Billede:
I dag distribueres en betydelig del af alt indhold på internettet ved hjælp af CDN-netværk. Samtidig forskning i, hvordan forskellige censorer udvider deres indflydelse over sådanne netværk. Forskere fra University of Massachusetts mulige metoder til at blokere CDN-indhold ved at bruge eksemplet med de kinesiske myndigheders praksis, og også udviklet et værktøj til at omgå en sådan blokering.
Vi har udarbejdet et reviewmateriale med de vigtigste konklusioner og resultater af dette eksperiment.
Indledning
Censur er en global trussel mod ytringsfriheden på internettet og fri adgang til information. Dette er stort set muligt på grund af det faktum, at internettet lånte "end-to-end-kommunikation"-modellen fra telefonnetværk i 70'erne i forrige århundrede. Dette giver dig mulighed for at blokere adgang til indhold eller brugerkommunikation uden betydelig indsats eller omkostninger, blot baseret på IP-adresse. Der er flere metoder her, fra at blokere selve adressen med forbudt indhold til at blokere brugernes evne til selv at genkende den ved hjælp af DNS-manipulation.
Udviklingen af internettet har dog også ført til fremkomsten af nye måder at formidle information på. En af dem er brugen af cachelagret indhold til at forbedre ydeevnen og fremskynde kommunikationen. I dag behandler CDN-udbydere en betydelig mængde af al trafik i verden - Akamai, førende i dette segment, tegner sig alene for op til 30% af den globale statiske webtrafik.
Et CDN-netværk er et distribueret system til levering af internetindhold med maksimal hastighed. Et typisk CDN-netværk består af servere på forskellige geografiske steder, som cacher indhold for at vise det til brugere, der er tættest på den pågældende server. Dette giver dig mulighed for at øge hastigheden på online kommunikation markant.
Ud over at forbedre oplevelsen for slutbrugere hjælper CDN-hosting indholdsskabere med at skalere deres projekter ved at reducere belastningen på deres infrastruktur.
Censurering af CDN-indhold
På trods af at CDN-trafik allerede udgør en betydelig del af al information, der transmitteres over internettet, er der stadig næsten ingen forskning i, hvordan censorer i den virkelige verden griber dets kontrol an.
Undersøgelsens forfattere begyndte med at udforske censurteknikker, der kan anvendes på CDN'er. Derefter studerede de de faktiske mekanismer, som de kinesiske myndigheder brugte.
Lad os først tale om mulige censureringsmetoder og muligheden for at bruge dem til at kontrollere CDN.
IP-filtrering
Dette er den enkleste og billigste teknik til at censurere internettet. Ved at bruge denne tilgang identificerer og sortlister censor IP-adresserne på ressourcer, der hoster forbudt indhold. Så holder de kontrollerede internetudbydere op med at levere pakker sendt til sådanne adresser.
IP-baseret blokering er en af de mest almindelige metoder til at censurere internettet. De fleste kommercielle netværksenheder er udstyret med funktioner til at implementere en sådan blokering uden betydelig beregningsindsats.
Denne metode er dog ikke særlig velegnet til at blokere CDN-trafik på grund af nogle egenskaber ved selve teknologien:
- Distribueret cachelagring – for at sikre den bedste tilgængelighed af indhold og optimere ydeevnen, cacher CDN-netværk brugerindhold på et stort antal edge-servere placeret på geografisk fordelte lokationer. For at filtrere sådant indhold baseret på IP, skal censoren finde ud af adresserne på alle edge-servere og sortliste dem. Dette vil underminere metodens hovedegenskaber, fordi dens største fordel er, at blokering af en server i den sædvanlige ordning giver dig mulighed for at "afskære" adgang til forbudt indhold for et stort antal mennesker på én gang.
- Delte IP'er – kommercielle CDN-udbydere deler deres infrastruktur (dvs. edge-servere, kortlægningssystem osv.) mellem mange klienter. Som følge heraf indlæses forbudt CDN-indhold fra de samme IP-adresser som ikke-forbudt indhold. Som et resultat vil ethvert forsøg på IP-filtrering resultere i, at et stort antal websteder og indhold, der ikke er af interesse for censorer, bliver blokeret.
- Meget dynamisk IP-tildeling – for at optimere load balancing og forbedre servicekvaliteten udføres kortlægning af kantservere og slutbrugere meget hurtigt og dynamisk. For eksempel opdaterer Akamai returnerede IP-adresser hvert minut. Dette vil gøre det næsten umuligt for adresser at blive forbundet med forbudt indhold.
DNS-interferens
Udover IP-filtrering er en anden populær censurmetode DNS-interferens. Denne tilgang involverer handlinger fra censorer, der har til formål at forhindre brugere i at genkende IP-adresserne på ressourcer med forbudt indhold. Det vil sige, at indgrebet sker på domænenavnsopløsningsniveau. Der er flere måder at gøre dette på, herunder kapring af DNS-forbindelser, brug af DNS-forgiftningsteknikker og blokering af DNS-anmodninger til forbudte websteder.
Dette er en meget effektiv blokeringsmetode, men den kan omgås, hvis du bruger ikke-standardiserede DNS-opløsningsmetoder, for eksempel out-of-band-kanaler. Derfor kombinerer censorer normalt DNS-blokering med IP-filtrering. Men som nævnt ovenfor er IP-filtrering ikke effektiv til at censurere CDN-indhold.
URL/søgeordsfiltrering ved hjælp af DPI
Moderne netværksaktivitetsovervågningsudstyr kan bruges til at analysere specifikke URL'er og nøgleord i transmitterede datapakker. Denne teknologi kaldes DPI (deep packet inspection). Sådanne systemer finder omtaler af forbudte ord og ressourcer, hvorefter de forstyrrer online kommunikation. Som et resultat bliver pakkerne simpelthen droppet.
Denne metode er effektiv, men mere kompleks og ressourcekrævende, fordi den kræver defragmentering af alle datapakker, der sendes inden for bestemte strømme.
CDN-indhold kan beskyttes mod sådan filtrering på samme måde som "almindeligt" indhold - i begge tilfælde hjælper brugen af kryptering (dvs. HTTPS).
Ud over at bruge DPI til at finde søgeord eller URL'er for forbudte ressourcer, kan disse værktøjer bruges til mere avanceret analyse. Disse metoder omfatter statistisk analyse af online/offline trafik og analyse af identifikationsprotokoller. Disse metoder er ekstremt ressourcekrævende, og i øjeblikket er der simpelthen ingen beviser for, at de er blevet brugt af censorer i et tilstrækkeligt seriøst omfang.
Selvcensur af CDN-udbydere
Hvis censoren er staten, så har den alle muligheder for at forbyde de CDN-udbydere at operere i landet, som ikke overholder lokale love, der regulerer adgang til indhold. Selvcensur kan ikke modstås på nogen måde - derfor, hvis en CDN-udbydervirksomhed er interesseret i at operere i et bestemt land, vil den være tvunget til at overholde lokale love, selvom de begrænser ytringsfriheden.
Hvordan Kina censurerer CDN-indhold
Den store firewall i Kina anses med rette for at være det mest effektive og avancerede system til at sikre internetcensur.
Forskningsmetode
Forskere udførte eksperimenter ved hjælp af en Linux-knude placeret inde i Kina. De havde også adgang til flere computere uden for landet. Først tjekkede forskerne, at noden var genstand for censur svarende til den, der blev anvendt på andre kinesiske brugere - for at gøre dette forsøgte de at åbne forskellige forbudte websteder fra denne maskine. Så tilstedeværelsen af det samme niveau af censur blev bekræftet.
Listen over websteder, der er blokeret i Kina, der bruger CDN'er, er taget fra GreatFire.org. Metoden til blokering i hvert tilfælde blev derefter analyseret.
Ifølge offentlige data er Akamai den eneste større spiller på CDN-markedet med egen infrastruktur i Kina. Andre udbydere, der deltager i undersøgelsen: CloudFlare, Amazon CloudFront, EdgeCast, Fastly og SoftLayer.
Under eksperimenterne fandt forskerne ud af adresserne på Akamai edge-servere i landet og forsøgte derefter at få cachelagret tilladt indhold gennem dem. Det var ikke muligt at få adgang til forbudt indhold (HTTP 403 Forbidden fejl blev returneret) - tilsyneladende selvcensurerer virksomheden for at bevare muligheden for at operere i landet. Samtidig forblev adgangen til disse ressourcer åben uden for landet.
Internetudbydere uden infrastruktur i Kina selvcensurerer ikke lokale brugere.
I tilfælde af andre udbydere var den mest brugte blokeringsmetode DNS-filtrering - anmodninger til blokerede websteder løses til forkerte IP-adresser. Samtidig blokerer firewallen ikke selve CDN edge-serverne, da de gemmer både forbudt og tilladt information.
Og hvis myndighederne i tilfælde af ukrypteret trafik har mulighed for at blokere individuelle sider på websteder ved hjælp af DPI, så kan de, når de bruger HTTPS, kun nægte adgang til hele domænet som helhed. Dette fører også til blokering af tilladt indhold.
Derudover har Kina sine egne CDN-udbydere, herunder netværk som ChinaCache, ChinaNetCenter og CDNetworks. Alle disse virksomheder overholder fuldt ud landets love og blokerer forbudt indhold.
CacheBrowser: CDN bypass-værktøj
Som analysen viste, er det ret svært for censorer at blokere CDN-indhold. Derfor besluttede forskerne at gå videre og udvikle et online block bypass-værktøj, der ikke bruger proxy-teknologi.
Den grundlæggende idé med værktøjet er, at censorer skal blande sig i DNS'en for at blokere CDN'er, men du behøver faktisk ikke bruge domænenavnsopløsning for at downloade CDN-indhold. Således kan brugeren få det indhold, han har brug for, ved direkte at kontakte edge-serveren, hvor det allerede er cachet.
Nedenstående diagram viser systemdesignet.
Klientsoftware er installeret på brugerens computer, og en almindelig browser bruges til at få adgang til indholdet.
Når en URL eller et stykke indhold allerede er blevet anmodet om, sender browseren en anmodning til det lokale DNS-system (LocalDNS) om at få hosting-IP-adressen. Almindelig DNS forespørges kun for domæner, der ikke allerede er i LocalDNS-databasen. Scraper-modulet gennemgår løbende de anmodede URL'er og søger på listen efter potentielt blokerede domænenavne. Scraper kalder derefter Resolver-modulet for at løse de nyligt opdagede blokerede domæner, dette modul udfører opgaven og tilføjer en post til LocalDNS. Browserens DNS-cache ryddes derefter for at fjerne eksisterende DNS-poster for det blokerede domæne.
Hvis Resolver-modulet ikke kan finde ud af, hvilken CDN-udbyder domænet tilhører, vil det bede Bootstrapper-modulet om hjælp.
Hvordan fungerer det i praksis
Produktets klientsoftware blev implementeret til Linux, men det kan nemt porteres også til Windows. Almindelig Mozilla bruges som browser
Firefox. Scraper- og Resolver-modulerne er skrevet i Python, og Customer-to-CDN- og CDN-toIP-databaserne er gemt i .txt-filer. LocalDNS-databasen er den almindelige /etc/hosts-fil i Linux.
Som et resultat, for en blokeret URL som Scriptet henter edge-serverens IP-adresse fra filen /etc/hosts og sender en HTTP GET-anmodning for at få adgang til BlockedURL.html med Host HTTP-headerfelterne:
blocked.com/ and User-Agent: Mozilla/5.0 (Windows
NT 5.1; rv:14.0) Gecko/20100101 Firefox/14.0.1Bootstrapper-modulet implementeres ved hjælp af det gratis værktøj digwebinterface.com. Denne DNS-resolver kan ikke blokeres og besvarer DNS-forespørgsler på vegne af flere geografisk distribuerede DNS-servere i forskellige netværksregioner.
Ved hjælp af dette værktøj lykkedes det forskerne at få adgang til Facebook fra deres kinesiske knude, selvom det sociale netværk længe har været blokeret i Kina.
Konklusion
Eksperimentet viste, at udnyttelse af de problemer, som censorer oplever, når de forsøger at blokere CDN-indhold, kan bruges til at skabe et system til at omgå blokeringer. Dette værktøj giver dig mulighed for at omgå blokeringer selv i Kina, som har et af de mest kraftfulde online censursystemer.
Andre artikler om emnet brug for erhvervslivet:
Kilde: www.habr.com