Pilt:
Täna jagatakse internetis suurt osa sisust CDN-võrkude kaudu. Vaatamata sellele on uurimustest, kuidas erinevad tsensorid oma mõju sellistes võrkudes levitavad. Massachusettsi Ülikooli teadlased võimalikke meetodeid CDN-sisu blokeerimiseks Hiina ametivõimude praktikate näitel ning töötasid välja blokeeringute ületamise tööriista.
Oleme koostanud ülevaate peamistest järeldustest ja tulemustest selle eksperimendi kohta.
Sissejuhatus
Tsensuur on globaalne oht sõnavabadusele internetis ja vabale juurdepääsule teabele. Suures osas on see võimalik seetõttu, et internet on laenatud 70ndate telefonivõrkudest mudeli "lõpust lõpuni suhtlemise". See võimaldab blokeerida juurdepääsu sisule või kasutajate kommunikatsioonile ilma tõsiste jõupingutusteta või kuludeta lihtsalt IP-aadressi alusel. Siin on mõned viisid, kuidas blokeerida isegi selle aadressi, mis sisaldab keelatud sisu, kuigi ka kasutajate võimalustele seda teada saada manipuleeritakse DNS-iga.
Kuid interneti areng on toonud kaasa ka uusi viise teabe levitamiseks. Üks neist on vahemälu sisu kasutamine jõudluse parandamiseks ja suhtluse kiirendamiseks. Tänapäeval töötlevad CDN-teenusepakkujad märkimisväärset hulka kogu maailma liiklusest – juhtiv ettevõte selles valdkonnas Akamai teenib kuni 30% globaalsetest staatilisest veebiliiklusest.
CDN-võrk on hajutatud süsteem, mis on mõeldud veebisisu edastamiseks maksimaalse kiiruseni. Tüüpiline CDN-võrk koosneb serveritest erinevates geograafilistes punktides, mis vahemälustavad sisu, et edastada seda kasutajatele, kes asuvad sellele serverile kõige lähemal. See võimaldab oluliselt parandada veebikommunikatsiooni kiirus.
Lisaks lõppkasutajate teenindamise kvaliteedi parandamisele aitab CDN-majutus sisuloome loojatel oma projekte skaleerida, vähendades infrastruktuuri koormust.
CDN-sisu tsenseerimine
Kuigi CDN-i liiklus moodustab juba märkimisväärse osa kogu internetis edastatavast teabest, on siiani väga vähe uuringuid selle kohta, kuidas reaalses maailmas tsensuurijad selle tõkestamisega toime tulevad.
Uuringu autorid alustasid tsenseerimise tehnikate uurimisest, mida saab rakendada CDN-i suhtes. Seejärel uurisid nad Hiina ametivõimude rakendatavaid tegelikke meetodeid.
Esiteks räägime võimalikest tsenseerimise meetoditest ja nende rakendamise võimalustest CDN-i kontrollimiseks.
Filtrimine IP järgi
See on kõige lihtsam ja odavam interneti tsenseerimise tehnika. Selle lähenemisviisi rakendamisel määrab tsensor musta nimekirja IP-aadressid, mis levitavad keelatud sisu. Seejärel lõpetavad kontrollitud internetipakkujad pakettide edastamise sellistele aadressidele.
IP-põhine blokkeerimine on üks levinumaid meetodeid interneti tsenseerimiseks. Enamus kaubanduslikest võrguseadmetest on varustatud funktsioonidega selliste blokeeringute teostamiseks, ilma et selleks oleks vajalikud tõsised arvutuslikud kulutused.
Kuid see meetod ei sobi hästi CDN-liikluse blokeerimiseks teatud tehnoloogia omaduste tõttu:
- Jaotatud vahemälu – parima sisu kättesaadavuse tagamiseks ja toimivuse optimeerimiseks, CDN-võrgud salvestavad kasutaja sisu suure hulga edge-serverite peal, mis asuvad geograafiliselt jaotatud asukohtades. Selleks, et filtreerida sellist sisu IP alusel, peab tsensor teadma kõigi edge-serverite aadresse ja lisama need musta nimekirja. See kahjustab meetodi peamisi omadusi, kuna selle peamine eelis on see, et tavapärases skeemis ühe serveri blokeerimine võimaldab „katkestada“ juurdepääsu keelatud sisule korraga suurele hulgale inimestele.
- Jagatud IP – kaubanduslikud CDN-teenuse pakkujad jagavad oma infrastruktuuri (st edge-serverid, kaardistamissüsteem jne) mitme kliendi vahel. Seetõttu laaditakse keelatud CDN-sisu samadelt IP-aadressidelt, mis ei ole keelatud. Seega toob iga IP-filterdamise katse kaasa selle, et blokeeritud saab olema ka suur hulk saite ja sisu, mis ei huvita tsensoreid.
- Kõrgete dünaamiliste IP-de määramine – koormuse tasakaalu optimeerimiseks ja teenuse kvaliteedi parandamiseks toimub edge-serverite ja lõppkasutajate kaardistamine väga kiiresti ja dünaamiliselt. Näiteks värskendab Akamai tagastatavaid IP-aadresse iga minuti järel. See muudab peaaegu võimatuks IP-aadresside seostamise keelatud sisuga.
DNS-sekkumine
Peale IP-filterimise on veel üks populaarne tsenseerimise viis DNS-sekkumine. See lähenemine tähendab tsenseerijate tegevusi, mille eesmärgiks on takistada kasutajatel keelatud sisuga ressursside IP-aadresside avastamist. See tähendab sekkumist domeeninimede määratlemise tasandil. Selle saavutamiseks on mitmeid viise, sealhulgas DNS-ühenduste ülevõtmine, DNS-süstimise tehnika kasutamine ja DNS-päringute blokeerimine keelatud saitidele.
See on väga efektiivne blokeerimisviis, kuid seda on võimalik ületada, kui kasutada mittestandardeid DNS-resolutsiooni meetodeid, näiteks out-of-band kanaleid. Seetõttu kombineerivad tsenseerijad tavaliselt DNS-blokeeringud IP-filterimisega. Kuid, nagu ülalpool mainitud, ei ole IP-filterimine efektiivne CDN-sisu tsenseerimisel.
URL-de ja märksõnade filtreerimine DPI abil
Kaasaegne varustus, mis jälgib võrgu aktiivsust, võib analüüsida konkreetseid URL-e ja märksõnu edastatavates andmepakettides. Seda tehnoloogiat tuntakse kui DPI (sügav paketianalüüs). Sellised süsteemid tuvastavad keelatud sõnade ja ressursside mainimisi, mille järel sekkutakse veebikommunikatsiooni. Lõpptulemusena lihtsalt loobitakse paketid.
See meetod on tõhus, kuid keerukam ja ressursimahukam, kuna see nõuab kõigi andmepakettide defragmentimist, mis edastatakse teatud voogude raames.
CDN-sisu saab kaitsta sellise filtreerimise eest samamoodi nagu "tavaline" sisu – mõlemal juhul aitab krüpteerimise (st HTTPS) kasutamine.
Lisaks DPI kasutamisele häkitud võtmesõnade või URL-ide leidmiseks, saab neid tööriistu kasutada ka täiustatud analüüsi jaoks. Selliste meetodite hulka kuuluvad online/offline liikluse statistiline analüüs ja identifitseerimise protokollide analüüs. Need meetodid on äärmiselt ressursimahukad ja hetkel puuduvad tõendid nende kasutamise kohta tsensuurijate seas piisavas mahus.
Enesetsensuur CDN-teenusepakkujatele
Kui tsensuurijaks on riik, siis on tal kõik võimalused keelata kohalike seadustega, mis reguleerivad juurdepääsu sisule, mittekuuluvate CDN-teenusepakkujate tegevus riigis. Enesetsensuurile ei saa kuidagi vastu seista – seetõttu, kui CDN-teenusepakkuja on huvitatud tegevusest mingis riigis, peab ta järgima kohalikke seadusi, isegi kui need piiravad sõnavabadust.
Kuidas Hiina tsenseerib CDN-sisu
Suure Hiina tulemüür peetakse põhjendatult kõige efektiivsemaks ja arenenumaks süsteemiks interneti tsensuuri tagamiseks.
Uuringu metodoloogia
Teadlased viisid katseid läbi Hiinas asuvas Linux-node'is. Neil oli juurdepääs ka mitmele arvutile väljaspool riiki. Alguses kontrollisid uurijad, et node allub tsensuurile, mis on sarnane sellele, mida kogevad teised Hiina kasutajad – selleks proovisid nad avada mitmeid keelatud saite. Nii kinnitati sama tsensuuri taset.
Hiinas blokeeritud CDN-i veebisaitide nimekiri saadi saidilt GreatFire.org. Seejärel analüüsiti, kuidas iga juhtumi korral blokeerimine toimus.
Avatud andmete kohaselt on ainsaks suureks CDN-turu mängijaks, kellel on Hiinas oma infrastruktuur, Akamai. Teised uuringus osalenud teenusepakkujad on: CloudFlare, Amazon CloudFront, EdgeCast, Fastly ja SoftLayer.
Katsetuste käigus tuvastasid teadlased Akamai edge-serverite aadressid riigis ning proovisid seejärel saada nende kaudu vahemällu salvestatud lubatud sisu. Keelatud sisule ligi ei saadud (tagastati viga HTTP 403 Forbidden) – on ilmne, et ettevõte rakendab enesetsensuuri, et säilitada võimalus riigis tegutseda. Samas, riigist väljaspool on nendele ressurssidele ligipääs olnud avatud.
Infrastruktuurita teenusepakkujad Hiinas ei rakenda kohalikele kasutajatele enesetsensuuri.
Muude teenusepakkujate puhul osutus kõige sagedamini kasutatuks blokeerimismeetodiks DNS-i filtreerimine – blokeeritud veebisaitidele esitatud päringud suunatakse valele IP-aadressile. Samuti ei blokeeri tulemüür ise CDN-i edge-servereid, kuna need salvestavad nii keelatud kui ka lubatud teavet.
Ja kui avatud liikluse korral saavad ametivõimud blokeerida üksikute veebilehtede juurde pääsemise DPI abil, siis HTTPS-i kasutamisel saavad nad keelata juurdepääsu kogu domeenile. See toob kaasa ka lubatud sisu blokeerimise.
Hiinas on ka oma CDN-teenusepakkujad, sealhulgas HiinaCache, ChinaNetCenter ja CDNetworks. Kõik need ettevõtted järgivad riigi seadusi ja blokeerivad keelatud sisu.
CacheBrowser: blokeeringute ületamise tööriist CDN-iga
Analüüs näitas, et tsensoreil on suhteliselt raske blokeerida CDN-sisu. Seetõttu otsustasid teadlased minna edasi ja välja töötada tööriist, mis ületaks veebiblokeeringud, ilma et kasutataks proksitehnoloogiat.
Tööriista põhiidee on see, et tsensoreid on sunnitud sekkuma DNS-i tööse, et blokkeerida CDN-sisu, kuid CDN-sisu laadimiseks ei ole tegelikult vajalik domeeninimede lahendamine. Seega võib kasutaja saada vajalikku sisu otse edge-serverilt, kus see on juba vahemällu salvestatud.
Alloleval diagrammil on kujutatud süsteemi ülesehitust.

Kasutaja arvutisse installitakse klienditarkvara, et sisu juurde pääseda, kasutatakse tavalist brauserit.
URL-i või osa juba nõutud sisust küsides saadab brauser päringu kohalikku DNS-süsteemi (LocalDNS), et saada hostingu IP-aadress. Tavaline DNS-päring tehakse ainult nende domeenide jaoks, mida veel LocalDNS-i andmebaasis ei ole. Scraper moodul jälgib pidevalt nõutud URL-e ja otsib potentsiaalselt blokeeritud domeeninimesid. Seejärel pöördub Scraper Resolver mooduli poole, et lahendada uuesti avastatud blokeeritud domeene, mille see moodul täidab ja lisab kirje LocalDNS-i. Seejärel puhastatakse brauseri DNS-vaheldus, et eemaldada olemasolevad DNS-kirjed blokeeritud domeeni jaoks.
Kui Resolver moodul ei suuda mõista, milliseks CDN-teenuse pakkujaks domeen kuulub, palub ta abi Bootstrapper moodulilt.
Kuidas see praktikas töötab
Toote kliendirakendus on rakendatud Linuxile, kuid seda on lihtne portida ka Windowsile. Brauserina kasutatakse tavalist Mozilla
Firefoxi. Scraper ja Resolver moodulid on kirjutatud Pythonis, ning Customer-to-CDN ja CDN-to-IP andmebaasid on salvestatud .txt-failides. LocalDNS-i andmebaasiks on tavaline fail /etc/hosts Linuxis.
Lõppkokkuvõttes on blokeeritud URL järgmine skript saab IP-aadressi edge-serverist failist /etc/hosts ja saadab HTTP GET päringu, et pääseda juurde BlockedURL.html koos HTTP-päiste väljadega Host:
blocked.com/ ja User-Agent: Mozilla/5.0 (Windows NT 5.1; rv:14.0) Gecko/20100101 Firefox/14.0.1Bootstrapperi moodul on rakendatud tasuta tööriista digwebinterface.com abil. Seda DNS-i lahendajat ei saa blokeerida ning see vastab DNS-päringutele paljude geograafiliselt jaotatud DNS-serverite nimel erinevates võrgupiirkondades.
Selle tööriista abil suutsid teadlased oma Hiina nodest pääseda Facebooki – kuigi sotsiaalmeedia on Hiinas juba ammu blokeeritud.

Kokkuvõte
Eksperiment näitas, et probleeme, millega tsensorid silmitsi seisavad, püüdes blokeerida CDN-sisu, saab kasutada blokeeringute ümbersõitmise süsteemi loomiseks. Selline tööriist võimaldab blokeeringutest mööda minna isegi Hiinas, kus toimib üks tugevamaid online-tsensuuri süsteeme.
Seonduvad artiklid äri jaoks:
Allikas: habr.com
