Bildon:
Hodiaŭ, signifa parto de ĉiu enhavo en la Interreto estas distribuita uzante CDN-retojn. Samtempe esploru kiel diversaj cenzuristoj etendas sian influon al tiaj retoj. Sciencistoj de la Universitato de Masaĉuseco eblaj metodoj de blokado de CDN-enhavo uzante la ekzemplon de la praktikoj de la ĉinaj aŭtoritatoj, kaj ankaŭ evoluigis ilon por preteriri tian blokadon.
Ni preparis recenzan materialon kun la ĉefaj konkludoj kaj rezultoj de ĉi tiu eksperimento.
Enkonduko
Cenzuro estas tutmonda minaco al sinesprimlibereco en Interreto kaj libera aliro al informoj. Ĉi tio estas grandparte ebla pro la fakto, ke Interreto pruntis la modelon de "fin-al-fina komunikado" el telefonaj retoj de la 70-aj jaroj de la pasinta jarcento. Ĉi tio ebligas al vi bloki aliron al enhavo aŭ uzantkomunikadoj sen grava penado aŭ kosto simple surbaze de IP-adreso. Estas pluraj metodoj ĉi tie, de blokado de la adreso mem kun malpermesita enhavo ĝis blokado de la kapablo de uzantoj eĉ rekoni ĝin per DNS-manipulado.
Tamen, la evoluo de Interreto ankaŭ kaŭzis aperon de novaj manieroj disvastigi informojn. Unu el ili estas la uzo de kaŝmemorigita enhavo por plibonigi rendimenton kaj akceli komunikadojn. Hodiaŭ, CDN-provizantoj prilaboras signifan kvanton de la tuta trafiko en la mondo - Akamai, la gvidanto en ĉi tiu segmento, nur respondecas pri ĝis 30% de tutmonda senmova rettrafiko.
CDN-reto estas distribuita sistemo por liveri interretan enhavon je maksimuma rapideco. Tipa CDN-reto konsistas el serviloj en malsamaj geografiaj lokoj, kiuj konservas enhavon por servi ĝin al uzantoj, kiuj estas plej proksimaj al tiu servilo. Ĉi tio permesas vin signife pliigi la rapidecon de interreta komunikado.
Krom plibonigado de la sperto por finaj uzantoj, CDN-gastigado helpas al enhavkreantoj skali siajn projektojn reduktante la ŝarĝon de sia infrastrukturo.
Cenzurante CDN-enhavon
Malgraŭ la fakto, ke CDN-trafiko jam konsistigas signifan parton de ĉiuj informoj transdonitaj tra la Interreto, ankoraŭ preskaŭ ne ekzistas esplorado pri kiel cenzuristoj en la reala mondo alproksimiĝas al ĝia kontrolo.
La aŭtoroj de la studo komencis esplori cenzurajn teknikojn, kiuj povas esti aplikataj al CDN-oj. Poste ili studis la realajn mekanismojn uzatajn de la ĉinaj aŭtoritatoj.
Unue, ni parolu pri eblaj cenzuraj metodoj kaj la ebleco uzi ilin por kontroli la CDN.
IP-filtrado
Ĉi tiu estas la plej simpla kaj plej malmultekosta tekniko por cenzuri la Interreton. Uzante ĉi tiun aliron, la cenzuristo identigas kaj enlistigas la IP-adresojn de rimedoj gastigantaj malpermesitan enhavon. Tiam la kontrolitaj interretaj provizantoj ĉesas liveri pakaĵetojn senditajn al tiaj adresoj.
IP-bazita blokado estas unu el la plej oftaj metodoj por cenzuri la Interreton. La plej multaj komercaj retaj aparatoj estas ekipitaj per funkcioj por efektivigi tian blokadon sen signifa komputila fortostreĉo.
Tamen, ĉi tiu metodo ne tre taŭgas por bloki CDN-trafikon pro iuj propraĵoj de la teknologio mem:
- Distribuita Kaŝmemoro - por certigi la plej bonan haveblecon de enhavo kaj optimumigi rendimenton, CDN-retoj konservas uzantenhavon sur granda nombro da randserviloj situantaj en geografie distribuitaj lokoj. Por filtri tian enhavon laŭ IP, la cenzuristo devus ekscii la adresojn de ĉiuj randserviloj kaj nigralistigi ilin. Ĉi tio subfosos la ĉefajn ecojn de la metodo, ĉar ĝia ĉefa avantaĝo estas, ke en la kutima skemo, blokado de unu servilo ebligas al vi "fortranĉi" aliron al malpermesita enhavo por granda nombro da homoj samtempe.
- Kundividitaj IP-oj - komercaj CDN-provizantoj dividas sian infrastrukturon (t.e. randserviloj, mapa sistemo, ktp.) inter multaj klientoj. Kiel rezulto, malpermesita CDN-enhavo estas ŝarĝita de la samaj IP-adresoj kiel ne-malpermesita enhavo. Kiel rezulto, ajna provo pri IP-filtrado rezultigos grandegan nombron da retejoj kaj enhavo, kiuj ne interesas al cenzuristoj, esti blokita.
- Tre dinamika IP-tasko - por optimumigi ŝarĝan ekvilibron kaj plibonigi la kvaliton de servo, mapado de randserviloj kaj finaj uzantoj estas farita tre rapide kaj dinamike. Ekzemple, Akamai-ĝisdatigoj resendis IP-adresojn ĉiuminute. Ĉi tio preskaŭ malebligos, ke adresoj estu asociitaj kun malpermesita enhavo.
DNS-interfero
Krom IP-filtrado, alia populara cenzura metodo estas DNS-interfero. Ĉi tiu aliro implikas agojn de cenzuristoj celantaj malhelpi uzantojn rekoni la IP-adresojn de rimedoj kun malpermesita enhavo. Tio estas, la interveno okazas ĉe la domajna nomo rezolucionivelo. Estas pluraj manieroj fari tion, inkluzive de kapero de DNS-konektoj, uzado de DNS-venenaj teknikoj kaj blokado de DNS-petoj al malpermesitaj retejoj.
Ĉi tio estas tre efika blokadmetodo, sed ĝi povas esti preterpasita se vi uzas ne-normajn DNS-rezoluciajn metodojn, ekzemple ekster-bandajn kanalojn. Tial, cenzuristoj kutime kombinas DNS-blokadon kun IP-filtrado. Sed, kiel dirite supre, IP-filtrado ne efikas ĉe cenzurado de CDN-enhavo.
Filtru per URL/Ŝlosilvortoj uzante DPI
Moderna reta agado-monitora ekipaĵo povas esti uzata por analizi specifajn URL-ojn kaj ŝlosilvortojn en elsenditaj datumpakaĵoj. Ĉi tiu teknologio nomiĝas DPI (profunda paka inspektado). Tiaj sistemoj trovas menciojn de malpermesitaj vortoj kaj rimedoj, post kio ili malhelpas interretan komunikadon. Kiel rezulto, la pakaĵoj estas simple faligitaj.
Ĉi tiu metodo estas efika, sed pli kompleksa kaj rimed-intensa ĉar ĝi postulas malfragmentadon de ĉiuj datumpakaĵoj senditaj ene de certaj fluoj.
CDN-enhavo povas esti protektita kontraŭ tia filtrado same kiel "regula" enhavo - en ambaŭ kazoj la uzo de ĉifrado (t.e. HTTPS) helpas.
Krom uzi DPI por trovi ŝlosilvortojn aŭ URL-ojn de malpermesitaj rimedoj, ĉi tiuj iloj povas esti uzataj por pli altnivela analizo. Ĉi tiuj metodoj inkluzivas statistikan analizon de reta/senreta trafiko kaj analizon de identigaj protokoloj. Ĉi tiuj metodoj estas ekstreme rimedo-intensaj kaj nuntempe simple ne ekzistas pruvoj pri ilia uzo de cenzuristoj ĝis sufiĉe serioza mezuro.
Memcenzuro de CDN-provizantoj
Se la cenzuristo estas la ŝtato, tiam ĝi havas ĉiujn ŝancojn malpermesi al tiuj CDN-provizantoj funkcii en la lando, kiuj ne obeas lokajn leĝojn regantajn aliron al enhavo. Memcenzuro neniel povas rezisti - tial, se kompanio de provizanto de CDN interesiĝas pri funkcii en certa lando, ĝi estos devigita plenumi lokajn leĝojn, eĉ se ili limigas sinesprimliberecon.
Kiel Ĉinio cenzuras CDN-enhavon
La Granda Fajroŝirmilo de Ĉinio estas ĝuste konsiderata la plej efika kaj altnivela sistemo por certigi interretan cenzuron.
Esplora metodiko
Sciencistoj faris eksperimentojn uzante Linuksan nodon situantan ene de Ĉinio. Ili ankaŭ havis aliron al pluraj komputiloj ekster la lando. Unue, la esploristoj kontrolis, ke la nodo estas submetita al cenzuro simila al tiu aplikata al aliaj ĉinaj uzantoj - por fari tion, ili provis malfermi diversajn malpermesitajn retejojn de ĉi tiu maŝino. Do la ĉeesto de la sama nivelo de cenzuro estis konfirmita.
La listo de retejoj blokitaj en Ĉinio, kiuj uzas CDN-ojn, estis prenita de GreatFire.org. La metodo de blokado en ĉiu kazo estis tiam analizita.
Laŭ publikaj datumoj, la sola grava ludanto en la CDN-merkato kun sia propra infrastrukturo en Ĉinio estas Akamai. Aliaj provizantoj partoprenantaj en la studo: CloudFlare, Amazon CloudFront, EdgeCast, Fastly kaj SoftLayer.
Dum la eksperimentoj, la esploristoj eltrovis la adresojn de la randserviloj de Akamai ene de la lando, kaj poste provis konservi permesitan enhavon per ili. Ne eblis aliri malpermesitan enhavon (HTTP 403 Malpermesita eraro estis resendita) - ŝajne la firmao memcenzuras por konservi la kapablon funkcii en la lando. En la sama tempo, aliro al tiuj rimedoj restis malfermita ekster la lando.
ISP-oj sen infrastrukturo en Ĉinio ne memcenzuras lokajn uzantojn.
En la kazo de aliaj provizantoj, la plej ofte uzata blokadmetodo estis DNS-filtrado - petoj al blokitaj retejoj estas solvitaj al malĝustaj IP-adresoj. Samtempe, la fajroŝirmilo ne blokas la randservilojn de CDN mem, ĉar ili stokas ambaŭ malpermesitajn kaj permesitajn informojn.
Kaj se en la kazo de neĉifrita trafiko la aŭtoritatoj havas la kapablon bloki individuajn paĝojn de retejoj uzante DPI, tiam kiam ili uzas HTTPS, ili nur povas nei aliron al la tuta domajno entute. Ĉi tio ankaŭ kondukas al blokado de permesita enhavo.
Krome, Ĉinio havas siajn proprajn CDN-provizantojn, inkluzive de retoj kiel ekzemple ChinaCache, ChinaNetCenter kaj CDNetworks. Ĉiuj ĉi tiuj kompanioj plene plenumas la leĝojn de la lando kaj blokas malpermesitan enhavon.
CacheBrowser: CDN preterpasi ilo
Kiel la analizo montris, estas sufiĉe malfacile por cenzuristoj bloki CDN-enhavon. Tial la esploristoj decidis iri plu kaj evoluigi interretan blokan pretervojon ilon, kiu ne uzas prokuran teknologion.
La baza ideo de la ilo estas, ke cenzuristoj devas enmiksiĝi kun la DNS por bloki CDN-ojn, sed vi fakte ne devas uzi rezolucion de domajna nomo por elŝuti CDN-enhavon. Tiel, la uzanto povas akiri la enhavon kiun li bezonas rekte kontaktante la randservilon, kie ĝi jam estas kaŝmemorigita.
La diagramo malsupre montras la sisteman dezajnon.
Klienta programaro estas instalita sur la komputilo de la uzanto, kaj regula retumilo estas uzata por aliri la enhavon.
Kiam URL aŭ enhavo jam estas petita, la retumilo faras peton al la loka DNS-sistemo (LocalDNS) por akiri la gastigan IP-adreson. Regula DNS estas demandita nur por domajnoj kiuj ne estas jam en la LokaDNS-datumbazo. La Scraper-modulo senĉese trairas la petitajn URL-ojn kaj serĉas la liston por eble blokitaj domajnaj nomoj. Scraper tiam vokas la Resolver-modulon por solvi la nove malkovritajn blokitajn domajnojn, ĉi tiu modulo plenumas la taskon kaj aldonas eniron al LocalDNS. La DNS-kaŝmemoro de la retumilo tiam estas forigita por forigi ekzistantajn DNS-rekordojn por la blokita domajno.
Se la modulo Resolver ne povas kompreni al kiu CDN-provizanto apartenas la domajno, ĝi petos helpon de la modulo Bootstrapper.
Kiel ĝi funkcias en la praktiko
La klientprogramaro de la produkto estis efektivigita por Linukso, sed ĝi povas esti facile adaptita ankaŭ por Vindozo. Regula Mozilo estas uzata kiel retumilo
Fajrovulpo. La moduloj Scraper kaj Resolver estas skribitaj en Python, kaj la datumbazoj Customer-to-CDN kaj CDN-toIP estas konservitaj en .txt-dosieroj. La datumbazo LocalDNS estas la regula /etc/hosts dosiero en Linukso.
Kiel rezulto, por blokita URL kiel La skripto ricevos la IP-adreson de la randservilo el la dosiero /etc/hosts kaj sendos HTTP-GET-peton por aliri BlockedURL.html kun la kampoj de la kaplinio Host HTTP:
blocked.com/ and User-Agent: Mozilla/5.0 (Windows
NT 5.1; rv:14.0) Gecko/20100101 Firefox/14.0.1La modulo Bootstrapper estas efektivigita per la senpaga ilo digwebinterface.com. Ĉi tiu DNS-solvilo ne povas esti blokita kaj respondas DNS-demandojn nome de pluraj geografie distribuitaj DNS-serviloj en malsamaj retaj regionoj.
Uzante ĉi tiun ilon, la esploristoj sukcesis akiri aliron al Facebook de sia ĉina nodo, kvankam la socia reto estas delonge blokita en Ĉinio.
konkludo
La eksperimento montris, ke utiligi la problemojn, kiujn cenzuristoj spertas kiam provas bloki CDN-enhavon, povas esti uzata por krei sistemon por preterpasi blokojn. Ĉi tiu ilo permesas vin preteriri blokojn eĉ en Ĉinio, kiu havas unu el la plej potencaj interretaj cenzursistemoj.
Aliaj artikoloj pri la temo de uzo por komerco:
fonto: www.habr.com