CacheBrowser-Experiment: Umgehen der chinesischen Firewall ohne Proxy mithilfe von Inhaltscaching

Bild: Unsplash

Heutzutage wird ein erheblicher Teil aller Inhalte im Internet über CDN-Netzwerke verbreitet. Gleichzeitig wird untersucht, wie verschiedene Zensoren ihren Einfluss auf solche Netzwerke ausweiten. Wissenschaftler der University of Massachusetts analysiert Wir haben mögliche Methoden zur Blockierung von CDN-Inhalten am Beispiel der Praktiken der chinesischen Behörden untersucht und außerdem ein Tool zur Umgehung einer solchen Blockierung entwickelt.

Wir haben ein Übersichtsmaterial mit den wichtigsten Schlussfolgerungen und Ergebnissen dieses Experiments vorbereitet.

Einführung

Zensur ist eine globale Bedrohung für die Meinungsfreiheit im Internet und den freien Zugang zu Informationen. Dies ist vor allem dadurch möglich, dass das Internet das Modell der „End-to-End-Kommunikation“ von Telefonnetzen der 70er Jahre des letzten Jahrhunderts übernommen hat. Dadurch können Sie den Zugriff auf Inhalte oder Benutzerkommunikation ohne großen Aufwand oder Kosten einfach auf der Grundlage der IP-Adresse blockieren. Hier gibt es mehrere Methoden, von der Blockierung der Adresse selbst mit verbotenen Inhalten bis hin zur Blockierung der Fähigkeit von Benutzern, sie überhaupt durch DNS-Manipulation zu erkennen.

Die Entwicklung des Internets hat jedoch auch zur Entstehung neuer Wege der Informationsverbreitung geführt. Eine davon ist die Verwendung zwischengespeicherter Inhalte zur Verbesserung der Leistung und Beschleunigung der Kommunikation. Heutzutage verarbeiten CDN-Anbieter einen erheblichen Teil des gesamten Datenverkehrs weltweit – Akamai, der Marktführer in diesem Segment, ist allein für bis zu 30 % des weltweiten statischen Webdatenverkehrs verantwortlich.

Ein CDN-Netzwerk ist ein verteiltes System zur Bereitstellung von Internetinhalten mit maximaler Geschwindigkeit. Ein typisches CDN-Netzwerk besteht aus Servern an verschiedenen geografischen Standorten, die Inhalte zwischenspeichern, um sie Benutzern bereitzustellen, die diesem Server am nächsten sind. Dadurch können Sie die Geschwindigkeit der Online-Kommunikation deutlich steigern.

CDN-Hosting verbessert nicht nur das Erlebnis für Endbenutzer, sondern hilft auch Content-Erstellern, ihre Projekte zu skalieren, indem es die Belastung ihrer Infrastruktur reduziert.

Zensur von CDN-Inhalten

Obwohl der CDN-Verkehr bereits einen erheblichen Teil aller über das Internet übertragenen Informationen ausmacht, gibt es noch fast keine Untersuchungen darüber, wie Zensoren in der realen Welt mit seiner Kontrolle umgehen.

Die Autoren der Studie untersuchten zunächst Zensurtechniken, die auf CDNs angewendet werden können. Anschließend untersuchten sie die tatsächlichen Mechanismen der chinesischen Behörden.

Lassen Sie uns zunächst über mögliche Zensurmethoden und die Möglichkeit sprechen, diese zur Kontrolle des CDN einzusetzen.

IP-Filterung

Dies ist die einfachste und kostengünstigste Technik zur Zensur des Internets. Mit diesem Ansatz identifiziert der Zensor die IP-Adressen von Ressourcen, die verbotene Inhalte hosten, und setzt sie auf die schwarze Liste. Dann stellen die kontrollierten Internetprovider die Zustellung von Paketen an solche Adressen ein.

IP-basierte Sperrung ist eine der häufigsten Methoden zur Zensur des Internets. Die meisten kommerziellen Netzwerkgeräte sind mit Funktionen ausgestattet, um eine solche Blockierung ohne nennenswerten Rechenaufwand umzusetzen.

Allerdings eignet sich diese Methode aufgrund einiger Eigenschaften der Technologie selbst nicht sehr gut zum Blockieren des CDN-Verkehrs:

• Verteiltes Caching – Um die beste Verfügbarkeit von Inhalten zu gewährleisten und die Leistung zu optimieren, speichern CDN-Netzwerke Benutzerinhalte auf einer großen Anzahl von Edge-Servern, die sich an geografisch verteilten Standorten befinden. Um solche Inhalte nach IP zu filtern, müsste der Zensor die Adressen aller Edge-Server herausfinden und sie auf die schwarze Liste setzen. Dadurch werden die Haupteigenschaften der Methode beeinträchtigt, da ihr Hauptvorteil darin besteht, dass Sie im üblichen Schema durch das Blockieren eines Servers den Zugriff auf verbotene Inhalte für eine große Anzahl von Personen gleichzeitig „sperren“ können.
• Geteilte IPs – Kommerzielle CDN-Anbieter teilen ihre Infrastruktur (d. h. Edge-Server, Mapping-System usw.) zwischen vielen Kunden. Dadurch werden gesperrte CDN-Inhalte von denselben IP-Adressen geladen wie nicht gesperrte Inhalte. Infolgedessen führt jeder Versuch einer IP-Filterung dazu, dass eine große Anzahl von Websites und Inhalten blockiert wird, die für Zensoren nicht von Interesse sind.
• Hochdynamische IP-Vergabe – Um den Lastausgleich zu optimieren und die Servicequalität zu verbessern, erfolgt die Zuordnung von Edge-Servern und Endbenutzern sehr schnell und dynamisch. Beispielsweise aktualisiert Akamai die zurückgegebenen IP-Adressen jede Minute. Dadurch wird es nahezu unmöglich, Adressen mit verbotenen Inhalten in Verbindung zu bringen.

DNS-Interferenz

Neben der IP-Filterung ist die DNS-Interferenz eine weitere beliebte Zensurmethode. Dieser Ansatz beinhaltet Maßnahmen der Zensoren, die darauf abzielen, Benutzer daran zu hindern, die IP-Adressen von Ressourcen mit verbotenen Inhalten zu erkennen. Das heißt, der Eingriff erfolgt auf der Ebene der Domänennamenauflösung. Hierzu gibt es mehrere Möglichkeiten, darunter das Kapern von DNS-Verbindungen, die Verwendung von DNS-Poisoning-Techniken und das Blockieren von DNS-Anfragen an verbotene Websites.

Dies ist eine sehr effektive Blockierungsmethode, die jedoch umgangen werden kann, wenn Sie nicht standardmäßige DNS-Auflösungsmethoden verwenden, beispielsweise Out-of-Band-Kanäle. Daher kombinieren Zensoren normalerweise DNS-Blockierung mit IP-Filterung. Aber wie oben erwähnt, ist die IP-Filterung bei der Zensur von CDN-Inhalten nicht effektiv.

Filtern Sie nach URL/Schlüsselwörtern mit DPI

Mit modernen Geräten zur Netzwerkaktivitätsüberwachung können bestimmte URLs und Schlüsselwörter in übertragenen Datenpaketen analysiert werden. Diese Technologie wird DPI (Deep Packet Inspection) genannt. Solche Systeme finden Erwähnungen verbotener Wörter und Ressourcen und beeinträchtigen anschließend die Online-Kommunikation. Dadurch werden die Pakete einfach verworfen.

Diese Methode ist effektiv, aber komplexer und ressourcenintensiver, da sie eine Defragmentierung aller innerhalb bestimmter Streams gesendeten Datenpakete erfordert.

CDN-Inhalte können vor einer solchen Filterung genauso geschützt werden wie „normale“ Inhalte – in beiden Fällen hilft der Einsatz von Verschlüsselung (also HTTPS).

Neben der Verwendung von DPI zum Auffinden von Schlüsselwörtern oder URLs gesperrter Ressourcen können diese Tools auch für erweiterte Analysen verwendet werden. Zu diesen Methoden gehören die statistische Analyse des Online-/Offline-Verkehrs und die Analyse von Identifikationsprotokollen. Diese Methoden sind äußerst ressourcenintensiv und es gibt derzeit einfach keine Beweise dafür, dass sie von Zensoren in einem ausreichend schwerwiegenden Ausmaß eingesetzt werden.

Selbstzensur von CDN-Anbietern

Wenn der Staat der Zensor ist, hat er alle Möglichkeiten, CDN-Anbietern den Betrieb im Land zu verbieten, die sich nicht an die örtlichen Gesetze zum Zugriff auf Inhalte halten. Der Selbstzensur kann man in keiner Weise widerstehen. Wenn also ein CDN-Anbieterunternehmen daran interessiert ist, in einem bestimmten Land tätig zu werden, ist es gezwungen, die örtlichen Gesetze einzuhalten, auch wenn diese die Meinungsfreiheit einschränken.

Wie China CDN-Inhalte zensiert

Die Great Firewall of China gilt zu Recht als das effektivste und fortschrittlichste System zur Gewährleistung der Internetzensur.

Forschungsmethodik

Wissenschaftler führten Experimente mit einem Linux-Knoten in China durch. Außerdem hatten sie Zugang zu mehreren Computern im Ausland. Zunächst überprüften die Forscher, ob der Knoten einer ähnlichen Zensur unterliegt wie andere chinesische Benutzer. Dazu versuchten sie, verschiedene verbotene Websites von diesem Computer aus zu öffnen. Somit wurde das Vorhandensein des gleichen Zensurniveaus bestätigt.

Die Liste der in China blockierten Websites, die CDNs verwenden, stammt von GreatFire.org. Anschließend wurde die jeweilige Blockiermethode analysiert.

Öffentlichen Daten zufolge ist Akamai der einzige große Player auf dem CDN-Markt mit eigener Infrastruktur in China. Weitere an der Studie teilnehmende Anbieter: CloudFlare, Amazon CloudFront, EdgeCast, Fastly und SoftLayer.

Während der Experimente fanden die Forscher die Adressen der Akamai-Edge-Server im Land heraus und versuchten dann, über diese zwischengespeicherte zulässige Inhalte abzurufen. Es war nicht möglich, auf verbotene Inhalte zuzugreifen (HTTP 403 Forbidden-Fehler wurde zurückgegeben) – offenbar führt das Unternehmen Selbstzensur durch, um die Geschäftsfähigkeit im Land aufrechtzuerhalten. Gleichzeitig blieb der Zugang zu diesen Ressourcen außerhalb des Landes offen.

ISPs ohne Infrastruktur in China zensieren lokale Benutzer nicht selbst.

Bei anderen Anbietern war die am häufigsten verwendete Blockierungsmethode die DNS-Filterung – Anfragen an blockierte Seiten werden auf falsche IP-Adressen aufgelöst. Gleichzeitig blockiert die Firewall nicht die CDN-Edge-Server selbst, da diese sowohl verbotene als auch erlaubte Informationen speichern.

Und wenn die Behörden bei unverschlüsseltem Datenverkehr die Möglichkeit haben, einzelne Seiten von Websites mithilfe von DPI zu blockieren, können sie bei Verwendung von HTTPS nur den Zugriff auf die gesamte Domain als Ganzes verweigern. Dies führt auch zur Sperrung erlaubter Inhalte.

Darüber hinaus verfügt China über eigene CDN-Anbieter, darunter Netzwerke wie ChinaCache, ChinaNetCenter und CDNetworks. Alle diese Unternehmen halten sich vollständig an die Gesetze des Landes und blockieren verbotene Inhalte.

CacheBrowser: CDN-Bypass-Tool

Wie die Analyse zeigte, ist es für Zensoren recht schwierig, CDN-Inhalte zu blockieren. Daher beschlossen die Forscher, einen Schritt weiter zu gehen und ein Online-Block-Bypass-Tool zu entwickeln, das keine Proxy-Technologie verwendet.

Die Grundidee des Tools besteht darin, dass Zensoren in das DNS eingreifen müssen, um CDNs zu blockieren, Sie jedoch nicht unbedingt die Auflösung von Domänennamen verwenden müssen, um CDN-Inhalte herunterzuladen. Somit kann der Benutzer die von ihm benötigten Inhalte erhalten, indem er sich direkt an den Edge-Server wendet, wo diese bereits zwischengespeichert sind.

Das folgende Diagramm zeigt den Systemaufbau.

Die Client-Software wird auf dem Computer des Benutzers installiert und für den Zugriff auf die Inhalte wird ein normaler Browser verwendet.

Wenn eine URL oder ein Inhalt bereits angefordert wurde, stellt der Browser eine Anfrage an das lokale DNS-System (LocalDNS), um die Host-IP-Adresse zu erhalten. Reguläres DNS wird nur für Domänen abgefragt, die noch nicht in der LocalDNS-Datenbank vorhanden sind. Das Scraper-Modul durchsucht kontinuierlich die angeforderten URLs und durchsucht die Liste nach potenziell blockierten Domänennamen. Scraper ruft dann das Resolver-Modul auf, um die neu entdeckten blockierten Domänen aufzulösen. Dieses Modul führt die Aufgabe aus und fügt einen Eintrag zu LocalDNS hinzu. Anschließend wird der DNS-Cache des Browsers geleert, um vorhandene DNS-Einträge für die blockierte Domäne zu entfernen.

Wenn das Resolver-Modul nicht herausfinden kann, zu welchem ​​CDN-Anbieter die Domain gehört, bittet es das Bootstrapper-Modul um Hilfe.

Wie es in der Praxis funktioniert

Die Client-Software des Produkts wurde für Linux implementiert, kann aber problemlos auch für Windows portiert werden. Als Browser kommt normales Mozilla zum Einsatz
Feuerfuchs. Die Scraper- und Resolver-Module sind in Python geschrieben und die Customer-to-CDN- und CDN-toIP-Datenbanken werden in TXT-Dateien gespeichert. Die LocalDNS-Datenbank ist die reguläre /etc/hosts-Datei unter Linux.

Als Ergebnis für eine blockierte URL wie blockiert.com Das Skript ruft die IP-Adresse des Edge-Servers aus der Datei /etc/hosts ab und sendet eine HTTP-GET-Anfrage, um auf BlockedURL.html mit den Host-HTTP-Headerfeldern zuzugreifen:

blocked.com/ and User-Agent: Mozilla/5.0 (Windows
NT 5.1; rv:14.0) Gecko/20100101 Firefox/14.0.1

Das Bootstrapper-Modul wird mit dem kostenlosen Tool digwebinterface.com implementiert. Dieser DNS-Resolver kann nicht blockiert werden und beantwortet DNS-Anfragen im Namen mehrerer geografisch verteilter DNS-Server in verschiedenen Netzwerkregionen.

Mit diesem Tool gelang es den Forschern, von ihrem chinesischen Knoten aus Zugriff auf Facebook zu erhalten, obwohl das soziale Netzwerk in China seit langem gesperrt ist.

Abschluss

Das Experiment zeigte, dass die Probleme, mit denen Zensoren beim Blockieren von CDN-Inhalten konfrontiert sind, ausgenutzt werden können, um ein System zur Umgehung von Blockaden zu schaffen. Mit diesem Tool können Sie Sperren sogar in China umgehen, wo es eines der leistungsstärksten Online-Zensursysteme gibt.

Weitere Artikel zum Thema Nutzung Resident-Proxys für das Geschäft:

• Wie private Proxys im Geschäft helfen: ein realer Fall der Verwendung von Infatica im Bereich Data Mining
• Parsing. Wie funktioniert ein SOCKS-Proxy: Vor- und Nachteile, Unterschiede zu anderen Technologien
• So wählen Sie ein Proxy-Netzwerk für Unternehmen aus: 3 praktische Tipps

Source: habr.com