Pilt:
Tänapäeval levitatakse märkimisväärne osa kogu Interneti-sisust CDN-võrkude kaudu. Samal ajal uuritakse, kuidas erinevad tsensorid laiendavad oma mõju sellistele võrgustikele. Massachusettsi ülikooli teadlased CDN-i sisu blokeerimise võimalikud meetodid, kasutades Hiina ametivõimude praktikat, ning töötas välja ka tööriista sellisest blokeerimisest mööda hiilimiseks.
Oleme koostanud ülevaatematerjali selle katse peamiste järelduste ja tulemustega.
Sissejuhatus
Tsensuur on ülemaailmne oht sõnavabadusele Internetis ja vabale juurdepääsule teabele. See on suures osas võimalik tänu sellele, et Internet laenas eelmise sajandi 70ndate telefonivõrkudest "otsast kommunikatsiooni" mudeli. See võimaldab teil lihtsalt IP-aadressi põhjal blokeerida juurdepääsu sisule või kasutajasuhtlusele ilma märkimisväärse pingutuseta või kuluta. Siin on mitu meetodit, alates aadressi enda blokeerimisest keelatud sisuga kuni kasutajate võimaluse blokeerimiseni, kasutades DNS-i manipuleerimist.
Interneti areng on aga kaasa toonud ka uute infolevitamise viiside tekkimise. Üks neist on vahemällu salvestatud sisu kasutamine jõudluse parandamiseks ja suhtluse kiirendamiseks. Tänapäeval töötlevad CDN-i pakkujad märkimisväärse osa kogu maailma liiklusest – ainuüksi Akamai, selle segmendi liider, moodustab kuni 30% ülemaailmsest staatilisest veebiliiklusest.
CDN-võrk on hajutatud süsteem Interneti-sisu edastamiseks maksimaalse kiirusega. Tüüpiline CDN-võrk koosneb erinevates geograafilistes asukohtades asuvatest serveritest, mis salvestavad sisu vahemällu, et teenindada seda sellele serverile kõige lähemal asuvatele kasutajatele. See võimaldab märkimisväärselt suurendada võrgusuhtluse kiirust.
Lisaks lõppkasutajate kasutuskogemuse parandamisele aitab CDN-i hostimine sisuloojatel oma projekte skaleerida, vähendades nende infrastruktuuri koormust.
CDN-i sisu tsenseerimine
Hoolimata asjaolust, et CDN-i liiklus moodustab juba olulise osa kogu Interneti kaudu edastatavast teabest, pole siiani peaaegu üldse uuritud, kuidas reaalses maailmas tsensorid selle kontrollile lähenevad.
Uuringu autorid alustasid tsenseerimismeetodite uurimisega, mida saab rakendada CDN-idele. Seejärel uurisid nad Hiina võimude tegelikke mehhanisme.
Kõigepealt räägime võimalikest tsenseerimismeetoditest ja nende kasutamise võimalusest CDN-i juhtimiseks.
IP-filtreerimine
See on Interneti tsenseerimiseks kõige lihtsam ja odavam meetod. Seda lähenemisviisi kasutades tuvastab tsensor keelatud sisu hostivate ressursside IP-aadressid ja lisab need musta nimekirja. Seejärel lõpetavad kontrollitud Interneti-teenuse pakkujad sellistele aadressidele saadetud pakettide edastamise.
IP-põhine blokeerimine on üks levinumaid Interneti tsenseerimise meetodeid. Enamik kommertsvõrgu seadmeid on varustatud funktsioonidega sellise blokeerimise rakendamiseks ilma märkimisväärse arvutustööta.
Kuid see meetod ei sobi eriti hästi CDN-liikluse blokeerimiseks tehnoloogia enda teatud omaduste tõttu:
- Hajutatud vahemälu – Sisu parima kättesaadavuse tagamiseks ja jõudluse optimeerimiseks salvestavad CDN-võrgud kasutajate sisu vahemällu paljudes geograafiliselt hajutatud asukohtades asuvates servaserverites. Sellise sisu IP-põhiseks filtreerimiseks peaks tsensor välja selgitama kõigi servaserverite aadressid ja need musta nimekirja kandma. See kahjustab meetodi peamisi omadusi, kuna selle peamine eelis on see, et tavalises skeemis võimaldab ühe serveri blokeerimine korraga suure hulga inimeste juurdepääsu keelatud sisule "ära lõigata".
- Jagatud IP-d – kaubanduslikud CDN-i pakkujad jagavad oma infrastruktuuri (st servaserverid, kaardistamissüsteem jne) paljude klientide vahel. Selle tulemusena laaditakse keelatud CDN-sisu samadelt IP-aadressidelt, mis mittekeelatud sisu. Selle tulemusena blokeeritakse iga IP-filtreerimise katse tohutul hulgal saite ja sisu, mis tsensoritele ei paku huvi.
- Väga dünaamiline IP määramine – koormuse tasakaalustamise optimeerimiseks ja teenuse kvaliteedi tõstmiseks tehakse ääreserverite ja lõppkasutajate kaardistamine väga kiiresti ja dünaamiliselt. Näiteks Akamai värskendused tagastasid IP-aadresse iga minut. See muudab aadresside seostamise keelatud sisuga peaaegu võimatuks.
DNS-i häired
Lisaks IP-filtreerimisele on veel üks populaarne tsenseerimismeetod DNS-i häired. See lähenemisviis hõlmab tsensorite tegevusi, mille eesmärk on takistada kasutajatel keelatud sisuga ressursside IP-aadresse ära tundmast. See tähendab, et sekkumine toimub domeeninime eraldusvõime tasemel. Selleks on mitu võimalust, sealhulgas DNS-ühenduste kaaperdamine, DNS-i mürgistustehnikate kasutamine ja keelatud saitidele suunatud DNS-i päringute blokeerimine.
See on väga tõhus blokeerimismeetod, kuid sellest saab mööda minna, kui kasutate mittestandardseid DNS-i eraldusmeetodeid, näiteks ribaväliseid kanaleid. Seetõttu ühendavad tsensorid tavaliselt DNS-i blokeerimise IP-filtreerimisega. Kuid nagu eespool öeldud, ei ole IP-filtreerimine CDN-i sisu tsenseerimiseks tõhus.
Filtreerige URL-i/märksõnade järgi, kasutades DPI-d
Kaasaegsete võrgutegevuse jälgimise seadmetega saab analüüsida edastatud andmepakettides konkreetseid URL-e ja märksõnu. Seda tehnoloogiat nimetatakse DPI-ks (deep pakettide kontroll). Sellised süsteemid leiavad keelatud sõnade ja ressursside mainimist, misjärel need segavad võrgusuhtlust. Selle tulemusena kukuvad paketid lihtsalt maha.
See meetod on tõhus, kuid keerulisem ja ressursimahukam, kuna see nõuab kõigi teatud voogudes saadetud andmepakettide defragmentimist.
CDN-i sisu saab sellise filtreerimise eest kaitsta samamoodi nagu “tavalist” sisu – mõlemal juhul aitab krüptimise (st. HTTPS) kasutamine.
Lisaks DPI kasutamisele keelatud ressursside märksõnade või URL-ide leidmiseks saab neid tööriistu kasutada täpsemaks analüüsiks. Need meetodid hõlmavad online/offline liikluse statistilist analüüsi ja identifitseerimisprotokollide analüüsi. Need meetodid on äärmiselt ressursimahukad ja hetkel puuduvad lihtsalt tõendid selle kohta, et tsensorid neid piisavalt tõsiselt kasutaksid.
CDN-i pakkujate enesetsensuur
Kui tsensor on riik, siis on tal kõik võimalused keelata riigis tegutsemine neil CDN-i pakkujatel, kes ei järgi kohalikke sisule juurdepääsu reguleerivaid seadusi. Enesetsensuurile ei saa kuidagi vastu panna – seega, kui CDN-i pakkuja ettevõte on huvitatud teatud riigis tegutsemisest, on ta sunnitud järgima kohalikke seadusi, isegi kui need piiravad sõnavabadust.
Kuidas Hiina CDN-i sisu tsenseerib
Hiina suurt tulemüüri peetakse õigustatult kõige tõhusamaks ja arenenumaks süsteemiks Interneti-tsensuuri tagamiseks.
Uurimistöö metoodika
Teadlased tegid katseid Hiinas asuva Linuxi sõlmega. Samuti oli neil juurdepääs mitmele arvutile väljaspool riiki. Esiteks kontrollisid teadlased, et sõlm allub sarnaselt teistele Hiina kasutajatele rakendatavale tsensuurile – selleks proovisid nad sellest masinast avada erinevaid keelatud saite. Nii et sama tsensuuri olemasolu leidis kinnitust.
Hiinas blokeeritud CDN-e kasutavate veebisaitide loend võeti saidilt GreatFire.org. Seejärel analüüsiti igal juhul blokeerimismeetodit.
Avalikel andmetel on CDN-turul Hiinas ainus oma taristuga suur tegija Akamai. Teised uuringus osalevad pakkujad: CloudFlare, Amazon CloudFront, EdgeCast, Fastly ja SoftLayer.
Eksperimentide käigus selgitasid teadlased välja riigis asuvate Akamai servaserverite aadressid ja püüdsid seejärel nende kaudu vahemällu salvestada lubatud sisu. Keelatud sisule ligi pääseda ei saanud (tagastati HTTP 403 Forbidden error) - ilmselt tegeleb firma enesetsensuuriga, et riigis tegutsemisvõimet säilitada. Samal ajal jäi juurdepääs neile ressurssidele avatuks ka väljaspool riiki.
Hiinas ilma infrastruktuurita Interneti-teenuse pakkujad ei tsenseeri kohalikke kasutajaid ise.
Teiste pakkujate puhul oli enim kasutatud blokeerimismeetodiks DNS-i filtreerimine – blokeeritud saitidele suunatud päringud lahendatakse valedele IP-aadressidele. Samal ajal ei blokeeri tulemüür CDN servaservereid endid, kuna need salvestavad nii keelatud kui ka lubatud teavet.
Ja kui krüptimata liikluse korral on võimudel võimalus blokeerida saitide üksikuid lehti DPI abil, siis HTTPS-i kasutamisel saavad nad keelata juurdepääsu ainult kogu domeenile tervikuna. See toob kaasa ka lubatud sisu blokeerimise.
Lisaks on Hiinal oma CDN-i pakkujad, sealhulgas sellised võrgud nagu ChinaCache, ChinaNetCenter ja CDNetworks. Kõik need ettevõtted järgivad täielikult riigi seadusi ja blokeerivad keelatud sisu.
CacheBrowser: CDN-i möödaviigutööriist
Nagu analüüs näitas, on tsensoritel üsna raske CDN-i sisu blokeerida. Seetõttu otsustasid teadlased minna kaugemale ja välja töötada veebipõhise plokkide möödaviigu tööriista, mis ei kasuta puhverserveri tehnoloogiat.
Tööriista põhiidee on see, et tsensorid peavad CDN-ide blokeerimiseks DNS-i segama, kuid tegelikult ei pea te CDN-i sisu laadimiseks kasutama domeeninime eraldusvõimet. Seega saab kasutaja vajaliku sisu kätte, võttes otse ühendust servaserveriga, kus see on juba vahemällu salvestatud.
Allolev diagramm näitab süsteemi ülesehitust.
Kasutaja arvutisse on installitud klienditarkvara ja sisule juurdepääsuks kasutatakse tavalist brauserit.
Kui URL-i või sisuosa on juba taotletud, esitab brauser kohalikule DNS-süsteemile (LocalDNS) päringu hostimise IP-aadressi saamiseks. Tavalist DNS-i päritakse ainult nende domeenide puhul, mis pole veel LocalDNS-i andmebaasis. Moodul Scraper läbib pidevalt taotletud URL-e ja otsib loendist potentsiaalselt blokeeritud domeeninimesid. Seejärel kutsub Scraper välja mooduli Resolver, et lahendada äsja avastatud blokeeritud domeenid, see moodul täidab ülesande ja lisab LocalDNS-i kirje. Seejärel tühjendatakse brauseri DNS-i vahemälu, et eemaldada blokeeritud domeeni DNS-kirjed.
Kui moodul Resolver ei suuda aru saada, millisele CDN-i pakkujale domeen kuulub, küsib ta abi Bootstrapperi moodulilt.
Kuidas see praktikas toimib
Toote klienttarkvara on realiseeritud Linuxile, kuid seda saab hõlpsasti portida ka Windowsi jaoks. Brauserina kasutatakse tavalist Mozillat
Firefox. Moodulid Scraper ja Resolver on kirjutatud Pythonis ning andmebaasid Customer-to-CDN ja CDN-toIP on salvestatud .txt-failides. LocalDNS-i andmebaas on Linuxis tavaline /etc/hosts-fail.
Selle tulemusena blokeeritud URL-i jaoks nagu Skript hangib servaserveri IP-aadressi failist /etc/hosts ja saadab HTTP GET-päringu juurdepääsuks BlockedURL.html koos hosti HTTP päiseväljadega:
blocked.com/ and User-Agent: Mozilla/5.0 (Windows
NT 5.1; rv:14.0) Gecko/20100101 Firefox/14.0.1Bootstrapperi moodul on realiseeritud tasuta tööriista digwebinterface.com abil. Seda DNS-i lahendajat ei saa blokeerida ja see vastab DNS-päringutele mitme geograafiliselt jaotatud DNS-serveri nimel erinevates võrgupiirkondades.
Seda tööriista kasutades õnnestus teadlastel saada juurdepääs Facebookile oma Hiina sõlmest, kuigi sotsiaalvõrgustik on Hiinas juba ammu blokeeritud.
Järeldus
Katse näitas, et kasutades ära probleeme, mida tsensorid CDN-i sisu blokeerimisel kogevad, saab kasutada plokkidest möödahiilimise süsteemi loomiseks. See tööriist võimaldab teil plokkidest mööda minna isegi Hiinas, kus on üks võimsamaid võrgutsensuurisüsteeme.
Muud artiklid kasutamise teemal Äri jaoks:
Allikas: www.habr.com