à l'altri utilizatori chinesi - per fà questu, anu pruvatu à apre diversi siti pruibiti da sta macchina. Allora a prisenza di u listessu livellu di censura hè stata cunfirmata.
A lista di siti web bluccati in Cina chì utilizanu CDN hè stata presa da GreatFire.org. U metudu di bluccatu in ogni casu hè statu allora analizatu.
Sicondu i dati publichi, l'unicu attore maiò in u mercatu CDN cù a so propria infrastruttura in Cina hè Akamai. Altri fornituri chì participanu à u studiu: CloudFlare, Amazon CloudFront, EdgeCast, Fastly è SoftLayer.
Duranti l'esperimenti, i circadori anu scupertu l'indirizzi di i servitori di punta Akamai in u paese, è dopu pruvatu à ottene u cuntenutu permessu in cache attraversu elli. Ùn era micca pussibule di accede à u cuntenutu pruibitu (HTTP 403 Errore prohibitu hè statu tornatu) - apparentemente a cumpagnia hè autocensurata per mantene a capacità di operare in u paese. À u listessu tempu, l'accessu à queste risorse restava apertu fora di u paese.
ISP senza infrastruttura in Cina ùn si autocensuranu l'utilizatori lucali.
In u casu di l'altri fornituri, u metudu di bluccatu più cumunimenti utilizatu era u filtru DNS - e dumande à i siti bluccati sò risolti in indirizzi IP incorrecti. À u listessu tempu, u firewall ùn blucca micca i servitori CDN edge stessi, postu chì almacenanu l'infurmazioni pruibiti è permessi.
E se in u casu di u trafficu micca criptatu, l'autorità anu a capacità di bluccà e pagine individuali di siti chì utilizanu DPI, allora quandu utilizanu HTTPS ponu solu nigà l'accessu à u duminiu tutale in tuttu. Questu porta ancu à u bloccu di u cuntenutu permessu.
Inoltre, a Cina hà i so propiu fornitori di CDN, cumprese e rete cum'è ChinaCache, ChinaNetCenter è CDNetworks. Tutte queste cumpagnie cumplenu cumplettamente cù e lege di u paese è bluccà u cuntenutu pruibitu.
CacheBrowser: strumentu di bypass CDN
Cumu l'analisi hà dimustratu, hè abbastanza difficiule per i censori di bluccà u cuntenutu CDN. Dunque, i circadori anu decisu di andà più in là è di sviluppà un strumentu di bypass di bloccu in linea chì ùn usa micca a tecnulugia proxy.
L'idea basica di l'uttellu hè chì i censori anu da interferiscenu cù u DNS per bluccà i CDN, ma in realtà ùn avete micca aduprà a risoluzione di u nome di duminiu per scaricà u cuntenutu CDN. Cusì, l'utilizatore pò uttene u cuntenutu chì hà bisognu cuntattendu direttamente u servitore di punta, induve hè digià in cache.
U diagramma sottu mostra u disignu di u sistema.
U software di u cliente hè stallatu nantu à l'urdinatore di l'utilizatori, è un navigatore regulare hè utilizatu per accede à u cuntenutu.
Quandu un URL o un pezzu di cuntenutu hè digià statu dumandatu, u navigatore face una dumanda à u sistema DNS locale (LocalDNS) per ottene l'indirizzu IP di l'ospitu. U DNS regulare hè dumandatu solu per i domini chì ùn sò micca digià in a basa di dati LocalDNS. U modulu Scraper passa continuamente per l'URL dumandati è cerca in a lista per i nomi di duminiu potenzalmentu bluccatu. Scraper poi chjama u modulu Resolver per risolve i duminii bluccati appena scuperti, stu modulu eseguisce u compitu è aghjunghje una entrata à LocalDNS. A cache DNS di u navigatore hè allora sguassata per sguassà i registri DNS esistenti per u duminiu bluccatu.
Se u modulu Resolver ùn pò micca capisce à quale fornitore CDN appartene u duminiu, dumandà à u modulu Bootstrapper per aiutu.
Cumu funziona in pratica
U software cliente di u pruduttu hè statu implementatu per Linux, ma pò esse facilmente purtatu ancu per Windows. Mozilla regulare hè utilizatu cum'è navigatore
Firefox. I moduli Scraper è Resolver sò scritti in Python, è e basa di dati Customer-to-CDN è CDN-toIP sò guardati in i schedari .txt. A basa di dati LocalDNS hè u schedariu regular /etc/hosts in Linux.
In u risultatu, per un URL bluccatu cum'è U script uttene l'indirizzu IP di u servitore di punta da u schedariu /etc/hosts è mandà una dumanda HTTP GET per accede à BlockedURL.html cù i campi di l'intestazione Host HTTP:
blocked.com/ and User-Agent: Mozilla/5.0 (Windows
NT 5.1; rv:14.0) Gecko/20100101 Firefox/14.0.1U modulu Bootstrapper hè implementatu cù u strumentu gratuitu digwebinterface.com. Stu risolve DNS ùn pò esse bluccatu è risponde à e dumande DNS in nome di parechji servitori DNS distribuiti geograficamente in diverse regioni di a rete.
Utilizendu stu strumentu, i circadori anu sappiutu accede à Facebook da u so node Chinese, ancu s'è a reta suciale hè stata longa bluccata in Cina.
cunchiusioni
L'esperimentu hà dimustratu chì apprufittannu di i prublemi chì i censori sperimentanu quandu pruvate di bluccà u cuntenutu CDN pò esse usatu per creà un sistema per bypassing blocks. Stu strumentu vi permette di scaccià i blocchi ancu in Cina, chì hà unu di i più putenti sistemi di censura in linea.
Altri articuli nantu à u tema di usu per l'affari:
Source: www.habr.com