Irudia:
Gaur egun, Interneteko eduki guztien zati garrantzitsu bat CDN sareak erabiliz banatzen da. Aldi berean, hainbat zentsorek halako sareetan duten eragina nola zabaltzen duten aztertzea. Massachusettseko Unibertsitateko zientzialariak CDN edukia blokeatzeko metodo posibleak Txinako agintarien praktiken adibidea erabiliz, eta blokeo hori saihesteko tresna bat ere garatu zuten.
Berrikuspen-material bat prestatu dugu esperimentu honen ondorio eta emaitza nagusiekin.
Sarrera
Zentsura mehatxu globala da Interneten adierazpen askatasunaren eta informaziorako sarbide librearen aurkako. Hori posible da, neurri handi batean, Internetek joan den mendeko 70eko hamarkadako telefono-sareetatik "bukaerako komunikazioa" eredua mailegatu zuelako. Honi esker, edukietarako edo erabiltzaileen komunikazioetarako sarbidea blokeatu dezakezu esfortzu edo kostu handirik gabe, besterik gabe, IP helbidean oinarrituta. Hainbat metodo daude hemen, helbidea bera blokeatu debekatutako edukiarekin erabiltzaileek DNS manipulazioa erabiliz ezagutzeko gaitasuna blokeatzen duten arte.
Dena den, Interneten garapenak informazioa zabaltzeko modu berriak ere sortu ditu. Horietako bat da cacheko edukia erabiltzea errendimendua hobetzeko eta komunikazioak bizkortzeko. Gaur egun, CDN hornitzaileek munduko trafiko guztiaren kopuru esanguratsu bat prozesatzen dute - Akamai, segmentu honetako liderrak, bakarrik web-trafiko estatiko globalaren %30 hartzen du.
CDN sarea Interneteko edukia abiadura maximoan emateko sistema banatua da. CDN sare tipikoa kokapen geografiko desberdinetako zerbitzariek osatzen dute, edukia cachean gordetzen dutenak zerbitzari horretatik gertuen dauden erabiltzaileei zerbitzatzeko. Horrek sareko komunikazioaren abiadura nabarmen handitzeko aukera ematen du.
Azken erabiltzaileen esperientzia hobetzeaz gain, CDN hostingak edukien sortzaileei euren proiektuak eskalatzen laguntzen die azpiegituraren karga murriztuz.
CDN edukia zentsuratzea
Nahiz eta CDN trafikoa dagoeneko Internet bidez transmititzen den informazio guztiaren zati garrantzitsu bat osatzen duen, oraindik ez dago ia ikerketarik mundu errealeko zentsoreek haren kontrola nola hurbiltzen duten jakiteko.
Ikerketaren egileak CDNetan aplika daitezkeen zentsura teknikak aztertzen hasi ziren. Ondoren, Txinako agintariek erabiltzen dituzten benetako mekanismoak aztertu zituzten.
Lehenik eta behin, hitz egin dezagun zentsura metodo posibleez eta CDN kontrolatzeko erabiltzeko aukeraz.
IP iragazkia
Hau da Internet zentsuratzeko teknikarik errazena eta merkeena. Ikuspegi hau erabiliz, zentsoreak debekatutako edukia ostatatzen duten baliabideen IP helbideak identifikatzen eta zerrenda beltza jartzen ditu. Orduan, kontrolatutako Interneteko hornitzaileek horrelako helbideetara bidalitako paketeak bidaltzeari uzten diote.
IPan oinarritutako blokeoa Internet zentsuratzeko metodo ohikoenetako bat da. Sare komertzialeko gailu gehienek blokeo hori ezartzeko funtzioak dituzte konputazio-esfortzu handirik gabe.
Hala ere, metodo hau ez da oso egokia CDN trafikoa blokeatzeko, teknologiaren beraren propietate batzuengatik:
- Banatutako cachea β Edukiaren erabilgarritasun onena ziurtatzeko eta errendimendua optimizatzeko, CDN sareek erabiltzaileen edukia gordetzen dute geografikoki banatutako kokapenetan kokatutako ertz-zerbitzari ugaritan. IPan oinarritutako eduki hori iragazteko, zentsoreak ertzeko zerbitzari guztien helbideak aurkitu beharko lituzke eta zerrenda beltzean. Honek metodoaren propietate nagusiak ahulduko ditu, bere abantaila nagusia delako ohiko eskeman, zerbitzari bat blokeatzeak aldi berean debekatutako edukietarako sarbidea "moztu" dezazun.
- Partekatutako IPak β CDN hornitzaile komertzialek beren azpiegiturak (hau da, ertz zerbitzariak, mapa-sistema, etab.) partekatzen dituzte bezero askoren artean. Ondorioz, debekatutako CDN edukia debekatu gabeko edukiaren IP helbide beretik kargatzen da. Ondorioz, IP iragazteko saiakerak zentsoreentzat interesgarriak ez diren gune eta eduki ugari blokeatuko ditu.
- IP esleipen dinamikoa β Karga orekatzea optimizatzeko eta zerbitzuaren kalitatea hobetzeko, ertzetako zerbitzarien eta azken erabiltzaileen mapak oso azkar eta dinamikoan egiten dira. Adibidez, Akamai-k eguneratzeak minuturo itzultzen ditu IP helbideak. Horrek ia ezinezkoa egingo du helbideak debekatutako edukiekin lotzea.
DNS interferentzia
IP iragazteaz gain, beste zentsura metodo ezagun bat DNS interferentzia da. Ikuspegi honek zentsoreen ekintzak dakartza, erabiltzaileek debekatutako edukia duten baliabideen IP helbideak ezagutzea eragozteko. Hau da, esku-hartzea domeinu-izenen ebazpen mailan gertatzen da. Horretarako hainbat modu daude, besteak beste, DNS konexioak bahitzea, DNS pozoitzeko teknikak erabiltzea eta debekatutako guneetarako DNS eskaerak blokeatzea.
Hau blokeatzeko metodo oso eraginkorra da, baina saihestu daiteke DNS bereizmen-metodo ez-estandarrak erabiltzen badituzu, adibidez, bandaz kanpoko kanalak. Hori dela eta, zentsoreek normalean DNS blokeoa IP iragazketarekin konbinatzen dute. Baina, goian esan bezala, IP iragazketa ez da eraginkorra CDN edukia zentsuratzeko.
Iragazi URL/Hitz gakoen arabera DPI erabiliz
Sareko jarduera monitorizatzeko ekipamendu modernoa erabil daiteke transmititutako datu-paketeetako URL eta gako-hitz zehatzak aztertzeko. Teknologia honi DPI (deep packet inspection) deitzen zaio. Sistema horiek debekatutako hitz eta baliabideen aipamenak aurkitzen dituzte, eta ondoren sareko komunikazioa oztopatzen dute. Ondorioz, paketeak besterik gabe botatzen dira.
Metodo hau eraginkorra da, baina konplexuagoa eta baliabideak behar dituena, korronte jakin batzuetan bidalitako datu-pakete guztiak desfragmentatzea eskatzen duelako.
CDN edukia iragazketa horretatik babestu daiteke eduki "ohiko" moduan - bi kasuetan enkriptatzea (hau da, HTTPS) laguntzen du.
Debekatutako baliabideen gako-hitzak edo URLak aurkitzeko DPI erabiltzeaz gain, tresna hauek analisi aurreratuagoetarako erabil daitezke. Metodo horien artean daude lineako/ lineaz kanpoko trafikoaren azterketa estatistikoa eta identifikazio-protokoloen azterketa. Metodo hauek baliabide asko erabiltzen dituzte eta, momentuz, ez dago zentsoreek neurri aski serioan erabiltzen dituzten frogarik.
CDN hornitzaileen autozentsura
Zentsuratzailea estatua bada, aukera guztiak ditu edukietarako sarbidea arautzen duten tokiko legeak betetzen ez dituzten CDN hornitzaile horiei debekatzeko herrialdean jardutea. Autozentsurari ezin zaio inolaz ere eutsi, beraz, CDN hornitzaileen enpresa batek herrialde jakin batean jarduteko interesa badu, tokiko legeak betetzera behartuta egongo da, nahiz eta adierazpen askatasuna mugatu.
Txinak CDN edukia nola zentsuratzen duen
Txinako Suebaki Handia Interneten zentsura bermatzeko sistemarik eraginkorrena eta aurreratuena jotzen da.
Ikerketaren metodologia
Zientzialariek Txina barruan kokatutako Linux nodo bat erabiliz esperimentuak egin zituzten. Gainera, herrialdetik kanpo hainbat ordenagailutarako sarbidea zuten. Lehenik eta behin, ikertzaileek egiaztatu zuten nodoa Txinako beste erabiltzaile batzuei aplikatzen zaienaren antzeko zentsura baten menpe zegoela; horretarako, makina honetatik debekatutako hainbat gune irekitzen saiatu ziren. Beraz, zentsura maila bereko presentzia baieztatu zen.
CDNak erabiltzen dituzten Txinan blokeatutako webguneen zerrenda GreatFire.org-etik hartu da. Ondoren, kasu bakoitzean blokeatzeko metodoa aztertu zen.
Datu publikoen arabera, Txinan azpiegitura propioa duen CDN merkatuko eragile nagusi bakarra Akamai da. Ikerketan parte hartzen duten beste hornitzaileak: CloudFlare, Amazon CloudFront, EdgeCast, Fastly eta SoftLayer.
Esperimentuetan zehar, ikertzaileek herrialdeko Akamai ertzeko zerbitzarien helbideak aurkitu zituzten, eta, ondoren, haien bidez cachean gordetako edukia lortzen saiatu ziren. Ezin izan da debekatutako edukia atzitu (HTTP 403 debekatutako errorea itzuli da) - itxuraz konpainiak autozentsura egiten du herrialdean jarduteko gaitasuna mantentzeko. Aldi berean, baliabide horietarako sarbidea herrialdetik kanpo zabalik egon zen.
Txinan azpiegiturarik ez duten ISPek ez dituzte bertako erabiltzaileak autozentsatzen.
Beste hornitzaile batzuen kasuan, gehien erabiltzen den blokeo-metodoa DNS iragazkia izan zen - blokeatutako guneetarako eskaerak IP helbide okerretan ebazten dira. Aldi berean, suebakiak ez ditu CDN ertzeko zerbitzariak beraiek blokeatzen, debekatutako eta baimendutako informazioa gordetzen baitute.
Eta zifratu gabeko trafikoaren kasuan agintariek DPI erabiliz guneetako orrialde indibidualak blokeatzeko gaitasuna badute, HTTPS erabiltzean soilik domeinu osorako sarbidea ukatu ahal izango dute. Horrek baimendutako edukia blokeatzea dakar ere.
Horrez gain, Txinak bere CDN hornitzaileak ditu, ChinaCache, ChinaNetCenter eta CDNetworks bezalako sareak barne. Enpresa hauek guztiek herrialdeko legeak guztiz betetzen dituzte eta debekatutako edukia blokeatzen dute.
CacheBrowser: CDN saihesteko tresna
Analisiak erakutsi zuenez, zentsoreentzat nahiko zaila da CDN edukia blokeatzea. Hori dela eta, ikertzaileek urrunago joatea eta proxy teknologia erabiltzen ez duen lineako blokeen saihesbiderako tresna bat garatzea erabaki zuten.
Tresnaren oinarrizko ideia da zentsoreek DNS-a oztopatu behar dutela CDNak blokeatzeko, baina ez duzu domeinu-izenen bereizmena erabili behar CDN edukia deskargatzeko. Horrela, erabiltzaileak behar duen edukia lor dezake zuzenean ertzeko zerbitzariarekin harremanetan jarriz, non dagoeneko cachean dagoen.
Beheko diagramak sistemaren diseinua erakusten du.
Bezeroaren softwarea erabiltzailearen ordenagailuan instalatuta dago, eta ohiko arakatzaile bat erabiltzen da edukira sartzeko.
URL edo eduki bat dagoeneko eskatuta dagoenean, arakatzaileak eskaera bat egiten dio tokiko DNS sistemari (LocalDNS) ostalaritzako IP helbidea lortzeko. DNS arrunta LocalDNS datu-basean lehendik ez dauden domeinuetarako soilik kontsultatzen da. Scraper moduluak etengabe pasatzen ditu eskatutako URLetatik eta blokeatu daitezkeen domeinu-izenak zerrendan bilatzen ditu. Orduan Scraper-ek Resolver moduluari deitzen dio aurkitu berri diren blokeatutako domeinuak konpontzeko, modulu honek zeregina egiten du eta LocalDNS-en sarrera bat gehitzen du. Ondoren, arakatzailearen DNS cachea garbitzen da blokeatutako domeinurako lehendik dauden DNS erregistroak kentzeko.
Resolver moduluak domeinua zein CDN hornitzaileri dagokion jakin ezin badu, Bootstrapper moduluari laguntza eskatuko dio.
Praktikan nola funtzionatzen duen
Produktuaren bezero-softwarea Linuxerako inplementatu zen, baina erraz eraman daiteke Windows-erako ere. Mozilla arrunta arakatzaile gisa erabiltzen da
Firefox. Scraper eta Resolver moduluak Python-en idatzita daude, eta Customer-to-CDN eta CDN-toIP datu-baseak .txt fitxategietan gordetzen dira. LocalDNS datu-basea Linux-en /etc/hosts fitxategi arrunta da.
Ondorioz, blokeatutako URL baterako Scriptak ertzeko zerbitzariaren IP helbidea /etc/hosts fitxategitik jasoko du eta HTTP GET eskaera bidaliko du BlockedURL.html sartzeko Host HTTP goiburuko eremuekin:
blocked.com/ and User-Agent: Mozilla/5.0 (Windows
NT 5.1; rv:14.0) Gecko/20100101 Firefox/14.0.1Bootstrapper modulua digwebinterface.com doako tresna erabiliz inplementatzen da. DNS konpontzaile hau ezin da blokeatu eta DNS galderei erantzuten die geografikoki banatutako hainbat DNS zerbitzarien izenean, sareko eskualde ezberdinetan.
Tresna hau erabiliz, ikertzaileek beren Txinako nodotik Facebookera sarbidea izatea lortu zuten, nahiz eta sare soziala aspaldi blokeatuta egon Txinan.
Ondorioa
Esperimentuak erakutsi zuen CDN edukia blokeatzen saiatzean zentsoreek izaten dituzten arazoak aprobetxatuz blokeak saihesteko sistema bat sortzeko erabil daitekeela. Tresna honek blokeak saihesteko aukera ematen du Txinan ere, sareko zentsura sistema indartsuenetako bat baitu.
Erabileraren gaiari buruzko beste artikulu batzuk negozioetarako:
Iturria: www.habr.com