CacheBrowser-Experiment: Umgehung der chinesischen Firewall ohne Proxy durch Content-Caching

CacheBrowser-Experiment: Umgehung der chinesischen Firewall ohne Proxy durch Content-Caching

Bild: Unsplash

Heute wird ein erheblicher Teil aller Inhalte im Internet über CDN-Netzwerke verteilt. Dabei gibt es Untersuchungen, wie verschiedene Zensoren ihren Einfluss auf solche Netzwerke ausüben. Wissenschaftler der Universität Massachusetts analysierten untersuchen mögliche Methoden zur Blockierung von CDN-Inhalten am Beispiel der Praktiken der chinesischen Behörden und haben ein Werkzeug entwickelt, um solche Blockaden zu umgehen.

Wir haben ein umfassendes Material mit den wichtigsten Erkenntnissen und Ergebnissen dieses Experiments vorbereitet.

Einführung

Zensur stellt eine globale Bedrohung für die Meinungsfreiheit im Internet und den freien Zugang zu Informationen dar. Dies ist zum Teil möglich, weil das Internet das Modell der "End-to-End-Kommunikation" aus den Telefonsystemen der 70er Jahre des letzten Jahrhunderts übernommen hat. Es ermöglicht, den Zugang zu Inhalten oder die Kommunikation von Nutzern ohne großen Aufwand oder Kosten einfach basierend auf der IP-Adresse zu blockieren. Hier gibt es mehrere Methoden, von der Blockierung der Adresse mit verbotenen Inhalten bis hin zur Verhinderung, dass Nutzer überhaupt davon erfahren, durch Manipulation mit DNS.

Die Entwicklung des Internets hat jedoch auch neue Möglichkeiten zur Verbreitung von Informationen hervorgebracht. Eine dieser Möglichkeiten ist die Nutzung von gecachetem Inhalt zur Leistungsverbesserung und zur Beschleunigung von Kommunikationsprozessen. Heute verarbeiten CDN-Anbieter einen erheblichen Anteil des weltweiten Traffics – allein bei dem führenden Anbieter in diesem Bereich, Akamai, entfallen bis zu 30 % des gesamten globalen statischen Webtraffics.

Ein CDN-Netzwerk ist ein verteiltes System zur Lieferung von Internetinhalten mit maximaler Geschwindigkeit. Ein typisches CDN-Netzwerk besteht aus Servern an verschiedenen geografischen Standorten, die Inhalte cachen, um sie den Nutzern, die sich am nächsten zu diesem Server befinden, bereitzustellen. Dies ermöglicht eine signifikante Steigerung der Geschwindigkeit der Online-Kommunikation.

Neben der Verbesserung der Servicequalität für die Endnutzer hilft CDN-Hosting den Content-Erstellern, ihre Projekte zu skalieren und die Belastung der Infrastruktur zu reduzieren.

Zensurierung von CDN-Inhalten

Obwohl der CDN-Verkehr bereits einen erheblichen Anteil an allen über das Internet übertragenen Informationen ausmacht, gibt es immer noch kaum Forschung dazu, wie Zensoren in der realen Welt mit dessen Kontrolle umgehen.

Die Autoren der Studie begannen mit der Untersuchung von Zensurtechniken, die auf CDNs angewendet werden können. Anschließend analysierten sie die tatsächlichen Mechanismen, die von den Behörden in China verwendet werden.

Lassen Sie uns zunächst über mögliche Zensurmöglichkeiten und deren Anwendung zur Kontrolle von CDNs sprechen.

IP-Filterung

Dies ist die einfachste und kostengünstigste Technik der Internetzensur. Bei diesem Ansatz bestimmt der Zensor IP-Adressen von Ressourcen, die verbotene Inhalte hosten, und setzt diese auf die schwarze Liste. Anschließend stellen die kontrollierten Internetprovider die Zustellung von Paketen an solche Adressen ein.

Die IP-basierte Blockade ist eine der am weitesten verbreiteten Methoden zur Internetzensur. Die meisten kommerziellen Netzwerkgeräte sind mit Funktionen ausgestattet, um solche Blockaden ohne nennenswerte Rechenkosten durchzuführen.

Dieser Ansatz eignet sich jedoch nicht besonders gut zur Blockierung von CDN-Traffic aufgrund bestimmter Eigenschaften der Technologie selbst:

  • Verteiltes Caching – um die beste Verfügbarkeit von Inhalten und eine Optimierung der Leistung zu gewährleisten, cachen CDN-Netzwerke Benutzerdaten auf einer großen Anzahl von Edge-Servern, die geografisch verteilt sind. Um solche Inhalte auf Basis von IP zu filtern, müsste der Zensor die Adressen aller Edge-Server kennen und auf die schwarze Liste setzen. Dies würde die Hauptvorteile dieser Methode untergraben, denn der große Pluspunkt liegt darin, dass die Blockierung eines einzelnen Servers den Zugriff auf verbotene Inhalte sofort für viele Menschen einschränkt.
  • Geteilte IPs – kommerzielle CDN-Anbieter teilen ihre Infrastruktur (also Edge-Server, Mapping-System usw.) zwischen vielen Kunden. Dadurch wird verbotener CDN-Inhalt von denselben IP-Adressen geladen wie nicht verbotener Inhalt. Jede Versuche der IP-Filterung würde dazu führen, dass auch eine enorme Anzahl von Websites und Inhalten, die für die Zensoren nicht von Interesse sind, blockiert wird.
  • Hochdynamische IP-Zuweisung – zur Optimierung der Lastenverteilung und Verbesserung der Servicequalität erfolgt das Mapping von Edge-Servern und Endnutzern äußerst schnell und dynamisch. Beispielsweise aktualisiert Akamai die zurückgegebenen IP-Adressen jede Minute. Dies erschwert die Zuordnung von Adressen zu verbotenen Inhalten erheblich.

DNS-Interferenz

Neben der IP-Filterung ist ein weiterer gängiger Zensuransatz die DNS-Interferenz. Diese Methode beinhaltet Maßnahmen der Zensoren, um sicherzustellen, dass die Nutzer die IP-Adressen von Ressourcen mit verbotenen Inhalten gar nicht erfahren. Das Eingreifen erfolgt also auf der Ebene der Namensauflösung. Dabei gibt es mehrere Möglichkeiten, einschließlich des Abfangens von DNS-Verbindungen, der Verwendung von DNS-Poisoning-Techniken und der Blockierung von DNS-Anfragen zu verbotenen Webseiten.

Dies ist eine sehr effektive Methode zur Blockierung, kann jedoch umgangen werden, wenn nicht standardisierte DNS-Resolver verwendet werden, wie z. B. Out-of-Band-Kanäle. Daher kombinieren Zensoren in der Regel DNS-Blockaden mit IP-Filterung. Doch, wie bereits erwähnt, ist die IP-Filterung nicht effektiv für die Zensur von CDN-Inhalten.

URL-/Schlüsselwortfilterung durch DPI

Moderne Geräte zur Überwachung von Netzwerkaktivitäten können verwendet werden, um spezifische URLs und Schlüsselwörter in übertragenden Datenpaketen zu analysieren. Diese Technologie wird als DPI (Deep Packet Inspection) bezeichnet. Solche Systeme erkennen Erwähnungen verbotener Wörter und Ressourcen, woraufhin Eingriffe in die Online-Kommunikation erfolgen. Letztendlich werden die Pakete einfach verworfen.

Diese Methode ist effektiv, jedoch komplexer und ressourcenintensiver, da sie die Defragmentierung aller Datenpakete erfordert, die innerhalb bestimmter Ströme gesendet werden.

CDN-Inhalte können vor einer solchen Filterung genauso geschützt werden wie "gewöhnliche" Inhalte – in beiden Fällen hilft der Einsatz von Verschlüsselung (d. h. HTTPS).

Neben der Verwendung von DPI zur Suche nach Schlüsselwörtern oder URLs von gesperrten Ressourcen können diese Werkzeuge auch für eine fortgeschrittene Analyse eingesetzt werden. Dazu gehören die statistische Analyse von Online-/Offline-Traffic und die Analyse von Identifikationsprotokollen. Diese Methoden sind äußerst ressourcenintensiv, und derzeit gibt es einfach nicht genügend Beweise für ihre Verwendung durch Zensoren in nennenswertem Umfang.

Selbstzensur bei CDN-Anbietern

Wenn der Zensor der Staat ist, hat er alle Möglichkeiten, die Tätigkeit von CDN-Anbietern zu verbieten, die sich nicht an die lokalen Gesetze zur Regulierung des Zugangs zu Inhalten halten. Gegen Selbstzensur kann man nichts unternehmen – deshalb wird ein CDN-Anbieter, der an der Arbeit in einem bestimmten Land interessiert ist, gezwungen sein, die lokalen Gesetze einzuhalten, auch wenn diese die Meinungsfreiheit einschränken.

Wie China CDN-Inhalte zensiert

Die Große Firewall von China gilt nicht zu Unrecht als das effektivste und fortschrittlichste System zur Gewährleistung der Internetzensur.

Forschungsmethodologie

Wissenschaftler führten Experimente mithilfe eines Linux-Knotens durch, der sich in China befindet. Sie hatten auch Zugang zu mehreren Computern außerhalb des Landes. Zuerst überprüften die Forscher, welche Inhalte von diesem Knoten zensiert wurden, ähnlich wie es bei anderen chinesischen Nutzern der Fall ist – dazu versuchten sie, verschiedene gesperrte Websites von diesem Gerät aus zu öffnen. Dadurch wurde bestätigt, dass das gleiche Zensurniveau vorhanden ist.

Die Liste der in China gesperrten Websites, die CDN verwenden, wurde von der Website GreatFire.org entnommen. Anschließend wurde die Art der Blockierung in jedem Fall analysiert.

Laut offenen Daten ist Akamai der einzige große Anbieter auf dem CDN-Markt mit einer eigenen Infrastruktur in China. Andere Anbieter, die an der Untersuchung beteiligt waren, sind: CloudFlare, Amazon CloudFront, EdgeCast, Fastly und SoftLayer.

Im Rahmen von Experimenten haben Forscher die Adressen der Akamai-Edge-Server im Land ermittelt und anschließend versucht, über diese gecachten, zulässigen Inhalt abzurufen. Der Zugang zu gesperrten Inhalten war nicht möglich (es wurde ein HTTP-Fehler 403 Forbidden angezeigt) – offensichtlich übt das Unternehmen Selbstzensur aus, um die Möglichkeit zu erhalten, im Land zu operieren. Außerhalb des Landes blieb der Zugang zu diesen Ressourcen jedoch offen.

Anbieter ohne Infrastruktur in China üben keine Selbstzensur für lokale Nutzer aus.

Bei den übrigen Anbietern war die am häufigsten angewandte Methode zur Blockierung die DNS-Filterung – Anfragen an gesperrte Websites werden auf falsche IP-Adressen aufgelöst. Der Firewall blockiert dabei nicht die Edge-Server des CDN selbst, da diese sowohl verbotene als auch erlaubte Informationen speichern.

Und während die Behörden bei unverschlüsseltem Verkehr in der Lage sind, einzelne Seiten von Websites mithilfe von DPI zu blockieren, können sie bei Verwendung von HTTPS nur den Zugang zur gesamten Domain im Allgemeinen verweigern. Dies führt unter anderem auch zur Blockierung von zulässigem Inhalt.

In China gibt es auch eigene CDN-Anbieter, darunter Netzwerke wie ChinaCache, ChinaNetCenter und CDNetworks. Alle diese Unternehmen befolgen strikt die Gesetze des Landes und blockieren unerlaubte Inhalte.

CacheBrowser: ein Tool zum Umgehen von Blockaden mit Hilfe von CDN

Analysen zeigen, dass es für Zensoren ziemlich schwierig ist, CDN-Inhalte zu blockieren. Daher haben die Forscher beschlossen, einen Ansatz zu entwickeln und ein Tool zu schaffen, das Online-Blockaden umgeht, ohne Proxy-Technologie zu verwenden.

Die Hauptidee des Tools besteht darin, dass Zensoren, um CDN-Inhalte zu blockieren, in die DNS-Funktionalität eingreifen müssen. Für die Bereitstellung von CDN-Inhalten ist jedoch keine Namensauflösung erforderlich. So kann der Nutzer auf die benötigten Inhalte zugreifen, indem er direkt den Edge-Server kontaktiert, auf dem sie bereits zwischengespeichert sind.

Im folgenden Diagramm ist das Systemdesign dargestellt.

CacheBrowser-Experiment: Umgehung der chinesischen Firewall ohne Proxy durch Content-Caching

Auf dem Computer des Nutzers wird eine Client-Software installiert, und für den Zugriff auf die Inhalte wird ein herkömmlicher Browser verwendet.

Wenn eine URL oder ein Teil eines bereits angeforderten Inhalts angefragt wird, sendet der Browser eine Anfrage an das lokale DNS-System (LocalDNS), um die IP-Adresse des Hostings abzurufen. Das gewöhnliche DNS wird nur für Domains abgefragt, die noch nicht im LocalDNS vorhanden sind. Das Scraper-Modul durchläuft kontinuierlich die angeforderten URLs und sucht in der Liste nach potenziell blockierten Domainnamen. Anschließend kontaktiert der Scraper das Resolver-Modul, um neu entdeckte blockierte Domains aufzulösen; dieses Modul erfüllt die Aufgabe und fügt den Eintrag in LocalDNS hinzu. Danach wird der DNS-Cache des Browsers geleert, um bestehende DNS-Einträge für die blockierte Domain zu entfernen.

Wenn das Resolver-Modul nicht verstehen kann, zu welchem CDN-Anbieter die Domain gehört, bittet es das Bootstrapper-Modul um Hilfe.

Wie es in der Praxis funktioniert

Die Client-Software des Produkts wurde für Linux entwickelt, lässt sich aber auch problemlos auf Windows portieren. Als Browser wird der gängige Mozilla
Firefox verwendet. Die Module Scraper und Resolver sind in Python geschrieben, und die Datenbanken Customer-to-CDN und CDN-to-IP werden in .txt-Dateien gespeichert. Die Datenbank LocalDNS fungiert als gewöhnliche Datei /etc/hosts in Linux.

Insgesamt für die blockierte URL vom Typ blocked.com Das Skript erhält die IP-Adresse des Edge-Servers aus der Datei /etc/hosts und sendet eine HTTP-GET-Anfrage, um auf BlockedURL.html mit den HTTP-Headerfeldern Host: zuzugreifen.

blocked.com/ und User-Agent: Mozilla/5.0 (Windows NT 5.1; rv:14.0) Gecko/20100101 Firefox/14.0.1

Das Bootstrapper-Modul wurde mit dem kostenlosen Tool digwebinterface.com implementiert. Dieser DNS-Resolver kann nicht blockiert werden und beantwortet DNS-Anfragen im Namen von vielen geografisch verteilten DNS-Servern in verschiedenen Netzwerkregionen.

Mit diesem Tool gelang es Forschern, von ihrem chinesischen Knotenpunkt auf Facebook zuzugreifen – obwohl das soziale Netzwerk seit langem in China blockiert ist.

CacheBrowser-Experiment: Umgehung der chinesischen Firewall ohne Proxy durch Content-Caching

Fazit

Das Experiment zeigte, dass die Probleme, die Zensoren beim Versuch, CDN-Inhalte zu blockieren, erfahren, zur Schaffung eines Umgehungsmechanismus genutzt werden können. Ein solches Tool ermöglicht es, Blockaden selbst in China zu umgehen, wo eines der stärksten Online-Zensursysteme besteht.

Weitere Artikel zum Thema Nutzung von residential Proxys für Unternehmen:

Quelle: habr.com

Kaufen Sie zuverlässiges Hosting für Websites mit DDoS-Schutz, VPS VDS-Server 🔥 Kaufen Sie zuverlässiges Hosting für Websites mit DDoS-Schutz, VPS VDS-Server | ProHoster