Obrázek:
Dnes je značná část veškerého obsahu na internetu distribuována pomocí sítí CDN. Zároveň výzkum toho, jak různí cenzoři rozšiřují svůj vliv na takové sítě. Vědci z University of Massachusetts možné způsoby blokování obsahu CDN na příkladu praktik čínských úřadů a také vyvinul nástroj pro obcházení takového blokování.
Připravili jsme přehledový materiál s hlavními závěry a výsledky tohoto experimentu.
úvod
Cenzura je globální hrozbou pro svobodu slova na internetu a svobodný přístup k informacím. To je do značné míry možné díky tomu, že si internet vypůjčil model „end-to-end komunikace“ z telefonních sítí ze 70. let minulého století. To vám umožňuje zablokovat přístup k obsahu nebo uživatelské komunikaci bez velkého úsilí nebo nákladů jednoduše na základě IP adresy. Zde je několik metod, od zablokování samotné adresy se zakázaným obsahem až po zablokování schopnosti uživatelů ji vůbec rozpoznat pomocí manipulace DNS.
Rozvoj internetu však vedl i ke vzniku nových způsobů šíření informací. Jedním z nich je použití obsahu uloženého v mezipaměti pro zlepšení výkonu a zrychlení komunikace. Dnes poskytovatelé CDN zpracovávají značné množství veškerého provozu na světě – Akamai, lídr v tomto segmentu, tvoří až 30 % celosvětového statického webového provozu.
Síť CDN je distribuovaný systém pro doručování internetového obsahu maximální rychlostí. Typická síť CDN se skládá ze serverů v různých geografických lokalitách, které ukládají obsah do mezipaměti, aby jej mohl poskytovat uživatelům, kteří jsou k tomuto serveru nejblíže. To umožňuje výrazně zvýšit rychlost online komunikace.
Kromě zlepšení zážitku pro koncové uživatele pomáhá CDN hosting tvůrcům obsahu škálovat jejich projekty snížením zátěže jejich infrastruktury.
Cenzurování obsahu CDN
Navzdory tomu, že provoz CDN již tvoří významnou část všech informací přenášených přes internet, stále neexistuje téměř žádný výzkum, jak k jeho kontrole přistupují cenzoři v reálném světě.
Autoři studie začali zkoumáním cenzurních technik, které lze aplikovat na CDN. Poté studovali skutečné mechanismy používané čínskými úřady.
Nejprve si řekněme o možných metodách cenzury a možnosti jejich využití pro kontrolu CDN.
IP filtrování
Toto je nejjednodušší a nejlevnější technika cenzury internetu. Pomocí tohoto přístupu cenzor identifikuje a zakáže IP adresy zdrojů hostujících zakázaný obsah. Poté kontrolovaní poskytovatelé internetu přestanou doručovat pakety odeslané na takové adresy.
Blokování na základě IP je jednou z nejběžnějších metod cenzury internetu. Většina komerčních síťových zařízení je vybavena funkcemi pro implementaci takového blokování bez významného výpočetního úsilí.
Tato metoda však není příliš vhodná pro blokování provozu CDN kvůli některým vlastnostem samotné technologie:
- Distribuované ukládání do mezipaměti – Aby byla zajištěna nejlepší dostupnost obsahu a optimalizován výkon, sítě CDN ukládají uživatelský obsah do mezipaměti na velkém počtu okrajových serverů umístěných v geograficky distribuovaných lokalitách. K filtrování takového obsahu na základě IP by cenzor musel zjistit adresy všech edge serverů a umístit je na černou listinu. To podkope hlavní vlastnosti metody, protože její hlavní výhodou je, že v obvyklém schématu blokování jednoho serveru umožňuje „odříznout“ přístup k zakázanému obsahu pro velký počet lidí najednou.
- Sdílené IP adresy – komerční poskytovatelé CDN sdílejí svou infrastrukturu (tj. okrajové servery, mapovací systém atd.) mezi mnoha klienty. Výsledkem je, že zakázaný obsah CDN se načítá ze stejných IP adres jako nezakázaný obsah. Výsledkem je, že jakýkoli pokus o filtrování IP adres bude mít za následek zablokování velkého množství stránek a obsahu, které nejsou pro cenzory zajímavé.
- Vysoce dynamické přidělování IP – pro optimalizaci load balancingu a zlepšení kvality služeb je mapování edge serverů a koncových uživatelů prováděno velmi rychle a dynamicky. Aktualizace Akamai například vracely IP adresy každou minutu. Díky tomu bude téměř nemožné, aby adresy byly spojovány se zakázaným obsahem.
Rušení DNS
Kromě filtrování IP je další populární metodou cenzury interference DNS. Tento přístup zahrnuje akce cenzorů, jejichž cílem je zabránit uživatelům v rozpoznání IP adres zdrojů se zakázaným obsahem. To znamená, že k zásahu dochází na úrovni překladu názvu domény. Existuje několik způsobů, jak toho dosáhnout, včetně únosu připojení DNS, použití technik otravy DNS a blokování požadavků DNS na zakázané stránky.
Jedná se o velmi efektivní metodu blokování, ale lze ji obejít, pokud používáte nestandardní metody rozlišení DNS, například kanály mimo pásmo. Cenzoři proto obvykle kombinují blokování DNS s filtrováním IP adres. Jak je však uvedeno výše, filtrování IP není účinné při cenzuře obsahu CDN.
Filtrujte podle URL/klíčových slov pomocí DPI
Moderní zařízení pro monitorování síťové aktivity lze použít k analýze konkrétních URL a klíčových slov v přenášených datových paketech. Tato technologie se nazývá DPI (deep packet inspection). Takové systémy najdou zmínky o zakázaných slovech a zdrojích, načež zasahují do online komunikace. Výsledkem je, že pakety jsou jednoduše zahazovány.
Tato metoda je efektivní, ale složitější a náročnější na zdroje, protože vyžaduje defragmentaci všech datových paketů odeslaných v rámci určitých toků.
Obsah CDN lze před takovým filtrováním chránit stejně jako „běžný“ obsah – v obou případech pomáhá použití šifrování (tj. HTTPS).
Kromě použití DPI k nalezení klíčových slov nebo adres URL zakázaných zdrojů lze tyto nástroje použít pro pokročilejší analýzu. Tyto metody zahrnují statistickou analýzu online/offline provozu a analýzu identifikačních protokolů. Tyto metody jsou extrémně náročné na zdroje a v současnosti prostě neexistuje žádný důkaz o jejich používání cenzory v dostatečně závažné míře.
Autocenzura poskytovatelů CDN
Pokud je cenzorem stát, pak má každou příležitost zakázat těm poskytovatelům CDN působit v zemi, kteří nedodržují místní zákony upravující přístup k obsahu. Autocenzuře se nelze v žádném případě bránit – pokud tedy bude mít poskytovatel CDN společnost zájem působit v určité zemi, bude nucena dodržovat místní zákony, i když omezují svobodu slova.
Jak Čína cenzuruje obsah CDN
Great Firewall of China je právem považován za nejúčinnější a nejpokročilejší systém pro zajištění cenzury internetu.
Metodika výzkumu
Vědci provedli experimenty pomocí linuxového uzlu umístěného v Číně. Měli také přístup k několika počítačům mimo zemi. Nejprve vědci ověřili, že uzel podléhá cenzuře podobné té, která se vztahuje na ostatní čínské uživatele – k tomu se pokusili z tohoto stroje otevřít různé zakázané stránky. Takže přítomnost stejné úrovně cenzury byla potvrzena.
Seznam webových stránek blokovaných v Číně, které používají CDN, byl převzat z GreatFire.org. Poté byl analyzován způsob blokování v každém případě.
Podle veřejných údajů je jediným velkým hráčem na trhu CDN s vlastní infrastrukturou v Číně Akamai. Další poskytovatelé účastnící se studie: CloudFlare, Amazon CloudFront, EdgeCast, Fastly a SoftLayer.
Během experimentů výzkumníci zjistili adresy okrajových serverů Akamai v zemi a poté se přes ně pokusili získat povolený obsah v mezipaměti. Nebylo možné se dostat k zakázanému obsahu (chyba HTTP 403 Forbidden byla vrácena) – společnost zřejmě autocenzuruje, aby si zachovala schopnost působit v zemi. Přístup k těmto zdrojům přitom zůstal otevřený i mimo zemi.
ISP bez infrastruktury v Číně neprovádějí autocenzuru místních uživatelů.
V případě ostatních poskytovatelů byla nejčastěji používaná metoda blokování DNS filtrování – požadavky na blokované stránky jsou řešeny na nesprávné IP adresy. Firewall zároveň neblokuje samotné servery CDN edge, protože ukládají zakázané i povolené informace.
A pokud v případě nešifrovaného provozu mají úřady možnost blokovat jednotlivé stránky webů pomocí DPI, tak při použití HTTPS mohou zakázat přístup pouze celé doméně jako celku. To také vede k blokování povoleného obsahu.
Čína má navíc své vlastní poskytovatele CDN, včetně sítí jako ChinaCache, ChinaNetCenter a CDNetworks. Všechny tyto společnosti plně dodržují zákony dané země a blokují zakázaný obsah.
CacheBrowser: Nástroj pro obcházení CDN
Jak analýza ukázala, pro cenzory je poměrně obtížné blokovat obsah CDN. Proto se vědci rozhodli jít dále a vyvinout online nástroj pro obcházení bloků, který nepoužívá technologii proxy.
Základní myšlenkou nástroje je, že cenzoři musí zasahovat do DNS, aby blokovali CDN, ale ve skutečnosti nemusíte k načítání obsahu CDN používat překlad názvů domén. Uživatel tak může získat obsah, který potřebuje, přímým kontaktováním edge serveru, kde je již uložen.
Níže uvedený diagram ukazuje návrh systému.
Klientský software je nainstalován na počítači uživatele a pro přístup k obsahu se používá běžný prohlížeč.
Když již byla vyžádána adresa URL nebo část obsahu, prohlížeč požádá místní systém DNS (LocalDNS) o získání hostitelské IP adresy. Běžný DNS je dotazován pouze pro domény, které ještě nejsou v databázi LocalDNS. Modul Scraper průběžně prochází požadované adresy URL a hledá v seznamu potenciálně blokovaná jména domén. Scraper poté zavolá modul Resolver k vyřešení nově objevených blokovaných domén, tento modul provede úkol a přidá záznam do LocalDNS. Mezipaměť DNS prohlížeče se poté vymaže, aby se odstranily existující záznamy DNS pro blokovanou doménu.
Pokud modul Resolver nedokáže zjistit, kterému poskytovateli CDN doména patří, požádá o pomoc modul Bootstrapper.
Jak to funguje v praxi
Klientský software produktu byl implementován pro Linux, ale lze jej snadno portovat i pro Windows. Jako prohlížeč se používá běžná Mozilla
Firefox. Moduly Scraper a Resolver jsou napsány v Pythonu a databáze Customer-to-CDN a CDN-toIP jsou uloženy v souborech .txt. Databáze LocalDNS je běžný soubor /etc/hosts v Linuxu.
V důsledku toho pro blokovanou adresu URL jako Skript získá IP adresu hraničního serveru ze souboru /etc/hosts a odešle požadavek HTTP GET pro přístup k BlockedURL.html s poli hlavičky Host HTTP:
blocked.com/ and User-Agent: Mozilla/5.0 (Windows
NT 5.1; rv:14.0) Gecko/20100101 Firefox/14.0.1Modul Bootstrapper je implementován pomocí bezplatného nástroje digwebinterface.com. Tento překladač DNS nelze zablokovat a odpovídá na dotazy DNS jménem více geograficky distribuovaných serverů DNS v různých oblastech sítě.
Pomocí tohoto nástroje se vědcům podařilo získat přístup k Facebooku ze svého čínského uzlu, přestože sociální síť je v Číně již dlouho blokována.
Závěr
Experiment ukázal, že využití problémů, se kterými se cenzoři setkávají při pokusu o blokování obsahu CDN, lze využít k vytvoření systému pro obcházení bloků. Tento nástroj umožňuje obejít bloky i v Číně, která má jeden z nejvýkonnějších online cenzurních systémů.
Další články na téma použití pro obchod:
Zdroj: www.habr.com