Ofbylding:
Tsjintwurdich wurdt in signifikant diel fan alle ynhâld op it ynternet ferspraat mei CDN-netwurken. Tagelyk ûndersyk nei hoe't ferskate sensueren harren ynfloed útwreidzje oer sokke netwurken. Wittenskippers fan 'e Universiteit fan Massachusetts mooglike metoaden foar blokkearjen fan CDN-ynhâld mei it foarbyld fan 'e praktiken fan' e Sineeske autoriteiten, en ûntwikkele ek in ark foar it omgean fan sokke blokkearjen.
Wy hawwe in resinsjemateriaal taret mei de wichtichste konklúzjes en resultaten fan dit eksperimint.
Ynlieding
Sensuer is in wrâldwide bedriging foar frijheid fan spraak op it ynternet en frije tagong ta ynformaasje. Dit is foar in grut part mooglik troch it feit dat it ynternet it model "end-to-end kommunikaasje" liende út telefoannetwurken fan 'e jierren '70 fan' e foarige ieu. Hjirmei kinne jo tagong blokkearje ta ynhâld of brûkerskommunikaasje sûnder signifikante ynspanning of kosten gewoan basearre op IP-adres. D'r binne hjir ferskate metoaden, fan it blokkearjen fan it adres sels mei ferbeane ynhâld oant it blokkearjen fan de mooglikheid fan brûkers om it sels te erkennen mei DNS-manipulaasje.
De ûntwikkeling fan it ynternet hat lykwols ek laat ta it ûntstean fan nije manieren om ynformaasje te fersprieden. Ien fan har is it brûken fan cache ynhâld om prestaasjes te ferbetterjen en kommunikaasje te fersnellen. Tsjintwurdich ferwurkje CDN-oanbieders in signifikant bedrach fan alle ferkear yn 'e wrâld - Akamai, de lieder yn dit segmint, makket allinich oant 30% fan it globale statyske webferkear út.
In CDN-netwurk is in ferspraat systeem foar it leverjen fan ynternetynhâld op maksimale snelheid. In typysk CDN-netwurk bestiet út servers op ferskate geografyske lokaasjes dy't ynhâld yn cache bewarje om it te tsjinjen oan brûkers dy't it tichtst by dy server binne. Hjirmei kinne jo de snelheid fan online kommunikaasje signifikant ferheegje.
Neist it ferbetterjen fan de ûnderfining foar ein brûkers, helpt CDN-hosting ynhâldmakkers har projekten te skaaljen troch de lêst op har ynfrastruktuer te ferminderjen.
Censoring CDN ynhâld
Nettsjinsteande it feit dat CDN-ferkear al in signifikant diel útmakket fan alle ynformaasje oer it ynternet, is d'r noch hast gjin ûndersyk nei hoe't sensueren yn 'e echte wrâld har kontrôle benaderje.
De auteurs fan 'e stúdzje begûnen mei it ferkennen fan sensuertechniken dy't kinne wurde tapast op CDN's. Dêrnei studearre se de eigentlike meganismen brûkt troch de Sineeske autoriteiten.
Litte wy earst prate oer mooglike sensuermetoaden en de mooglikheid om se te brûken om de CDN te kontrolearjen.
IP filterjen
Dit is de ienfâldichste en goedkeapste technyk foar it sensurearjen fan it ynternet. Mei dizze oanpak identifisearret en swartlist de sensuer de IP-adressen fan boarnen dy't ferbeane ynhâld hostje. Dan stopje de kontroleare ynternetproviders mei it leverjen fan pakketten nei sokke adressen.
IP-basearre blokkearjen is ien fan 'e meast foarkommende metoaden foar it sensurearjen fan it ynternet. De measte kommersjele netwurkapparaten binne foarsjoen fan funksjes om sa'n blokkearjen út te fieren sûnder signifikante berekkening.
Dizze metoade is lykwols net heul geskikt foar it blokkearjen fan CDN-ferkear fanwege guon eigenskippen fan 'e technology sels:
- Ferspraat caching - om de bêste beskikberens fan ynhâld te garandearjen en prestaasjes te optimalisearjen, CDN-netwurken cache brûkersynhâld op in grut oantal râneservers dy't yn geografysk ferspraat lokaasjes lizze. Om sa'n ynhâld te filterjen op basis fan IP, soe de sensuer de adressen fan alle râneservers moatte útfine en se op 'e swarte list moatte. Dit sil de haadeigenskippen fan 'e metoade ûndermynje, om't har wichtichste foardiel is dat yn' e gewoane skema, it blokkearjen fan ien tsjinner jo de tagong ta ferbeane ynhâld foar in grut oantal minsken tagelyk "ôfbrekke".
- Dielde IPs - kommersjele CDN-oanbieders diele har ynfrastruktuer (d.w.s. râneservers, mappingsysteem, ensfh.) tusken in protte kliïnten. As resultaat wurdt ferbeane CDN-ynhâld laden fan deselde IP-adressen as net-ferbeane ynhâld. As resultaat sil elke poging ta IP-filtering resultearje yn in enoarm oantal siden en ynhâld dy't net fan belang binne foar sensueren wurde blokkearre.
- Heech dynamyske IP-tawizing - om load balancing te optimalisearjen en de kwaliteit fan 'e tsjinst te ferbetterjen, wurdt it yn kaart bringen fan râneservers en ein brûkers heul fluch en dynamysk útfierd. Bygelyks, Akamai-updates jouwe elke minút IP-adressen werom. Dit sil it hast ûnmooglik meitsje dat adressen ferbûn wurde mei ferbeane ynhâld.
DNS ynterferinsje
Njonken IP-filtering is in oare populêre sensuermetoade DNS-ynterferinsje. Dizze oanpak omfettet aksjes fan sensueren dy't rjochte binne om te foarkommen dat brûkers de IP-adressen fan boarnen mei ferbeane ynhâld erkenne. Dat is, de yntervinsje bart op it nivo fan resolúsje fan domeinnamme. D'r binne ferskate manieren om dit te dwaan, ynklusyf it kapjen fan DNS-ferbiningen, it brûken fan DNS-fergiftigingstechniken en it blokkearjen fan DNS-oanfragen nei ferbeane siden.
Dit is in tige effektive blokkearjende metoade, mar it kin wurde omjûn as jo gebrûk meitsje fan net-standert DNS-resolúsje metoaden, Bygelyks, out-of-band kanalen. Dêrom kombinearje sensueren normaal DNS-blokkearjen mei IP-filtering. Mar, lykas hjirboppe oanjûn, is IP-filtering net effektyf by it sensurearjen fan CDN-ynhâld.
Filterje op URL / kaaiwurden mei DPI
Moderne apparatuer foar monitoring fan netwurkaktiviteit kin brûkt wurde om spesifike URL's en kaaiwurden te analysearjen yn oerdroegen gegevenspakketten. Dizze technology wurdt DPI (djippe pakketynspeksje) neamd. Sokke systemen fine fermeldingen fan ferbeane wurden en boarnen, wêrnei't se ynterferearje mei online kommunikaasje. As gefolch wurde de pakketten gewoan fallen.
Dizze metoade is effektyf, mar komplekser en boarne-yntinsive omdat it fereasket defragmentaasje fan alle gegevens pakketten ferstjoerd binnen bepaalde streamen.
CDN-ynhâld kin wurde beskerme tsjin sa'n filterjen op deselde manier as "gewoane" ynhâld - yn beide gefallen helpt it gebrûk fan fersifering (dus HTTPS).
Neist it brûken fan DPI om kaaiwurden of URL's fan ferbeane boarnen te finen, kinne dizze ark brûkt wurde foar mear avansearre analyse. Dizze metoaden omfetsje statistyske analyze fan online / offline ferkear en analyze fan identifikaasjeprotokollen. Dizze metoaden binne ekstreem boarne-yntinsyf en op it stuit is d'r gewoan gjin bewiis fan har gebrûk troch sensueren yn in foldwaande serieuze omfang.
Selssensuer fan CDN-oanbieders
As de sensuer de steat is, dan hat it alle kâns om dy CDN-oanbieders te ferbieden om te operearjen yn it lân dy't de pleatslike wetten net folgje dy't tagong ta ynhâld regelje. Selssensuer kin op gjin inkelde manier wjerstean wurde - dêrom, as in CDN-oanbiederbedriuw ynteressearre is yn operearjen yn in bepaald lân, sil it twongen wurde om te foldwaan oan pleatslike wetten, sels as se de frijheid fan mieningsutering beheine.
Hoe Sina censureert CDN-ynhâld
De Grutte Firewall fan Sina wurdt mei rjocht beskôge as it meast effektive en avansearre systeem foar it garandearjen fan ynternetsensuer.
Undersykmetoade
Wittenskippers hawwe eksperiminten útfierd mei in Linux-knooppunt yn Sina. Se hiene ek tagong ta ferskate kompjûters bûten it lân. Earst kontrolearren de ûndersikers dat it knooppunt ûnderwurpen wie oan sensuer fergelykber mei dat tapast op oare Sineeske brûkers - om dit te dwaan, besochten se ferskate ferbeane siden fan dizze masine te iepenjen. Sa waard de oanwêzigens fan itselde nivo fan sensuer befêstige.
De list mei websiden blokkearre yn Sina dy't CDN's brûke is nommen fan GreatFire.org. De metoade fan blokkearjen yn elk gefal waard doe analysearre.
Neffens iepenbiere gegevens is de ienige grutte spiler yn 'e CDN-merk mei in eigen ynfrastruktuer yn Sina Akamai. Oare oanbieders dy't dielnimme oan 'e stúdzje: CloudFlare, Amazon CloudFront, EdgeCast, Fastly en SoftLayer.
Tidens de eksperiminten fûnen de ûndersikers de adressen fan Akamai-rânservers yn it lân, en besochten doe tastiene ynhâld troch har yn cache te krijen. It wie net mooglik om tagong te krijen ta ferbeane ynhâld (HTTP 403 Ferbeane flater waard weromjûn) - blykber is it bedriuw sels-sensurearje om de mooglikheid om te operearjen yn it lân te behâlden. Tagelyk bleau tagong ta dizze boarnen bûten it lân iepen.
ISP's sûnder ynfrastruktuer yn Sina sels-sensurearje lokale brûkers net.
Yn it gefal fan oare providers wie de meast brûkte blokkearjende metoade DNS-filtering - fersiken nei blokkearre siden wurde oplost nei ferkearde IP-adressen. Tagelyk blokkeart de firewall de CDN-rânservers sels net, om't se sawol ferbeane as tastiene ynformaasje opslaan.
En as yn it gefal fan net-fersifere ferkear de autoriteiten de mooglikheid hawwe om yndividuele siden fan siden te blokkearjen mei DPI, dan kinne se by it brûken fan HTTPS allinich tagong wegerje ta it heule domein as gehiel. Dit liedt ek ta blokkearjen fan tastiene ynhâld.
Derneist hat Sina syn eigen CDN-oanbieders, ynklusyf netwurken lykas ChinaCache, ChinaNetCenter en CDNetworks. Al dizze bedriuwen foldogge folslein oan 'e wetten fan it lân en blokkearje ferbeane ynhâld.
CacheBrowser: CDN bypass ark
Lykas de analyze toande, is it frij lestich foar sensueren om CDN-ynhâld te blokkearjen. Dêrom besleaten de ûndersikers fierder te gean en in online blok-bypass-ark te ûntwikkeljen dat gjin proxytechnology brûkt.
It basisidee fan it ark is dat sensueren de DNS moatte bemuoie om CDN's te blokkearjen, mar jo hoege eins gjin domeinnammeresolúsje te brûken om CDN-ynhâld te laden. Sa kin de brûker de ynhâld krije dy't hy nedich is troch direkt kontakt te meitsjen mei de râneserver, wêr't it al yn 'e cache is.
It diagram hjirûnder lit it systeemûntwerp sjen.
Client software wurdt ynstallearre op de brûker syn kompjûter, en in gewoane blêder wurdt brûkt om tagong ta de ynhâld.
As in URL of stikje ynhâld al oanfrege is, docht de browser in fersyk oan it lokale DNS-systeem (LocalDNS) om it hosting-IP-adres te krijen. Reguliere DNS wurdt allinich frege foar domeinen dy't net al yn 'e LocalDNS-database steane. De Scraper-module giet kontinu troch de oanfrege URL's en siket de list foar mooglik blokkearre domeinnammen. Scraper ropt dan de Resolver-module op om de nij ûntdutsen blokkearre domeinen op te lossen, dizze module fiert de taak en foeget in yngong ta oan LocalDNS. De DNS-cache fan 'e browser wurdt dan wiske om besteande DNS-records foar it blokkearre domein te ferwiderjen.
As de Resolver-module net kin útfine hokker CDN-provider it domein heart, sil it de Bootstrapper-module om help freegje.
Hoe't it yn 'e praktyk wurket
De klantsoftware fan it produkt waard ymplementearre foar Linux, mar it kin ek maklik wurde porteare foar Windows. Reguliere Mozilla wurdt brûkt as browser
Firefox. De Scraper- en Resolver-modules binne skreaun yn Python, en de Customer-to-CDN- en CDN-toIP-databases wurde opslein yn .txt-bestannen. De LocalDNS-database is it reguliere /etc/hosts-bestân yn Linux.
As gefolch, foar in blokkearre URL lykas It skript sil it IP-adres fan 'e rânetsjinner krije fan it /etc/hosts-bestân en stjoert in HTTP GET-fersyk om tagong te krijen ta BlockedURL.html mei de Host HTTP-headerfjilden:
blocked.com/ and User-Agent: Mozilla/5.0 (Windows
NT 5.1; rv:14.0) Gecko/20100101 Firefox/14.0.1De Bootstrapper-module wurdt ymplementearre mei it fergese ark digwebinterface.com. Dizze DNS-resolver kin net blokkearre wurde en beantwurdet DNS-fragen út namme fan meardere geografysk ferspraat DNS-tsjinners yn ferskate netwurkregio's.
Mei help fan dit ark slaggen de ûndersikers om tagong te krijen ta Facebook fan har Sineeske knooppunt, hoewol it sosjale netwurk al lang yn Sina blokkearre is.
konklúzje
It eksperimint liet sjen dat it foardieljen fan 'e problemen dy't sensueren ûnderfine by it besykjen fan CDN-ynhâld te blokkearjen kin wurde brûkt om in systeem te meitsjen foar it omgean fan blokken. Dit ark lit jo blokken omgean sels yn Sina, dat ien fan 'e machtichste online sensuersystemen hat.
Oare artikels oer it ûnderwerp fan gebrûk foar saken:
Boarne: www.habr.com