Εικόνα:
Σήμερα, ένα σημαντικό μέρος όλου του περιεχομένου στο Διαδίκτυο διανέμεται χρησιμοποιώντας δίκτυα CDN. Ταυτόχρονα, έρευνα για το πώς διάφοροι λογοκριτές επεκτείνουν την επιρροή τους σε τέτοια δίκτυα. Επιστήμονες από το Πανεπιστήμιο της Μασαχουσέτης πιθανές μεθόδους αποκλεισμού περιεχομένου CDN χρησιμοποιώντας το παράδειγμα των πρακτικών των κινεζικών αρχών, και επίσης ανέπτυξε ένα εργαλείο για την παράκαμψη αυτού του αποκλεισμού.
Έχουμε ετοιμάσει ένα υλικό ανασκόπησης με τα κύρια συμπεράσματα και τα αποτελέσματα αυτού του πειράματος.
Εισαγωγή
Η λογοκρισία αποτελεί παγκόσμια απειλή για την ελευθερία του λόγου στο Διαδίκτυο και την ελεύθερη πρόσβαση στις πληροφορίες. Αυτό είναι σε μεγάλο βαθμό δυνατό λόγω του γεγονότος ότι το Διαδίκτυο δανείστηκε το μοντέλο «από άκρο σε άκρο επικοινωνίας» από τηλεφωνικά δίκτυα της δεκαετίας του '70 του περασμένου αιώνα. Αυτό σας επιτρέπει να αποκλείσετε την πρόσβαση στο περιεχόμενο ή στις επικοινωνίες των χρηστών χωρίς σημαντική προσπάθεια ή κόστος με βάση απλώς τη διεύθυνση IP. Υπάρχουν διάφορες μέθοδοι εδώ, από τον αποκλεισμό της ίδιας της διεύθυνσης με απαγορευμένο περιεχόμενο έως τον αποκλεισμό της δυνατότητας των χρηστών να την αναγνωρίζουν ακόμη και χρησιμοποιώντας χειρισμό DNS.
Ωστόσο, η ανάπτυξη του Διαδικτύου οδήγησε επίσης στην εμφάνιση νέων τρόπων διάδοσης πληροφοριών. Ένα από αυτά είναι η χρήση αποθηκευμένου περιεχομένου για τη βελτίωση της απόδοσης και την επιτάχυνση των επικοινωνιών. Σήμερα, οι πάροχοι CDN επεξεργάζονται ένα σημαντικό ποσό όλης της επισκεψιμότητας στον κόσμο - η Akamai, ο ηγέτης σε αυτό το τμήμα, αντιπροσωπεύει από μόνη της έως και το 30% της παγκόσμιας στατικής επισκεψιμότητας ιστού.
Ένα δίκτυο CDN είναι ένα κατανεμημένο σύστημα για την παροχή περιεχομένου στο Διαδίκτυο στη μέγιστη ταχύτητα. Ένα τυπικό δίκτυο CDN αποτελείται από διακομιστές σε διαφορετικές γεωγραφικές τοποθεσίες που αποθηκεύουν προσωρινά περιεχόμενο για να το εξυπηρετήσουν σε χρήστες που βρίσκονται πιο κοντά σε αυτόν τον διακομιστή. Αυτό σας επιτρέπει να αυξήσετε σημαντικά την ταχύτητα της διαδικτυακής επικοινωνίας.
Εκτός από τη βελτίωση της εμπειρίας για τους τελικούς χρήστες, η φιλοξενία CDN βοηθά τους δημιουργούς περιεχομένου να κλιμακώσουν τα έργα τους μειώνοντας τον φόρτο στην υποδομή τους.
Λογοκρισία περιεχομένου CDN
Παρά το γεγονός ότι η κυκλοφορία CDN αποτελεί ήδη ένα σημαντικό μέρος όλων των πληροφοριών που μεταδίδονται μέσω του Διαδικτύου, δεν υπάρχει ακόμη σχεδόν καμία έρευνα για το πώς οι λογοκριτές στον πραγματικό κόσμο προσεγγίζουν τον έλεγχό της.
Οι συγγραφείς της μελέτης ξεκίνησαν εξερευνώντας τεχνικές λογοκρισίας που μπορούν να εφαρμοστούν σε CDN. Στη συνέχεια μελέτησαν τους πραγματικούς μηχανισμούς που χρησιμοποιούσαν οι κινεζικές αρχές.
Αρχικά, ας μιλήσουμε για πιθανές μεθόδους λογοκρισίας και τη δυνατότητα χρήσης τους για τον έλεγχο του CDN.
Φιλτράρισμα IP
Αυτή είναι η πιο απλή και φθηνή τεχνική για τη λογοκρισία του Διαδικτύου. Χρησιμοποιώντας αυτήν την προσέγγιση, ο λογοκριτής εντοπίζει και θέτει σε μαύρη λίστα τις διευθύνσεις IP των πόρων που φιλοξενούν απαγορευμένο περιεχόμενο. Τότε οι ελεγχόμενοι πάροχοι Διαδικτύου σταματούν να παραδίδουν πακέτα που αποστέλλονται σε τέτοιες διευθύνσεις.
Ο αποκλεισμός βάσει IP είναι μια από τις πιο κοινές μεθόδους λογοκρισίας του Διαδικτύου. Οι περισσότερες εμπορικές συσκευές δικτύου είναι εξοπλισμένες με λειτουργίες για την εφαρμογή τέτοιου αποκλεισμού χωρίς σημαντική υπολογιστική προσπάθεια.
Ωστόσο, αυτή η μέθοδος δεν είναι πολύ κατάλληλη για τον αποκλεισμό της κυκλοφορίας CDN λόγω ορισμένων ιδιοτήτων της ίδιας της τεχνολογίας:
- Κατανεμημένη προσωρινή αποθήκευση – για τη διασφάλιση της βέλτιστης διαθεσιμότητας περιεχομένου και τη βελτιστοποίηση της απόδοσης, τα δίκτυα CDN αποθηκεύουν προσωρινά το περιεχόμενο των χρηστών σε μεγάλο αριθμό διακομιστών αιχμής που βρίσκονται σε γεωγραφικά κατανεμημένες τοποθεσίες. Για να φιλτράρει τέτοιο περιεχόμενο με βάση το IP, ο λογοκριτής θα πρέπει να βρει τις διευθύνσεις όλων των διακομιστών edge και να τους βάλει στη μαύρη λίστα. Αυτό θα υπονομεύσει τις κύριες ιδιότητες της μεθόδου, επειδή το κύριο πλεονέκτημά της είναι ότι στο συνηθισμένο σχήμα, ο αποκλεισμός ενός διακομιστή σάς επιτρέπει να "κόψετε" την πρόσβαση σε απαγορευμένο περιεχόμενο για μεγάλο αριθμό ατόμων ταυτόχρονα.
- Κοινόχρηστες IP – οι εμπορικοί πάροχοι CDN μοιράζονται την υποδομή τους (π.χ. διακομιστές αιχμής, σύστημα χαρτογράφησης κ.λπ.) μεταξύ πολλών πελατών. Ως αποτέλεσμα, το απαγορευμένο περιεχόμενο CDN φορτώνεται από τις ίδιες διευθύνσεις IP με το μη απαγορευμένο περιεχόμενο. Ως αποτέλεσμα, οποιαδήποτε προσπάθεια φιλτραρίσματος IP θα έχει ως αποτέλεσμα τον αποκλεισμό ενός τεράστιου αριθμού τοποθεσιών και περιεχομένου που δεν ενδιαφέρουν τους λογοκριτές.
- Εξαιρετικά δυναμική εκχώρηση IP – για τη βελτιστοποίηση της εξισορρόπησης φορτίου και τη βελτίωση της ποιότητας της υπηρεσίας, η χαρτογράφηση των διακομιστών αιχμής και των τελικών χρηστών εκτελείται πολύ γρήγορα και δυναμικά. Για παράδειγμα, οι ενημερώσεις του Akamai επέστρεφαν διευθύνσεις IP κάθε λεπτό. Αυτό θα καταστήσει σχεδόν αδύνατο τη συσχέτιση διευθύνσεων με απαγορευμένο περιεχόμενο.
Παρεμβολή DNS
Εκτός από το φιλτράρισμα IP, μια άλλη δημοφιλής μέθοδος λογοκρισίας είναι η παρεμβολή DNS. Αυτή η προσέγγιση περιλαμβάνει ενέργειες από λογοκριτές που στοχεύουν να εμποδίσουν τους χρήστες να αναγνωρίσουν τις διευθύνσεις IP των πόρων με απαγορευμένο περιεχόμενο. Δηλαδή, η παρέμβαση γίνεται σε επίπεδο ανάλυσης ονόματος τομέα. Υπάρχουν διάφοροι τρόποι για να γίνει αυτό, συμπεριλαμβανομένης της πειρατείας συνδέσεων DNS, της χρήσης τεχνικών δηλητηρίασης DNS και του αποκλεισμού αιτημάτων DNS σε απαγορευμένους ιστότοπους.
Αυτή είναι μια πολύ αποτελεσματική μέθοδος αποκλεισμού, αλλά μπορεί να παρακαμφθεί εάν χρησιμοποιείτε μη τυπικές μεθόδους ανάλυσης DNS, για παράδειγμα, κανάλια εκτός ζώνης. Επομένως, οι λογοκριτές συνήθως συνδυάζουν τον αποκλεισμό DNS με το φιλτράρισμα IP. Όμως, όπως αναφέρθηκε παραπάνω, το φιλτράρισμα IP δεν είναι αποτελεσματικό στη λογοκρισία του περιεχομένου CDN.
Φιλτράρισμα κατά διεύθυνση URL/λέξεις-κλειδιά χρησιμοποιώντας DPI
Ο σύγχρονος εξοπλισμός παρακολούθησης δραστηριότητας δικτύου μπορεί να χρησιμοποιηθεί για την ανάλυση συγκεκριμένων διευθύνσεων URL και λέξεων-κλειδιών σε μεταδιδόμενα πακέτα δεδομένων. Αυτή η τεχνολογία ονομάζεται DPI (deep packet inspection). Τέτοια συστήματα βρίσκουν αναφορές απαγορευμένων λέξεων και πόρων, μετά από τις οποίες παρεμβαίνουν στην ηλεκτρονική επικοινωνία. Ως αποτέλεσμα, τα πακέτα απλώς απορρίπτονται.
Αυτή η μέθοδος είναι αποτελεσματική, αλλά πιο περίπλοκη και έντασης πόρων, επειδή απαιτεί ανασυγκρότηση όλων των πακέτων δεδομένων που αποστέλλονται σε συγκεκριμένες ροές.
Το περιεχόμενο CDN μπορεί να προστατευθεί από τέτοιου είδους φιλτράρισμα με τον ίδιο τρόπο όπως το «κανονικό» περιεχόμενο – και στις δύο περιπτώσεις η χρήση κρυπτογράφησης (δηλαδή HTTPS) βοηθά.
Εκτός από τη χρήση του DPI για την εύρεση λέξεων-κλειδιών ή διευθύνσεων URL απαγορευμένων πόρων, αυτά τα εργαλεία μπορούν να χρησιμοποιηθούν για πιο προηγμένη ανάλυση. Αυτές οι μέθοδοι περιλαμβάνουν στατιστική ανάλυση της κίνησης σε απευθείας σύνδεση/εκτός σύνδεσης και ανάλυση πρωτοκόλλων αναγνώρισης. Αυτές οι μέθοδοι απαιτούν εξαιρετικά πόρους και αυτή τη στιγμή απλά δεν υπάρχουν στοιχεία για τη χρήση τους από λογοκριτές σε αρκετά σοβαρό βαθμό.
Αυτολογοκρισία παρόχων CDN
Εάν ο λογοκριτής είναι το κράτος, τότε έχει κάθε ευκαιρία να απαγορεύσει σε αυτούς τους παρόχους CDN να λειτουργούν στη χώρα που δεν υπακούουν στους τοπικούς νόμους που διέπουν την πρόσβαση στο περιεχόμενο. Η αυτολογοκρισία δεν μπορεί να αντισταθεί με κανέναν τρόπο - επομένως, εάν μια εταιρεία παροχής CDN ενδιαφέρεται να δραστηριοποιηθεί σε μια συγκεκριμένη χώρα, θα αναγκαστεί να συμμορφωθεί με τους τοπικούς νόμους, ακόμη και αν περιορίζουν την ελευθερία του λόγου.
Πώς η Κίνα λογοκρίνει το περιεχόμενο CDN
Το Great Firewall of China δικαίως θεωρείται το πιο αποτελεσματικό και προηγμένο σύστημα για τη διασφάλιση λογοκρισίας στο Διαδίκτυο.
Μεθοδολογία έρευνας
Οι επιστήμονες πραγματοποίησαν πειράματα χρησιμοποιώντας έναν κόμβο Linux που βρίσκεται εντός της Κίνας. Είχαν επίσης πρόσβαση σε αρκετούς υπολογιστές εκτός της χώρας. Αρχικά, οι ερευνητές έλεγξαν ότι ο κόμβος υπόκειται σε λογοκρισία παρόμοια με αυτή που εφαρμόζεται σε άλλους Κινέζους χρήστες - για να το κάνουν αυτό, προσπάθησαν να ανοίξουν διάφορους απαγορευμένους ιστότοπους από αυτό το μηχάνημα. Επιβεβαιώθηκε λοιπόν η παρουσία του ίδιου επιπέδου λογοκρισίας.
Η λίστα με τους αποκλεισμένους ιστοτόπους στην Κίνα που χρησιμοποιούν CDN ελήφθη από το GreatFire.org. Στη συνέχεια αναλύθηκε η μέθοδος αποκλεισμού σε κάθε περίπτωση.
Σύμφωνα με δημόσια στοιχεία, ο μόνος σημαντικός παίκτης στην αγορά CDN με δική του υποδομή στην Κίνα είναι η Akamai. Άλλοι πάροχοι που συμμετέχουν στη μελέτη: CloudFlare, Amazon CloudFront, EdgeCast, Fastly και SoftLayer.
Κατά τη διάρκεια των πειραμάτων, οι ερευνητές ανακάλυψαν τις διευθύνσεις των διακομιστών Akamai edge εντός της χώρας και στη συνέχεια προσπάθησαν να λάβουν προσωρινά επιτρεπόμενο περιεχόμενο μέσω αυτών. Δεν ήταν δυνατή η πρόσβαση σε απαγορευμένο περιεχόμενο (Επιστράφηκε το Απαγορευμένο σφάλμα HTTP 403) - προφανώς η εταιρεία αυτολογοκρίνεται για να διατηρήσει τη δυνατότητα να δραστηριοποιείται στη χώρα. Ταυτόχρονα, η πρόσβαση σε αυτούς τους πόρους παρέμενε ανοιχτή εκτός της χώρας.
Οι ISP χωρίς υποδομή στην Κίνα δεν αυτολογοκρίνουν τους τοπικούς χρήστες.
Στην περίπτωση άλλων παρόχων, η πιο συχνά χρησιμοποιούμενη μέθοδος αποκλεισμού ήταν το φιλτράρισμα DNS - τα αιτήματα σε αποκλεισμένους ιστότοπους επιλύονται σε εσφαλμένες διευθύνσεις IP. Ταυτόχρονα, το τείχος προστασίας δεν αποκλείει τους ίδιους τους διακομιστές CDN edge, καθώς αποθηκεύουν τόσο απαγορευμένες όσο και επιτρεπόμενες πληροφορίες.
Και αν στην περίπτωση της μη κρυπτογραφημένης κίνησης οι αρχές έχουν τη δυνατότητα να αποκλείουν μεμονωμένες σελίδες ιστοτόπων χρησιμοποιώντας DPI, τότε όταν χρησιμοποιούν HTTPS μπορούν μόνο να αρνηθούν την πρόσβαση σε ολόκληρο τον τομέα ως σύνολο. Αυτό οδηγεί επίσης σε αποκλεισμό του επιτρεπόμενου περιεχομένου.
Επιπλέον, η Κίνα έχει τους δικούς της παρόχους CDN, συμπεριλαμβανομένων δικτύων όπως το ChinaCache, το ChinaNetCenter και το CDNetworks. Όλες αυτές οι εταιρείες συμμορφώνονται πλήρως με τους νόμους της χώρας και αποκλείουν απαγορευμένο περιεχόμενο.
CacheBrowser: Εργαλείο παράκαμψης CDN
Όπως έδειξε η ανάλυση, είναι αρκετά δύσκολο για τους λογοκριτές να μπλοκάρουν το περιεχόμενο CDN. Ως εκ τούτου, οι ερευνητές αποφάσισαν να προχωρήσουν περισσότερο και να αναπτύξουν ένα διαδικτυακό εργαλείο παράκαμψης μπλοκ που δεν χρησιμοποιεί τεχνολογία διακομιστή μεσολάβησης.
Η βασική ιδέα του εργαλείου είναι ότι οι λογοκριτές πρέπει να παρεμβαίνουν στο DNS για να αποκλείσουν τα CDN, αλλά στην πραγματικότητα δεν χρειάζεται να χρησιμοποιήσετε ανάλυση ονόματος τομέα για να φορτώσετε περιεχόμενο CDN. Έτσι, ο χρήστης μπορεί να πάρει το περιεχόμενο που χρειάζεται επικοινωνώντας απευθείας με τον διακομιστή edge, όπου είναι ήδη αποθηκευμένο στην κρυφή μνήμη.
Το παρακάτω διάγραμμα δείχνει τη σχεδίαση του συστήματος.
Το λογισμικό πελάτη εγκαθίσταται στον υπολογιστή του χρήστη και χρησιμοποιείται ένα κανονικό πρόγραμμα περιήγησης για πρόσβαση στο περιεχόμενο.
Όταν έχει ήδη ζητηθεί μια διεύθυνση URL ή ένα τμήμα περιεχομένου, το πρόγραμμα περιήγησης υποβάλλει ένα αίτημα στο τοπικό σύστημα DNS (LocalDNS) για να αποκτήσει τη διεύθυνση IP φιλοξενίας. Το κανονικό DNS ζητείται μόνο για τομείς που δεν βρίσκονται ήδη στη βάση δεδομένων LocalDNS. Η λειτουργική μονάδα Scraper περνά συνεχώς από τις αιτούμενες διευθύνσεις URL και πραγματοποιεί αναζήτηση στη λίστα για πιθανά αποκλεισμένα ονόματα τομέα. Στη συνέχεια, το Scraper καλεί τη λειτουργική μονάδα Resolver για να επιλύσει τους αποκλεισμένους τομείς που ανακαλύφθηκαν πρόσφατα, αυτή η λειτουργική μονάδα εκτελεί την εργασία και προσθέτει μια καταχώρηση στο LocalDNS. Στη συνέχεια, η προσωρινή μνήμη DNS του προγράμματος περιήγησης διαγράφεται για να αφαιρεθούν οι υπάρχουσες εγγραφές DNS για τον αποκλεισμένο τομέα.
Εάν η λειτουργική μονάδα Resolver δεν μπορεί να καταλάβει σε ποιον πάροχο CDN ανήκει ο τομέας, θα ζητήσει βοήθεια από τη λειτουργική μονάδα Bootstrapper.
Πώς λειτουργεί στην πράξη
Το λογισμικό πελάτη του προϊόντος υλοποιήθηκε για Linux, αλλά μπορεί εύκολα να μεταφερθεί και για Windows. Το κανονικό Mozilla χρησιμοποιείται ως πρόγραμμα περιήγησης
Firefox. Οι λειτουργικές μονάδες Scraper και Resolver είναι γραμμένες σε Python και οι βάσεις δεδομένων Customer-to-CDN και CDN-toIP αποθηκεύονται σε αρχεία .txt. Η βάση δεδομένων LocalDNS είναι το κανονικό αρχείο /etc/hosts στο Linux.
Ως αποτέλεσμα, για μια αποκλεισμένη διεύθυνση URL όπως Το σενάριο θα λάβει τη διεύθυνση IP του διακομιστή edge από το αρχείο /etc/hosts και θα στείλει ένα αίτημα HTTP GET για πρόσβαση στο BlockedURL.html με τα πεδία κεφαλίδας Host HTTP:
blocked.com/ and User-Agent: Mozilla/5.0 (Windows
NT 5.1; rv:14.0) Gecko/20100101 Firefox/14.0.1Η ενότητα Bootstrapper υλοποιείται χρησιμοποιώντας το δωρεάν εργαλείο digwebinterface.com. Αυτό το πρόγραμμα επίλυσης DNS δεν μπορεί να αποκλειστεί και απαντά σε ερωτήματα DNS για λογαριασμό πολλών γεωγραφικά κατανεμημένων διακομιστών DNS σε διαφορετικές περιοχές δικτύου.
Χρησιμοποιώντας αυτό το εργαλείο, οι ερευνητές κατάφεραν να αποκτήσουν πρόσβαση στο Facebook από τον κινεζικό κόμβο τους, αν και το κοινωνικό δίκτυο έχει αποκλειστεί εδώ και καιρό στην Κίνα.
Συμπέρασμα
Το πείραμα έδειξε ότι η αξιοποίηση των προβλημάτων που αντιμετωπίζουν οι λογοκριτές όταν προσπαθούν να αποκλείσουν περιεχόμενο CDN μπορεί να χρησιμοποιηθεί για τη δημιουργία ενός συστήματος παράκαμψης μπλοκ. Αυτό το εργαλείο σάς επιτρέπει να παρακάμπτετε μπλοκ ακόμη και στην Κίνα, η οποία διαθέτει ένα από τα πιο ισχυρά συστήματα διαδικτυακής λογοκρισίας.
Άλλα άρθρα σχετικά με το θέμα της χρήσης για δουλειές:
Πηγή: www.habr.com