Llun:
Heddiw, mae cyfran sylweddol o'r holl gynnwys ar y Rhyngrwyd yn cael ei ddosbarthu gan ddefnyddio rhwydweithiau CDN. Ar yr un pryd, ymchwil i sut mae sensoriaid amrywiol yn ymestyn eu dylanwad dros rwydweithiau o'r fath. Gwyddonwyr o Brifysgol Massachusetts dulliau posibl o rwystro cynnwys CDN gan ddefnyddio'r enghraifft o arferion yr awdurdodau Tsieineaidd, a hefyd wedi datblygu offeryn ar gyfer osgoi blocio o'r fath.
Rydym wedi paratoi deunydd adolygu gyda phrif gasgliadau a chanlyniadau'r arbrawf hwn.
Cyflwyniad
Mae sensoriaeth yn fygythiad byd-eang i ryddid i lefaru ar y Rhyngrwyd a mynediad am ddim i wybodaeth. Mae hyn yn bosibl i raddau helaeth oherwydd bod y Rhyngrwyd wedi benthyca'r model “cyfathrebu diwedd-i-ddiwedd” o rwydweithiau ffôn 70au'r ganrif ddiwethaf. Mae hyn yn eich galluogi i rwystro mynediad at gynnwys neu gyfathrebiadau defnyddwyr heb ymdrech neu gost sylweddol yn seiliedig ar gyfeiriad IP yn unig. Mae yna sawl dull yma, o rwystro'r cyfeiriad ei hun â chynnwys gwaharddedig i rwystro gallu defnyddwyr i hyd yn oed ei adnabod gan ddefnyddio trin DNS.
Fodd bynnag, mae datblygiad y Rhyngrwyd hefyd wedi arwain at ymddangosiad ffyrdd newydd o ledaenu gwybodaeth. Un ohonynt yw'r defnydd o gynnwys wedi'i storio i wella perfformiad a chyflymu cyfathrebiadau. Heddiw, mae darparwyr CDN yn prosesu llawer iawn o'r holl draffig yn y byd - mae Akamai, yr arweinydd yn y segment hwn, yn unig yn cyfrif am hyd at 30% o draffig gwe sefydlog byd-eang.
Mae rhwydwaith CDN yn system ddosbarthedig ar gyfer cyflwyno cynnwys Rhyngrwyd ar gyflymder uchaf. Mae rhwydwaith CDN nodweddiadol yn cynnwys gweinyddwyr mewn gwahanol leoliadau daearyddol sy'n storio cynnwys i'w weini i ddefnyddwyr sydd agosaf at y gweinydd hwnnw. Mae hyn yn caniatáu ichi gynyddu cyflymder cyfathrebu ar-lein yn sylweddol.
Yn ogystal â gwella profiad defnyddwyr terfynol, mae cynnal CDN yn helpu crewyr cynnwys i raddfa eu prosiectau trwy leihau'r llwyth ar eu seilwaith.
Yn sensro cynnwys CDN
Er gwaethaf y ffaith bod traffig CDN eisoes yn cyfrif am gyfran sylweddol o'r holl wybodaeth a drosglwyddir dros y Rhyngrwyd, nid oes bron unrhyw ymchwil o hyd i sut mae sensoriaid yn y byd go iawn yn mynd ati i'w rheoli.
Dechreuodd awduron yr astudiaeth trwy archwilio technegau sensro y gellir eu cymhwyso i CDNs. Yna buont yn astudio'r mecanweithiau gwirioneddol a ddefnyddir gan awdurdodau Tsieina.
Yn gyntaf, gadewch i ni siarad am ddulliau sensro posibl a'r posibilrwydd o'u defnyddio i reoli'r CDN.
Hidlo IP
Dyma'r dechneg symlaf a mwyaf rhad ar gyfer sensro'r Rhyngrwyd. Gan ddefnyddio'r dull hwn, mae'r sensor yn nodi ac yn rhestru cyfeiriadau IP adnoddau sy'n cynnal cynnwys gwaharddedig. Yna mae'r darparwyr Rhyngrwyd rheoledig yn rhoi'r gorau i ddosbarthu pecynnau a anfonir i gyfeiriadau o'r fath.
Blocio ar sail IP yw un o'r dulliau mwyaf cyffredin o sensro'r Rhyngrwyd. Mae gan y mwyafrif o ddyfeisiau rhwydwaith masnachol swyddogaethau i weithredu blocio o'r fath heb ymdrech gyfrifiadol sylweddol.
Fodd bynnag, nid yw'r dull hwn yn addas iawn ar gyfer rhwystro traffig CDN oherwydd rhai o briodweddau'r dechnoleg ei hun:
- Ccaching wedi'i ddosbarthu – er mwyn sicrhau bod cynnwys ar gael yn y ffordd orau bosibl a gwneud y gorau o berfformiad, mae rhwydweithiau CDN yn storio cynnwys defnyddwyr ar nifer fawr o weinyddion ymyl sydd wedi'u lleoli mewn lleoliadau sydd wedi'u dosbarthu'n ddaearyddol. I hidlo cynnwys o'r fath yn seiliedig ar IP, byddai angen i'r sensro ddarganfod cyfeiriadau pob gweinydd ymyl a'u rhoi ar restr ddu. Bydd hyn yn tanseilio prif briodweddau'r dull, oherwydd ei brif fantais yw bod blocio un gweinydd yn y cynllun arferol yn caniatáu ichi "dorri i ffwrdd" mynediad i gynnwys gwaharddedig ar gyfer nifer fawr o bobl ar unwaith.
- IPs a rennir – mae darparwyr CDN masnachol yn rhannu eu seilwaith (h.y. gweinyddwyr ymyl, system fapio, ac ati) rhwng llawer o gleientiaid. O ganlyniad, mae cynnwys CDN gwaharddedig yn cael ei lwytho o'r un cyfeiriadau IP â chynnwys heb ei wahardd. O ganlyniad, bydd unrhyw ymgais i hidlo IP yn arwain at rwystro nifer enfawr o wefannau a chynnwys nad ydynt o ddiddordeb i sensoriaid.
- Aseiniad IP deinamig iawn – i wneud y gorau o gydbwyso llwyth a gwella ansawdd y gwasanaeth, mae mapio gweinyddwyr ymyl a defnyddwyr terfynol yn cael ei berfformio'n gyflym iawn ac yn ddeinamig. Er enghraifft, dychwelodd diweddariadau Akamai gyfeiriadau IP bob munud. Bydd hyn yn ei gwneud bron yn amhosibl i gyfeiriadau fod yn gysylltiedig â chynnwys gwaharddedig.
Ymyrraeth DNS
Ar wahân i hidlo IP, dull sensro poblogaidd arall yw ymyrraeth DNS. Mae'r dull hwn yn cynnwys camau gweithredu gan sensoriaid gyda'r nod o atal defnyddwyr rhag adnabod cyfeiriadau IP adnoddau â chynnwys gwaharddedig. Hynny yw, mae'r ymyriad yn digwydd ar lefel datrysiad enw parth. Mae sawl ffordd o wneud hyn, gan gynnwys herwgipio cysylltiadau DNS, defnyddio technegau gwenwyno DNS, a rhwystro ceisiadau DNS i safleoedd gwaharddedig.
Mae hwn yn ddull blocio effeithiol iawn, ond gellir ei osgoi os ydych chi'n defnyddio dulliau datrys DNS ansafonol, er enghraifft, sianeli y tu allan i'r band. Felly, mae sensoriaid fel arfer yn cyfuno blocio DNS â hidlo IP. Ond, fel y nodwyd uchod, nid yw hidlo IP yn effeithiol wrth sensro cynnwys CDN.
Hidlo yn ôl URL/geiriau allweddol gan ddefnyddio DPI
Gellir defnyddio offer monitro gweithgaredd rhwydwaith modern i ddadansoddi URLau a geiriau allweddol penodol mewn pecynnau data a drosglwyddir. Gelwir y dechnoleg hon yn DPI (archwiliad pecyn dwfn). Mae systemau o'r fath yn canfod cyfeiriadau at eiriau ac adnoddau gwaharddedig, ac ar ôl hynny maent yn ymyrryd â chyfathrebu ar-lein. O ganlyniad, mae'r pecynnau yn cael eu gollwng yn syml.
Mae'r dull hwn yn effeithiol, ond yn fwy cymhleth ac yn defnyddio llawer o adnoddau oherwydd ei fod yn gofyn am ddarnio'r holl becynnau data a anfonir o fewn ffrydiau penodol.
Gellir diogelu cynnwys CDN rhag hidlo o’r fath yn yr un modd â chynnwys “rheolaidd” - yn y ddau achos mae defnyddio amgryptio (h.y. HTTPS) yn helpu.
Yn ogystal â defnyddio DPI i ddod o hyd i eiriau allweddol neu URLau adnoddau gwaharddedig, gellir defnyddio'r offer hyn ar gyfer dadansoddiad mwy datblygedig. Mae'r dulliau hyn yn cynnwys dadansoddiad ystadegol o draffig ar-lein/all-lein a dadansoddiad o brotocolau adnabod. Mae'r dulliau hyn yn hynod o ddwys o ran adnoddau ac ar hyn o bryd, yn syml, nid oes tystiolaeth o'u defnydd gan sensoriaid i raddau digon difrifol.
Hunan-sensoriaeth darparwyr CDN
Os mai'r wladwriaeth yw'r sensro, yna mae ganddi bob cyfle i wahardd y darparwyr CDN hynny rhag gweithredu yn y wlad nad ydynt yn ufuddhau i gyfreithiau lleol sy'n llywodraethu mynediad i gynnwys. Ni ellir gwrthsefyll hunan-sensoriaeth mewn unrhyw ffordd - felly, os oes gan gwmni darparwr CDN ddiddordeb mewn gweithredu mewn gwlad benodol, bydd yn cael ei orfodi i gydymffurfio â chyfreithiau lleol, hyd yn oed os ydynt yn cyfyngu ar ryddid i lefaru.
Sut mae Tsieina yn sensro cynnwys CDN
Mae Wal Dân Fawr Tsieina yn cael ei hystyried yn haeddiannol fel y system fwyaf effeithiol ac uwch ar gyfer sicrhau sensoriaeth Rhyngrwyd.
Methodoleg ymchwil
Cynhaliodd gwyddonwyr arbrofion gan ddefnyddio nod Linux sydd wedi'i leoli y tu mewn i Tsieina. Roedd ganddyn nhw hefyd fynediad i sawl cyfrifiadur y tu allan i'r wlad. Yn gyntaf, gwiriodd yr ymchwilwyr fod y nod yn destun sensoriaeth tebyg i'r hyn a oedd yn berthnasol i ddefnyddwyr Tsieineaidd eraill - i wneud hyn, ceisiasant agor gwahanol safleoedd gwaharddedig o'r peiriant hwn. Felly cadarnhawyd presenoldeb yr un lefel o sensoriaeth.
Cymerwyd y rhestr o wefannau sydd wedi'u blocio yn Tsieina sy'n defnyddio CDNs o GreatFire.org. Yna dadansoddwyd y dull blocio ym mhob achos.
Yn ôl data cyhoeddus, yr unig chwaraewr mawr yn y farchnad CDN gyda'i seilwaith ei hun yn Tsieina yw Akamai. Darparwyr eraill sy'n cymryd rhan yn yr astudiaeth: CloudFlare, Amazon CloudFront, EdgeCast, Fastly a SoftLayer.
Yn ystod yr arbrofion, darganfu'r ymchwilwyr gyfeiriadau gweinyddwyr ymyl Akamai o fewn y wlad, ac yna ceisio cael cynnwys a ganiateir wedi'i storio trwyddynt. Nid oedd yn bosibl cyrchu cynnwys gwaharddedig (dychwelwyd gwall gwaharddedig HTTP 403) - mae'n debyg bod y cwmni'n hunan-sensro er mwyn cynnal y gallu i weithredu yn y wlad. Ar yr un pryd, roedd mynediad at yr adnoddau hyn yn parhau ar agor y tu allan i'r wlad.
Nid yw ISPs heb seilwaith yn Tsieina yn hunan-sensro defnyddwyr lleol.
Yn achos darparwyr eraill, y dull blocio a ddefnyddiwyd amlaf oedd hidlo DNS - mae ceisiadau i safleoedd sydd wedi'u blocio yn cael eu datrys i gyfeiriadau IP anghywir. Ar yr un pryd, nid yw'r wal dân yn rhwystro'r gweinyddwyr ymyl CDN eu hunain, gan eu bod yn storio gwybodaeth waharddedig a gwybodaeth a ganiateir.
Ac os, yn achos traffig heb ei amgryptio, mae gan yr awdurdodau'r gallu i rwystro tudalennau unigol o wefannau gan ddefnyddio DPI, yna wrth ddefnyddio HTTPS gallant wrthod mynediad i'r parth cyfan yn unig. Mae hyn hefyd yn arwain at rwystro cynnwys a ganiateir.
Yn ogystal, mae gan Tsieina ei darparwyr CDN ei hun, gan gynnwys rhwydweithiau fel ChinaCache, ChinaNetCenter a CDNetworks. Mae'r holl gwmnïau hyn yn cydymffurfio'n llawn â chyfreithiau'r wlad ac yn rhwystro cynnwys gwaharddedig.
CacheBrowser: Offeryn ffordd osgoi CDN
Fel y dangosodd y dadansoddiad, mae'n eithaf anodd i sensoriaid rwystro cynnwys CDN. Felly, penderfynodd yr ymchwilwyr fynd ymhellach a datblygu offeryn ffordd osgoi bloc ar-lein nad yw'n defnyddio technoleg ddirprwy.
Syniad sylfaenol yr offeryn yw bod yn rhaid i sensoriaid ymyrryd â'r DNS i rwystro CDNs, ond nid oes rhaid i chi ddefnyddio datrysiad enw parth i lawrlwytho cynnwys CDN. Felly, gall y defnyddiwr gael y cynnwys sydd ei angen arno trwy gysylltu'n uniongyrchol â'r gweinydd ymyl, lle mae eisoes wedi'i storio.
Mae'r diagram isod yn dangos cynllun y system.
Mae meddalwedd cleient wedi'i osod ar gyfrifiadur y defnyddiwr, a defnyddir porwr rheolaidd i gael mynediad i'r cynnwys.
Pan ofynnwyd am URL neu ddarn o gynnwys eisoes, mae'r porwr yn gwneud cais i'r system DNS leol (LocalDNS) i gael y cyfeiriad IP gwesteiwr. Dim ond ar gyfer parthau nad ydynt eisoes yng nghronfa ddata LocalDNS y cwestiynir DNS rheolaidd. Mae'r modiwl Scraper yn mynd trwy'r URLau y gofynnwyd amdanynt yn barhaus ac yn chwilio'r rhestr am enwau parth a allai fod wedi'u blocio. Yna mae Scraper yn galw'r modiwl Resolver i ddatrys y parthau sydd newydd eu darganfod sydd wedi'u blocio, mae'r modiwl hwn yn cyflawni'r dasg ac yn ychwanegu cofnod at LocalDNS. Yna caiff storfa DNS y porwr ei glirio i ddileu cofnodion DNS presennol ar gyfer y parth sydd wedi'i rwystro.
Os na all modiwl Resolver ddarganfod pa ddarparwr CDN y mae'r parth yn perthyn iddo, bydd yn gofyn i'r modiwl Bootstrapper am help.
Sut mae'n gweithio'n ymarferol
Gweithredwyd meddalwedd cleient y cynnyrch ar gyfer Linux, ond gellir ei gludo'n hawdd hefyd ar gyfer Windows. Defnyddir Mozilla yn rheolaidd fel porwr
Firefox. Ysgrifennir y modiwlau Scraper a Resolver yn Python, ac mae'r cronfeydd data Cwsmer-i-CDN a CDN-toIP yn cael eu storio mewn ffeiliau .txt. Cronfa ddata LocalDNS yw'r ffeil rheolaidd /etc/hosts yn Linux.
O ganlyniad, ar gyfer URL blocio fel Bydd y sgript yn cael cyfeiriad IP y gweinydd ymyl o'r ffeil /etc/hosts ac yn anfon cais HTTP GET i gyrchu BlockedURL.html gyda'r meysydd pennawd Host HTTP:
blocked.com/ and User-Agent: Mozilla/5.0 (Windows
NT 5.1; rv:14.0) Gecko/20100101 Firefox/14.0.1Gweithredir y modiwl Bootstrapper gan ddefnyddio'r offeryn rhad ac am ddim digwebinterface.com. Ni ellir rhwystro'r datrysiad DNS hwn ac mae'n ateb ymholiadau DNS ar ran gweinyddwyr DNS lluosog a ddosberthir yn ddaearyddol mewn gwahanol ranbarthau rhwydwaith.
Gan ddefnyddio'r offeryn hwn, llwyddodd yr ymchwilwyr i gael mynediad at Facebook o'u nod Tsieineaidd, er bod y rhwydwaith cymdeithasol wedi'i rwystro ers amser maith yn Tsieina.
Casgliad
Dangosodd yr arbrawf y gellir defnyddio'r problemau y mae sensoriaid yn eu profi wrth geisio rhwystro cynnwys CDN i greu system osgoi blociau. Mae'r offeryn hwn yn caniatáu ichi osgoi blociau hyd yn oed yn Tsieina, sydd ag un o'r systemau sensoriaeth ar-lein mwyaf pwerus.
Erthyglau eraill ar y pwnc o ddefnydd ar gyfer busnes:
Ffynhonnell: hab.com