Kuva:
Nykyään merkittävä osa kaikesta Internetin sisällöstä jaetaan CDN-verkkojen kautta. Samalla tutkitaan, kuinka eri sensuurit laajentavat vaikutusvaltaansa tällaisiin verkostoihin. Massachusettsin yliopiston tutkijat mahdollisia menetelmiä CDN-sisällön estämiseksi Kiinan viranomaisten esimerkin avulla ja kehitti myös työkalun tällaisen eston ohittamiseksi.
Olemme laatineet katsausmateriaalin, joka sisältää tämän kokeen tärkeimmät johtopäätökset ja tulokset.
Esittely
Sensuuri on maailmanlaajuinen uhka sananvapaudelle Internetissä ja tiedon vapaalle saatavuudelle. Tämä on suurelta osin mahdollista johtuen siitä, että Internet lainasi "päästä päähän -viestintä" -mallia viime vuosisadan 70-luvun puhelinverkoista. Tämän avulla voit estää pääsyn sisältöön tai käyttäjien viestintään ilman merkittäviä vaivaa tai kustannuksia yksinkertaisesti IP-osoitteen perusteella. Tässä on useita menetelmiä, itse osoitteen estämisestä kielletyllä sisällöllä käyttäjien kyvyn estämiseen jopa tunnistaa se DNS-manipulaatiolla.
Internetin kehitys on kuitenkin johtanut myös uusien tiedon levittämistapojen syntymiseen. Yksi niistä on välimuistissa olevan sisällön käyttö suorituskyvyn parantamiseksi ja viestinnän nopeuttamiseksi. Nykyään CDN-palveluntarjoajat käsittelevät merkittävän osan kaikesta maailman liikenteestä – Akamai, tämän segmentin johtava yritys, vastaa yksin jopa 30 % maailmanlaajuisesta staattisesta verkkoliikenteestä.
CDN-verkko on hajautettu järjestelmä Internet-sisällön toimittamiseen suurimmalla nopeudella. Tyypillinen CDN-verkko koostuu eri maantieteellisissä paikoissa sijaitsevista palvelimista, jotka tallentavat sisällön välimuistiin palvellakseen sitä lähimpänä palvelinta oleville käyttäjille. Tämän avulla voit nopeuttaa verkkoviestintää merkittävästi.
Sen lisäksi, että CDN-isännöinti parantaa loppukäyttäjien kokemusta, se auttaa sisällöntuottajia skaalaamaan projektejaan vähentämällä infrastruktuurinsa kuormitusta.
CDN-sisällön sensurointi
Huolimatta siitä, että CDN-liikenne muodostaa jo merkittävän osan kaikesta Internetin kautta välitetystä tiedosta, ei ole vieläkään läheskään tutkittu miten sensuurit todellisessa maailmassa lähestyvät sen hallintaa.
Tutkimuksen kirjoittajat aloittivat tutkimalla sensurointitekniikoita, joita voidaan soveltaa CDN-verkkoihin. Sitten he tutkivat Kiinan viranomaisten todellisia käyttämiä mekanismeja.
Ensin puhutaan mahdollisista sensurointimenetelmistä ja mahdollisuudesta käyttää niitä CDN:n ohjaamiseen.
IP-suodatus
Tämä on yksinkertaisin ja edullisin tekniikka Internetin sensurointiin. Tätä lähestymistapaa käyttämällä sensori tunnistaa kiellettyä sisältöä sisältävien resurssien IP-osoitteet ja lisää ne mustalle listalle. Sitten valvotut Internet-palveluntarjoajat lopettavat tällaisiin osoitteisiin lähetettyjen pakettien toimittamisen.
IP-pohjainen esto on yksi yleisimmistä Internetin sensurointimenetelmistä. Useimmat kaupalliset verkkolaitteet on varustettu toiminnoilla, jotka toteuttavat tällaisen eston ilman merkittävää laskentaponnistusta.
Tämä menetelmä ei kuitenkaan ole kovin sopiva CDN-liikenteen estämiseen tekniikan joistakin ominaisuuksista johtuen:
- Hajautettu välimuisti – Sisällön parhaan saatavuuden varmistamiseksi ja suorituskyvyn optimoimiseksi CDN-verkot tallentavat käyttäjän sisällön välimuistiin useille reunapalvelimille, jotka sijaitsevat maantieteellisesti hajautetuissa paikoissa. Suodattaakseen tällaista sisältöä IP:n perusteella sensorin tulee selvittää kaikkien reunapalvelimien osoitteet ja listata ne. Tämä heikentää menetelmän pääominaisuuksia, koska sen tärkein etu on, että tavallisessa järjestelmässä yhden palvelimen estäminen antaa sinun "katkaista" pääsyn kiellettyyn sisältöön suurelta määrältä ihmisiä kerralla.
- Jaetut IP-osoitteet – kaupalliset CDN-palveluntarjoajat jakavat infrastruktuurinsa (eli reunapalvelimet, kartoitusjärjestelmä jne.) useiden asiakkaiden kesken. Tämän seurauksena kielletty CDN-sisältö ladataan samoista IP-osoitteista kuin kielletty sisältö. Tämän seurauksena kaikki IP-suodatusyritykset johtavat siihen, että valtava määrä sivustoja ja sisältöä, jotka eivät kiinnosta sensuuria, estetään.
- Erittäin dynaaminen IP-määritys – Kuormituksen tasapainotuksen optimoimiseksi ja palvelun laadun parantamiseksi reunapalvelinten ja loppukäyttäjien kartoitus tehdään erittäin nopeasti ja dynaamisesti. Esimerkiksi Akamai-päivitykset palauttivat IP-osoitteita minuutin välein. Tämä tekee lähes mahdottomaksi osoitteiden yhdistämisen kiellettyyn sisältöön.
DNS-häiriö
IP-suodatuksen lisäksi toinen suosittu sensurointimenetelmä on DNS-häiriö. Tämä lähestymistapa sisältää sensuurien toimia, joiden tarkoituksena on estää käyttäjiä tunnistamasta kiellettyä sisältöä sisältävien resurssien IP-osoitteita. Toisin sanoen interventio tapahtuu verkkotunnuksen nimen resoluutiotasolla. On olemassa useita tapoja tehdä tämä, mukaan lukien DNS-yhteyksien kaappaus, DNS-myrkytystekniikoiden käyttö ja kiellettyjen sivustojen DNS-pyyntöjen estäminen.
Tämä on erittäin tehokas estomenetelmä, mutta se voidaan ohittaa, jos käytät epätyypillisiä DNS-ratkaisumenetelmiä, esimerkiksi kaistan ulkopuolisia kanavia. Siksi sensorit yhdistävät yleensä DNS-eston IP-suodatukseen. Mutta kuten edellä todettiin, IP-suodatus ei ole tehokas CDN-sisällön sensurointiin.
Suodata URL-osoitteen/avainsanojen mukaan DPI:n avulla
Nykyaikaisilla verkkotoiminnan valvontalaitteilla voidaan analysoida tiettyjä URL-osoitteita ja avainsanoja lähetetyissä datapaketeissa. Tätä tekniikkaa kutsutaan DPI:ksi (deep pakettien tarkastus). Tällaiset järjestelmät löytävät mainintoja kiellettyistä sanoista ja resursseista, minkä jälkeen ne häiritsevät verkkoviestintää. Tämän seurauksena paketit yksinkertaisesti pudotetaan.
Tämä menetelmä on tehokas, mutta monimutkaisempi ja resursseja vaativampi, koska se vaatii kaikkien tietyissä virroissa lähetettyjen datapakettien eheyttämisen.
CDN-sisältö voidaan suojata tällaiselta suodatukselta samalla tavalla kuin "tavallinen" sisältö – molemmissa tapauksissa salauksen (ts. HTTPS) käyttö auttaa.
Sen lisäksi, että DPI:n avulla etsitään kiellettyjen resurssien avainsanoja tai URL-osoitteita, näitä työkaluja voidaan käyttää kehittyneempään analysointiin. Näihin menetelmiin kuuluu online/offline-liikenteen tilastollinen analyysi ja tunnistusprotokollien analysointi. Nämä menetelmät ovat äärimmäisen resurssivaltaisia, ja tällä hetkellä ei yksinkertaisesti ole näyttöä siitä, että sensuurit olisivat käyttäneet niitä riittävän vakavasti.
CDN-palveluntarjoajien itsesensuuri
Jos sensuuri on osavaltio, sillä on kaikki mahdollisuudet kieltää niitä CDN-palveluntarjoajia toimimasta maassa, jotka eivät noudata sisällön käyttöä koskevia paikallisia lakeja. Itsesensuuria ei voi vastustaa millään tavalla - siksi jos CDN-palveluntarjoaja on kiinnostunut toimimaan tietyssä maassa, se pakotetaan noudattamaan paikallisia lakeja, vaikka ne rajoittaisivat sananvapautta.
Kuinka Kiina sensoi CDN-sisältöä
Kiinan suurta palomuuria pidetään oikeutetusti tehokkaimpana ja edistyneimpana järjestelmänä Internet-sensuurin varmistamisessa.
Tutkimusmenetelmät
Tutkijat suorittivat kokeita Kiinan sisällä sijaitsevalla Linux-solmulla. Heillä oli myös pääsy useisiin tietokoneisiin maan ulkopuolella. Ensinnäkin tutkijat tarkistivat, että solmu oli sensuurin kohteena, joka on samanlainen kuin muihin kiinalaisiin käyttäjiin - tätä varten he yrittivät avata useita kiellettyjä sivustoja tältä koneelta. Joten samantasoisen sensuurin olemassaolo vahvistettiin.
Luettelo Kiinassa estetyistä CDN-verkkoja käyttävistä verkkosivustoista on otettu GreatFire.org-sivustolta. Sitten kussakin tapauksessa estomenetelmä analysoitiin.
Julkisten tietojen mukaan CDN-markkinoiden ainoa merkittävä toimija, jolla on oma infrastruktuuri Kiinassa, on Akamai. Muut tutkimukseen osallistuvat palveluntarjoajat: CloudFlare, Amazon CloudFront, EdgeCast, Fastly ja SoftLayer.
Kokeiden aikana tutkijat selvittivät Akamai edge -palvelinten osoitteet maassa ja yrittivät sitten saada välimuistiin sallittua sisältöä niiden kautta. Kiellettyyn sisältöön ei päästy (HTTP 403 Forbidden error palautettiin) - ilmeisesti yritys sensuroi itseään säilyttääkseen toimintakyvyn maassa. Samaan aikaan pääsy näihin resursseihin pysyi avoinna maan ulkopuolella.
Internet-palveluntarjoajat, joilla ei ole infrastruktuuria Kiinassa, eivät itsesensuroi paikallisia käyttäjiä.
Muilla palveluntarjoajilla yleisin käytetty estomenetelmä oli DNS-suodatus – estetyille sivustoille tehdyt pyynnöt ratkaistaan vääriin IP-osoitteisiin. Samaan aikaan palomuuri ei estä itse CDN reunapalvelimia, koska ne tallentavat sekä kiellettyjä että sallittuja tietoja.
Ja jos salaamattoman liikenteen tapauksessa viranomaiset voivat estää yksittäisten sivustojen sivut DPI:n avulla, niin HTTPS:ää käytettäessä he voivat estää pääsyn vain koko verkkotunnukseen. Tämä johtaa myös sallitun sisällön estoon.
Lisäksi Kiinalla on omia CDN-palveluntarjoajia, mukaan lukien verkot kuten ChinaCache, ChinaNetCenter ja CDNetworks. Kaikki nämä yritykset noudattavat täysin maan lakeja ja estävät kielletyn sisällön.
CacheBrowser: CDN-ohitustyökalu
Kuten analyysi osoitti, sensuurien on melko vaikeaa estää CDN-sisältöä. Siksi tutkijat päättivät mennä pidemmälle ja kehittää online-lohkon ohitustyökalun, joka ei käytä välityspalvelintekniikkaa.
Työkalun perusideana on, että sensorien on häirittävä DNS:ää estääkseen CDN:t, mutta sinun ei itse asiassa tarvitse käyttää verkkotunnuksen resoluutiota CDN-sisällön lataamiseen. Siten käyttäjä voi saada tarvitsemansa sisällön ottamalla yhteyttä suoraan reunapalvelimeen, jossa se on jo välimuistissa.
Alla oleva kaavio näyttää järjestelmän suunnittelun.
Asiakasohjelmisto asennetaan käyttäjän tietokoneelle ja sisältöön pääsee tavallisella selaimella.
Kun URL-osoitetta tai sisältöä on jo pyydetty, selain pyytää paikallista DNS-järjestelmää (LocalDNS) hankkimaan isännöinnin IP-osoitteen. Tavallista DNS:ää kysytään vain verkkotunnuksilta, jotka eivät vielä ole LocalDNS-tietokannassa. Scraper-moduuli käy jatkuvasti läpi pyydetyt URL-osoitteet ja etsii luettelosta mahdollisesti estettyjen verkkotunnusten nimiä. Scraper kutsuu sitten Resolver-moduulia ratkaistakseen äskettäin löydetyt estetyt verkkotunnukset. Tämä moduuli suorittaa tehtävän ja lisää merkinnän LocalDNS:ään. Selaimen DNS-välimuisti tyhjennetään tämän jälkeen estetyn verkkotunnuksen olemassa olevien DNS-tietueiden poistamiseksi.
Jos Resolver-moduuli ei pysty selvittämään, mille CDN-palveluntarjoajalle toimialue kuuluu, se pyytää Bootstrapper-moduulilta apua.
Miten se käytännössä toimii
Tuotteen asiakasohjelmisto on toteutettu Linuxille, mutta se on helposti siirrettävissä myös Windowsille. Selaimena käytetään tavallista Mozillaa
Firefox. Scraper- ja Resolver-moduulit on kirjoitettu Pythonilla, ja Customer-to-CDN- ja CDN-toIP-tietokannat on tallennettu .txt-tiedostoihin. LocalDNS-tietokanta on tavallinen /etc/hosts-tiedosto Linuxissa.
Tämän seurauksena estetylle URL-osoitteelle, kuten Komentosarja saa reunapalvelimen IP-osoitteen /etc/hosts-tiedostosta ja lähettää HTTP GET -pyynnön päästäkseen BlockedURL.html-osoitteeseen Host HTTP -otsikkokentillä:
blocked.com/ and User-Agent: Mozilla/5.0 (Windows
NT 5.1; rv:14.0) Gecko/20100101 Firefox/14.0.1Bootstrapper-moduuli toteutetaan ilmaisella työkalulla digwebinterface.com. Tätä DNS-ratkaisijaa ei voi estää, ja se vastaa DNS-kyselyihin useiden maantieteellisesti hajautettujen DNS-palvelimien puolesta eri verkkoalueilla.
Tämän työkalun avulla tutkijat onnistuivat saamaan pääsyn Facebookiin Kiinan solmultaan, vaikka sosiaalinen verkosto on ollut pitkään estetty Kiinassa.
Johtopäätös
Kokeilu osoitti, että hyödyntämällä ongelmia, joita sensorit kokevat yrittäessään estää CDN-sisältöä, voidaan luoda järjestelmä lohkojen ohittamiseksi. Tämän työkalun avulla voit ohittaa lohkot jopa Kiinassa, jolla on yksi tehokkaimmista online-sensuurijärjestelmistä.
Muita käyttöaiheisia artikkeleita yrityksille:
Lähde: will.com