آزمایش CacheBrowser: دور زدن فایروال چینی بدون پراکسی با استفاده از کش محتوا

تصویر: می Unsplash

امروزه بخش قابل توجهی از تمام محتوای اینترنت با استفاده از شبکه های CDN توزیع می شود. در عین حال، تحقیق در مورد اینکه چگونه سانسورکنندگان مختلف نفوذ خود را بر چنین شبکه هایی گسترش می دهند. دانشمندان دانشگاه ماساچوست تجزیه و تحلیل کرد روش های ممکن برای مسدود کردن محتوای CDN با استفاده از نمونه اقدامات مقامات چینی، و همچنین ابزاری برای دور زدن چنین مسدودسازی ایجاد کرد.

ما یک مطلب مروری با نتیجه گیری و نتایج اصلی این آزمایش آماده کرده ایم.

معرفی

سانسور یک تهدید جهانی برای آزادی بیان در اینترنت و دسترسی آزاد به اطلاعات است. این به دلیل این واقعیت است که اینترنت مدل "ارتباطات سرتاسری" را از شبکه های تلفنی دهه 70 قرن گذشته به عاریت گرفته است. این به شما امکان می دهد دسترسی به محتوا یا ارتباطات کاربر را بدون تلاش یا هزینه قابل توجه به سادگی بر اساس آدرس IP مسدود کنید. در اینجا روش‌های مختلفی وجود دارد، از مسدود کردن خود آدرس با محتوای ممنوعه تا مسدود کردن توانایی کاربران برای شناسایی حتی با استفاده از دستکاری DNS.

با این حال، توسعه اینترنت همچنین منجر به پیدایش راه‌های جدیدی برای انتشار اطلاعات شده است. یکی از آنها استفاده از محتوای کش برای بهبود عملکرد و سرعت بخشیدن به ارتباطات است. امروزه، ارائه دهندگان CDN مقدار قابل توجهی از کل ترافیک جهان را پردازش می کنند - Akamai، پیشرو در این بخش، به تنهایی تا 30٪ از ترافیک وب استاتیک جهانی را تشکیل می دهد.

شبکه CDN یک سیستم توزیع شده برای ارائه محتوای اینترنتی با حداکثر سرعت است. یک شبکه CDN معمولی متشکل از سرورهایی در مکان‌های جغرافیایی مختلف است که محتوا را در حافظه پنهان ذخیره می‌کند تا به کاربرانی که نزدیک‌ترین آنها به آن سرور هستند ارائه شود. این به شما امکان می دهد تا سرعت ارتباطات آنلاین را به میزان قابل توجهی افزایش دهید.

میزبانی CDN علاوه بر بهبود تجربه برای کاربران نهایی، به سازندگان محتوا کمک می‌کند تا پروژه‌های خود را با کاهش بار روی زیرساخت خود مقیاس‌بندی کنند.

سانسور محتوای CDN

علیرغم این واقعیت که ترافیک CDN در حال حاضر بخش قابل توجهی از تمام اطلاعات منتقل شده از طریق اینترنت را تشکیل می دهد، هنوز تقریباً هیچ تحقیقی در مورد نحوه برخورد سانسورگران در دنیای واقعی برای کنترل آن وجود ندارد.

نویسندگان این مطالعه با بررسی تکنیک‌های سانسوری که می‌توانند در CDN‌ها اعمال شوند، شروع کردند. سپس مکانیسم های واقعی مورد استفاده توسط مقامات چینی را مورد مطالعه قرار دادند.

ابتدا اجازه دهید در مورد روش های احتمالی سانسور و امکان استفاده از آنها برای کنترل CDN صحبت کنیم.

فیلتر IP

این ساده ترین و کم هزینه ترین تکنیک برای سانسور اینترنت است. با استفاده از این رویکرد، سانسور آدرس‌های IP منابع میزبان محتوای ممنوعه را شناسایی کرده و در لیست سیاه قرار می‌دهد. سپس ارائه دهندگان اینترنت کنترل شده تحویل بسته های ارسال شده به چنین آدرس هایی را متوقف می کنند.

مسدود کردن مبتنی بر IP یکی از رایج ترین روش های سانسور اینترنت است. اکثر دستگاه‌های شبکه تجاری مجهز به عملکردهایی برای پیاده‌سازی چنین انسدادی بدون تلاش محاسباتی قابل توجه هستند.

با این حال، این روش برای مسدود کردن ترافیک CDN به دلیل برخی از ویژگی‌های خود فناوری بسیار مناسب نیست:

• ذخیره سازی توزیع شده - برای اطمینان از بهترین در دسترس بودن محتوا و بهینه‌سازی عملکرد، شبکه‌های CDN محتوای کاربر را در تعداد زیادی سرور لبه‌ای که در مکان‌های جغرافیایی توزیع شده‌اند ذخیره می‌کنند. برای فیلتر کردن چنین محتوایی بر اساس IP، سانسور کننده باید آدرس تمام سرورهای لبه را پیدا کند و آنها را در لیست سیاه قرار دهد. این ویژگی‌های اصلی روش را تضعیف می‌کند، زیرا مزیت اصلی آن این است که در طرح معمول، مسدود کردن یک سرور به شما امکان می‌دهد دسترسی به محتوای ممنوعه را برای تعداد زیادی از افراد به طور همزمان "قطع" کنید.
• آی پی های مشترک – ارائه دهندگان تجاری CDN زیرساخت خود (یعنی سرورهای لبه، سیستم نقشه برداری و غیره) را بین بسیاری از مشتریان به اشتراک می گذارند. در نتیجه، محتوای CDN ممنوعه از همان آدرس‌های IP محتوای غیرممنوع بارگیری می‌شود. در نتیجه، هرگونه تلاش برای فیلتر IP منجر به مسدود شدن تعداد زیادی سایت و محتوایی می شود که مورد علاقه سانسورچی ها نیستند.
• تخصیص IP بسیار پویا - برای بهینه سازی تعادل بار و بهبود کیفیت خدمات، نقشه برداری از سرورهای لبه و کاربران نهایی بسیار سریع و پویا انجام می شود. برای مثال، به‌روزرسانی‌های Akamai هر دقیقه آدرس‌های IP را برمی‌گرداند. این امر ارتباط آدرس ها با محتوای ممنوعه را تقریبا غیرممکن می کند.

تداخل DNS

علاوه بر فیلتر IP، یکی دیگر از روش های محبوب سانسور تداخل DNS است. این رویکرد شامل اقدامات سانسور کننده با هدف جلوگیری از شناسایی آدرس IP منابع با محتوای ممنوع توسط کاربران است. یعنی مداخله در سطح وضوح نام دامنه رخ می دهد. راه‌های مختلفی برای انجام این کار وجود دارد، از جمله ربودن اتصالات DNS، استفاده از تکنیک‌های مسمومیت با DNS و مسدود کردن درخواست‌های DNS برای سایت‌های ممنوعه.

این یک روش مسدود کردن بسیار مؤثر است، اما اگر از روش‌های غیراستاندارد رزولوشن DNS، به عنوان مثال، کانال‌های خارج از باند استفاده کنید، می‌توان آن را دور زد. بنابراین، سانسورها معمولاً مسدود کردن DNS را با فیلتر IP ترکیب می کنند. اما همانطور که در بالا گفته شد، فیلتر IP در سانسور محتوای CDN موثر نیست.

با استفاده از DPI بر اساس URL/کلمات کلیدی فیلتر کنید

تجهیزات مدرن نظارت بر فعالیت شبکه را می توان برای تجزیه و تحلیل URL ها و کلمات کلیدی خاص در بسته های داده ارسال شده استفاده کرد. این فناوری DPI (بازرسی عمیق بسته) نامیده می شود. چنین سیستم هایی به کلمات و منابع ممنوعه اشاره می کنند و پس از آن در ارتباطات آنلاین تداخل ایجاد می کنند. در نتیجه، بسته ها به سادگی حذف می شوند.

این روش موثر است، اما پیچیده‌تر و با منابع فشرده‌تر است، زیرا به یکپارچه‌سازی تمام بسته‌های داده ارسال شده در جریان‌های خاص نیاز دارد.

محتوای CDN را می توان به همان روشی که محتوای "معمولی" در برابر چنین فیلترهایی محافظت کرد - در هر دو مورد استفاده از رمزگذاری (به عنوان مثال HTTPS) کمک می کند.

علاوه بر استفاده از DPI برای یافتن کلمات کلیدی یا URL منابع ممنوعه، می توان از این ابزارها برای تجزیه و تحلیل پیشرفته تر استفاده کرد. این روش ها شامل تجزیه و تحلیل آماری ترافیک آنلاین/آفلاین و تجزیه و تحلیل پروتکل های شناسایی است. این روش ها به شدت منابع فشرده هستند و در حال حاضر به سادگی هیچ مدرکی مبنی بر استفاده از آنها توسط سانسورها به میزان کافی جدی وجود ندارد.

خودسانسوری ارائه دهندگان CDN

اگر سانسور کننده ایالت باشد، پس از هر فرصتی برخوردار است تا ارائه دهندگان CDN را از فعالیت در کشور که از قوانین محلی حاکم بر دسترسی به محتوا تبعیت نمی کنند، منع کند. به هیچ وجه نمی توان در برابر خودسانسوری مقاومت کرد - بنابراین، اگر یک شرکت ارائه دهنده CDN علاقه مند به فعالیت در یک کشور خاص باشد، مجبور خواهد شد از قوانین محلی تبعیت کند، حتی اگر آنها آزادی بیان را محدود کنند.

چگونه چین محتوای CDN را سانسور می کند

فایروال بزرگ چین به درستی موثرترین و پیشرفته ترین سیستم برای اطمینان از سانسور اینترنت در نظر گرفته می شود.

روش تحقیق

دانشمندان آزمایش هایی را با استفاده از یک گره لینوکس واقع در داخل چین انجام دادند. آنها همچنین به چندین کامپیوتر در خارج از کشور دسترسی داشتند. ابتدا، محققان بررسی کردند که این گره در معرض سانسور مشابهی است که برای سایر کاربران چینی اعمال می شود - برای انجام این کار، آنها سعی کردند سایت های ممنوعه مختلفی را از این دستگاه باز کنند. بنابراین وجود همان سطح سانسور تایید شد.

لیست وب سایت های مسدود شده در چین که از CDN استفاده می کنند از GreatFire.org گرفته شده است. سپس روش مسدود کردن در هر مورد مورد تجزیه و تحلیل قرار گرفت.

طبق داده های عمومی، تنها بازیگر اصلی در بازار CDN با زیرساخت های خاص خود در چین، Akamai است. سایر ارائه دهندگان شرکت کننده در این مطالعه: CloudFlare، Amazon CloudFront، EdgeCast، Fastly و SoftLayer.

در طول آزمایش‌ها، محققان آدرس سرورهای Akamai edge را در داخل کشور پیدا کردند و سپس سعی کردند محتوای مجاز را از طریق آنها ذخیره کنند. دسترسی به محتوای ممنوعه امکان پذیر نبود (خطای ممنوعه HTTP 403 برگشت داده شد) - ظاهراً شرکت برای حفظ توانایی فعالیت در کشور خودسانسور می کند. در عین حال، دسترسی به این منابع در خارج از کشور باز ماند.

ISP های بدون زیرساخت در چین کاربران محلی را خودسانسور نمی کنند.

در مورد سایر ارائه دهندگان، متداول ترین روش مسدود کردن استفاده از فیلتر DNS بود - درخواست ها به سایت های مسدود شده به آدرس های IP نادرست حل می شوند. در عین حال، فایروال خود سرورهای لبه CDN را مسدود نمی کند، زیرا آنها اطلاعات ممنوعه و مجاز را ذخیره می کنند.

و اگر در مورد ترافیک رمزگذاری نشده، مقامات این توانایی را داشته باشند که صفحات جداگانه سایت ها را با استفاده از DPI مسدود کنند، در صورت استفاده از HTTPS فقط می توانند دسترسی به کل دامنه را به طور کلی ممنوع کنند. این همچنین منجر به مسدود شدن محتوای مجاز می شود.

علاوه بر این، چین ارائه دهندگان CDN خود را دارد، از جمله شبکه هایی مانند ChinaCache، ChinaNetCenter و CDNetworks. تمامی این شرکت ها به طور کامل از قوانین کشور پیروی می کنند و محتوای ممنوعه را مسدود می کنند.

CacheBrowser: ابزار دور زدن CDN

همانطور که تجزیه و تحلیل نشان داد، مسدود کردن محتوای CDN برای سانسورها بسیار دشوار است. بنابراین، محققان تصمیم گرفتند بیشتر پیش بروند و یک ابزار بای پس بلاک آنلاین را توسعه دهند که از فناوری پروکسی استفاده نمی کند.

ایده اصلی ابزار این است که سانسورها باید با DNS تداخل داشته باشند تا CDN ها را مسدود کنند، اما در واقع لازم نیست از وضوح نام دامنه برای بارگیری محتوای CDN استفاده کنید. بنابراین، کاربر می‌تواند محتوای مورد نیاز خود را با تماس مستقیم با سرور لبه، جایی که قبلاً در حافظه پنهان است، دریافت کند.

نمودار زیر طراحی سیستم را نشان می دهد.

نرم افزار کلاینت بر روی کامپیوتر کاربر نصب می شود و از یک مرورگر معمولی برای دسترسی به محتوا استفاده می شود.

هنگامی که یک URL یا قسمتی از محتوا قبلاً درخواست شده باشد، مرورگر درخواستی از سیستم DNS محلی (LocalDNS) برای دریافت آدرس IP میزبانی می کند. DNS معمولی فقط برای دامنه‌هایی که قبلاً در پایگاه داده LocalDNS نیستند، درخواست می‌شود. ماژول Scraper به طور مداوم از طریق URL های درخواستی می گذرد و لیست را برای نام های دامنه مسدود شده بالقوه جستجو می کند. سپس Scraper ماژول Resolver را فراخوانی می کند تا دامنه های مسدود شده تازه کشف شده را حل کند، این ماژول وظیفه را انجام می دهد و یک ورودی به LocalDNS اضافه می کند. سپس حافظه پنهان DNS مرورگر برای حذف رکوردهای DNS موجود برای دامنه مسدود شده پاک می شود.

اگر ماژول Resolver نتواند تشخیص دهد که دامنه متعلق به کدام ارائه دهنده CDN است، از ماژول Bootstrapper کمک می خواهد.

چگونه در عمل کار می کند

نرم افزار مشتری محصول برای لینوکس پیاده سازی شده است، اما می توان آن را به راحتی برای ویندوز نیز پورت کرد. موزیلا معمولی به عنوان یک مرورگر استفاده می شود
فایرفاکس. ماژول‌های Scraper و Resolver در پایتون نوشته شده‌اند و پایگاه‌های داده Customer-to-CDN و CDN-toIP در فایل‌های txt. ذخیره می‌شوند. پایگاه داده LocalDNS فایل /etc/hosts معمولی در لینوکس است.

در نتیجه، برای یک URL مسدود شده مانند blocked.com اسکریپت آدرس IP سرور لبه را از فایل /etc/hosts دریافت می کند و یک درخواست HTTP GET برای دسترسی به BlockedURL.html با فیلدهای هدر Host HTTP ارسال می کند:

blocked.com/ and User-Agent: Mozilla/5.0 (Windows
NT 5.1; rv:14.0) Gecko/20100101 Firefox/14.0.1

ماژول Bootstrapper با استفاده از ابزار رایگان digwebinterface.com پیاده سازی شده است. این حل کننده DNS را نمی توان مسدود کرد و به درخواست های DNS از طرف چندین سرور DNS توزیع شده جغرافیایی در مناطق مختلف شبکه پاسخ می دهد.

با استفاده از این ابزار، محققان موفق شدند از گره چینی خود به فیس بوک دسترسی پیدا کنند، اگرچه این شبکه اجتماعی مدت هاست در چین مسدود شده است.

نتیجه

این آزمایش نشان داد که بهره گیری از مشکلاتی که سانسورها هنگام تلاش برای مسدود کردن محتوای CDN با آن مواجه می شوند، می تواند برای ایجاد سیستمی برای دور زدن بلوک ها استفاده شود. این ابزار به شما امکان می دهد بلوک ها را حتی در چین که یکی از قدرتمندترین سیستم های سانسور آنلاین را دارد، دور بزنید.

مقالات دیگر در مورد موضوع استفاده پروکسی های مقیم برای کسب و کار:

• چگونه پراکسی های مسکونی در تجارت کمک می کنند: یک مورد واقعی از استفاده از Infatica در زمینه داده کاوی
• تجزیه. پروکسی SOCKS چگونه کار می کند: جوانب مثبت، منفی، تفاوت با سایر فناوری ها
• نحوه انتخاب یک شبکه پروکسی برای تجارت: 3 نکته کاربردی

منبع: www.habr.com