Turgnamh CacheBrowser: balla dóiteáin na Síne a sheachaint gan seachfhreastalaí ag baint úsáide as taisceadh ábhair

Pictiúr: Unsplash

Sa lá atá inniu ann, déantar cuid shuntasach den ábhar go léir ar an Idirlíon a dháileadh trí úsáid a bhaint as líonraí CDN. Ag an am céanna, rinneadh taighde ar an gcaoi a leathnaíonn censóirí éagsúla a dtionchar ar líonraí dá leithéid. Eolaithe ó Ollscoil Massachusetts anailís modhanna féideartha chun ábhar CDN a bhlocáil ag baint úsáide as sampla cleachtais údaráis na Síne, agus d'fhorbair sé uirlis freisin chun an blocáil sin a sheachaint.

Tá ábhar athbhreithnithe ullmhaithe againn le príomhchonclúidí agus torthaí an turgnaimh seo.

Réamhrá

Is bagairt dhomhanda í an chinsireacht ar shaoirse cainte ar an Idirlíon agus rochtain saor in aisce ar fhaisnéis. Tá sé seo indéanta den chuid is mó mar gheall ar an bhfíric go bhfuair an Idirlíon an tsamhail “cumarsáid deireadh le deireadh” ar iasacht ó líonraí teileafóin na 70í den chéid seo caite. Ligeann sé seo duit rochtain ar ábhar nó cumarsáid úsáideora a bhlocáil gan iarracht shuntasach nó costas bunaithe ar sheoladh IP. Tá roinnt modhanna anseo, ó bhlocáil an seoladh féin le hábhar toirmiscthe go dtí bac a chur ar chumas úsáideoirí fiú é a aithint trí úsáid a bhaint as ionramháil DNS.

Mar sin féin, tá bealaí nua chun faisnéis a scaipeadh mar thoradh ar fhorbairt an Idirlín. Ar cheann acu tá úsáid ábhar i dtaisce chun feidhmíocht a fheabhsú agus cumarsáid a bhrostú. Sa lá atá inniu ann, próiseálann soláthraithe CDN méid suntasach den trácht ar fad ar domhan - is é Akamai, an ceannaire sa deighleog seo, suas le 30% den trácht gréasáin statach domhanda ina n-aonar.

Is córas dáilte é líonra CDN chun ábhar Idirlín a sheachadadh ar uasluas. Is éard atá i líonra CDN tipiciúil ná freastalaithe in áiteanna geografacha éagsúla a thaisceann ábhar chun é a sheirbheáil ar na húsáideoirí is gaire don fhreastalaí sin. Ligeann sé seo duit luas na cumarsáide ar líne a mhéadú go suntasach.

Помимо улучшения качества обслуживания для конечных пользователей, CDN-хостинг помогает создателям контента масштабировать свои проекты, снижая нагрузку на инфраструктуру.

Цензурирование CDN-контента

In ainneoin gurb ionann trácht CDN cheana féin agus cuid shuntasach den fhaisnéis go léir a tharchuirtear thar an Idirlíon, níl mórán taighde déanta fós ar an gcaoi a bhfuil censóirí sa saol fíor ag tabhairt faoina smacht.

Thosaigh údair an staidéir trí theicnící cinsireachta a iniúchadh is féidir a chur i bhfeidhm ar CDNanna. Ansin rinne siad staidéar ar na meicníochtaí iarbhír a d'úsáid údaráis na Síne.

Ar dtús, déanaimis labhairt faoi mhodhanna cinsireachta féideartha agus an fhéidearthacht iad a úsáid chun an CDN a rialú.

Scagadh IP

Is é seo an teicníocht is simplí agus is saor chun an tIdirlíon a chinsireacht. Ag baint úsáide as an gcur chuige seo, aithníonn agus liostaíonn an censor seoltaí IP na n-acmhainní a óstáil ábhar toirmiscthe. Ansin stopann na soláthraithe Idirlín rialaithe ag seachadadh paicéid a sheoltar chuig seoltaí den sórt sin.

Блокировка на основе IP – один из наиболее распространенных методов цензурирования интернета. Большинство коммерческих сетевых устройств оснащаются функциями для осуществления таких блокировок без серьезных вычислительных затрат.

Mar sin féin, níl an modh seo an-oiriúnach chun trácht CDN a bhlocáil mar gheall ar roinnt airíonna na teicneolaíochta féin:

• Taisce Dáilte – chun an infhaighteacht is fearr d’inneachar a áirithiú agus an fheidhmíocht a bharrfheabhsú, cuireann líonraí CDN inneachar úsáideora i dtaisce ar líon mór freastalaithe imeallacha atá lonnaithe i suíomhanna atá dáilte go geografach. Chun ábhar den sórt sin a scagadh bunaithe ar IP, bheadh ​​ar an scrúdóir seoltaí na bhfreastalaithe imeall go léir a fháil amach agus liosta dubh a dhéanamh orthu. Bainfidh sé seo an bonn de phríomh-airíonna an mhodha, mar is é an príomhbhuntáiste atá aige ná go gceadaíonn blocáil freastalaí amháin sa ghnáthscéim duit rochtain ar ábhar toirmiscthe a “ghearradh” do líon mór daoine ag an am céanna.
• IPanna roinnte – roinneann soláthraithe tráchtála CDN a mbonneagar (i.e. freastalaithe imeall, córas mapála, etc.) idir go leor cliant. Mar thoradh air sin, tá ábhar CDN toirmiscthe luchtaithe ó na seoltaí IP céanna mar ábhar neamh-toirmeasc. Mar thoradh air sin, mar thoradh ar aon iarracht ar scagadh IP cuirfear bac ar líon mór suíomhanna agus ábhar nach bhfuil spéis ag cinsirí iontu.
• Sannadh IP an-dinimiciúil – для оптимизации балансировки нагрузки и повышения качества сервиса, маппинг edge-серверов и конечных пользователей выполняется очень быстро и динамически. К примеру, Akamai обновляет возвращаемые IP-адреса каждую минуту. Это сделает почти невозможным процесс связи адресов с запрещенным контентом.

Cur isteach DNS

Seachas scagadh IP, modh cinsireachta coitianta eile is ea cur isteach DNS. Is éard atá i gceist leis an gcur chuige seo ná gníomhartha ó chinitheoirí atá dírithe ar úsáideoirí a chosc ó sheoltaí IP acmhainní le hábhar toirmiscthe a aithint. Is é sin le rá go dtarlaíonn an idirghabháil ag leibhéal réitigh an ainm fearainn. Tá roinnt bealaí ann chun é seo a dhéanamh, lena n-áirítear fuadach naisc DNS, úsáid a bhaint as teicnící nimhithe DNS, agus bac a chur ar iarratais DNS chuig láithreáin toirmiscthe.

Is modh blocála an-éifeachtach é seo, ach is féidir é a sheachbhóthar má úsáideann tú modhanna réitigh DNS neamhchaighdeánacha, mar shampla, bealaí lasmuigh den bhanna. Dá bhrí sin, is gnách go gcomhcheanglaíonn censóirí blocáil DNS le scagadh IP. Ach, mar a dúradh thuas, níl an scagadh IP éifeachtach chun ábhar CDN a chinsireacht.

Scag de réir URL/Eochairfhocail ag baint úsáide as PSO

Современное оборудование для мониторинга сетевой активности может быть использовано для анализа конкретных URL и ключевых слов в передаваемых пакетах данных. Эта технология получила название DPI (deep packet inspection). Такие системы находят упоминания запрещенных слов и ресурсов, после чего происходит вмешательство в онлайн-коммуникацию. В итоге пакеты просто сбрасываются.

Tá an modh seo éifeachtach, ach tá sé níos casta agus níos déine ó thaobh acmhainní de toisc go bhfuil gá leis na paicéid sonraí go léir a sheoltar laistigh de shruthanna áirithe a dhí-roinnt.

Is féidir ábhar CDN a chosaint ó scagadh den sórt sin ar an mbealach céanna le hábhar “rialta” - sa dá chás cuidíonn úsáid criptithe (i.e. HTTPS).

Помимо использования DPI для поиска ключевых слов или URL запрещенных ресурсов, эти инструменты могут быть использованы для более продвинутого анализа. К таким способам относятся статистический анализ онлайн/офлайн-трафика и анализ протоколов идентификации. Эти способы крайне ресурсоемки и в настоящий момент доказательств их использования цензорами в достаточно серьезном объеме просто не существует.

Самоцензура CDN-провайдеров

Más é an stát an cinsire, tá gach deis aige na soláthraithe CDN sin a thoirmeasc ó oibriú sa tír nach gcloíonn le dlíthe áitiúla a rialaíonn rochtain ar ábhar. Ní féidir cur i gcoinne féinchinsireachta ar bhealach ar bith - mar sin, má tá suim ag cuideachta soláthraithe CDN oibriú i dtír áirithe, cuirfear iallach uirthi cloí le dlíthe áitiúla, fiú má chuireann siad srian ar shaoirse cainte.

Conas a dhéanann an tSín scagaireacht ar ábhar CDN

Meastar go ceart gurb é Balla Dóiteáin Mór na Síne an córas is éifeachtaí agus is airde chun cinsireacht Idirlín a chinntiú.

Modheolaíocht taighde

Rinne eolaithe turgnaimh ag baint úsáide as nód Linux atá suite taobh istigh den tSín. Bhí rochtain acu freisin ar go leor ríomhairí lasmuigh den tír. Ar dtús, sheiceáil na taighdeoirí go raibh an nód faoi réir cinsireachta cosúil leis an gceann a cuireadh i bhfeidhm ar úsáideoirí Síneacha eile - chun é seo a dhéanamh, rinne siad iarracht suíomhanna toirmiscthe éagsúla a oscailt ón meaisín seo. Mar sin deimhníodh go raibh an leibhéal céanna cinsireachta i láthair.

Tógadh liosta na suíomhanna gréasáin a bhfuil bac orthu sa tSín a úsáideann CDNanna ó GreatFire.org. Rinneadh anailís ansin ar an modh blocála i ngach cás.

De réir sonraí poiblí, is é Akamai an t-aon imreoir mór sa mhargadh CDN a bhfuil a bhonneagar féin sa tSín. Soláthraithe eile atá rannpháirteach sa staidéar: CloudFlare, Amazon CloudFront, EdgeCast, Fastly agus SoftLayer.

Le linn na dturgnaimh, fuair na taighdeoirí amach seoltaí freastalaithe imeall Akamai laistigh den tír, agus ansin rinne siad iarracht ábhar ceadaithe taisce a fháil tríothu. Níorbh fhéidir rochtain a fháil ar ábhar toirmiscthe (Tugadh earráid Toirmiscthe HTTP 403 ar ais) - is cosúil go bhfuil an chuideachta féin-chinsireacht chun an cumas oibriú sa tír a choinneáil. Ag an am céanna, bhí rochtain ar na hacmhainní seo fós oscailte lasmuigh den tír.

Ní dhéanann ISPanna gan bonneagar sa tSín féin-chinsireacht ar úsáideoirí áitiúla.

I gcás soláthraithe eile, ba é an modh blocála is coitianta a úsáideadh ná scagadh DNS - déantar iarratais ar shuíomhanna blocáilte a réiteach chuig seoltaí IP mícheart. Ag an am céanna, ní chuireann an balla dóiteáin bac ar na freastalaithe imeall CDN iad féin, ós rud é go stórálann siad faisnéis thoirmiscthe agus cheadaithe araon.

Agus más rud é i gcás tráchta neamhchriptithe tá an cumas ag na húdaráis bac a chur ar leathanaigh aonair de shuíomhanna ag baint úsáide as DPI, ansin nuair a úsáideann siad HTTPS ní féidir leo rochtain ar an bhfearann ​​​​iomlán a dhiúltú ach amháin. Mar thoradh air seo freisin cuirtear bac ar ábhar ceadaithe.

Кроме того, в Китае есть и собственные провайдеры CDN, среди них такие сети как ChinaCache, ChinaNetCenter и CDNetworks. Все эти компании полностью исполняют законодательство страны и блокируют запрещенный контент.

CacheBrowser: инструмент обхода блокировок с помощью CDN

Как показал анализ, цензорам достаточно трудно блокировать CDN-контент. Поэтому исследователи решили пойти дальше и разработать инструмент обхода онлайн-блокировок, который не будет использовать технологию прокси.

Is é bun-smaoineamh na huirlise ná go gcaithfidh cinsirí cur isteach ar an DNS chun CDNanna a bhlocáil, ach ní gá duit réiteach ainm fearainn a úsáid chun ábhar CDN a luchtú. Mar sin, is féidir leis an úsáideoir an t-ábhar a theastaíonn uaidh a fháil trí theagmháil dhíreach a dhéanamh leis an bhfreastalaí imeall, áit a bhfuil sé i dtaisce cheana féin.

Taispeánann an léaráid thíos dearadh an chórais.

Tá bogearraí cliant suiteáilte ar ríomhaire an úsáideora, agus úsáidtear brabhsálaí rialta chun rochtain a fháil ar an ábhar.

Nuair a iarrtar URL nó píosa ábhair cheana féin, déanann an brabhsálaí iarratas chuig an gcóras DNS áitiúil (LocalDNS) chun an seoladh IP óstála a fháil. Ní cheistítear DNS rialta ach amháin le haghaidh fearainn nach bhfuil sa bhunachar sonraí LocalDNS cheana féin. Téann an modúl Scraper go leanúnach trí na URLanna iarrtha agus déanann sé cuardach ar an liosta le haghaidh ainmneacha fearainn a d'fhéadfadh a bheith blocáilte. Ansin cuireann Scraper glaoch ar mhodúl Resolver chun na fearainn bhlocáilte nua-aimsithe a réiteach, comhlíonann an modúl seo an tasc agus cuireann sé iontráil le LocalDNS. Glantar taisce DNS an bhrabhsálaí ansin chun taifid DNS atá ann cheana a bhaint don fhearann ​​blocáilte.

Mura féidir leis an modúl Resolver a dhéanamh amach cén soláthraí CDN lena mbaineann an fearann, iarrfaidh sé cabhair ar mhodúl Bootstrapper.

Conas a oibríonn sé go praiticiúil

Cuireadh bogearraí cliant an táirge i bhfeidhm le haghaidh Linux, ach is féidir é a phortáil go héasca le haghaidh Windows freisin. Úsáidtear Mozilla go rialta mar bhrabhsálaí
Firefox. Tá na modúil Scraper agus Resolver scríofa i Python, agus stóráiltear na bunachair shonraí Customer-to-CDN agus CDN-toIP i gcomhaid .txt. Is é bunachar sonraí LocalDNS an comhad rialta /etc/hosts i Linux.

Mar thoradh air sin, le haghaidh URL bac ar nós blocked.com Gheobhaidh an script seoladh IP an fhreastalaí imeall ón gcomhad /etc/hosts agus seolfaidh sé iarratas HTTP GET chun rochtain a fháil ar BlockedURL.html leis na réimsí ceanntásca Óstach HTTP:

blocked.com/ and User-Agent: Mozilla/5.0 (Windows
NT 5.1; rv:14.0) Gecko/20100101 Firefox/14.0.1

Cuirtear modúl Bootstrapper i bhfeidhm ag baint úsáide as an uirlis saor in aisce digwebinterface.com. Ní féidir bac a chur ar an réititheoir DNS seo agus freagraíonn sé fiosruithe DNS thar ceann freastalaithe DNS iolracha atá scaipthe go geografach i réigiúin líonra éagsúla.

Ag baint úsáide as an uirlis seo, d'éirigh leis na taighdeoirí rochtain a fháil ar Facebook óna nód Síneach, cé go bhfuil an líonra sóisialta bacáilte le fada sa tSín.

Conclúid

Léiríodh sa turgnamh gur féidir leas a bhaint as na fadhbanna a bhíonn ag cinsirí agus iad ag iarraidh ábhar CDN a bhlocáil chun córas a chruthú chun bloic a sheachbhóthar. Ligeann an uirlis seo duit bloic a sheachbhóthar fiú sa tSín, a bhfuil ceann de na córais chinsireachta ar líne is cumhachtaí ann.

Ailt eile ar an ábhar úsáide seachvótálaithe cónaithe для бизнеса:

• Conas a chuidíonn seachvótálaithe cónaithe le gnó: cás fíor maidir le húsáid Infatica i réimse na Mianadóireachta Sonraí
• Parsáil. Conas a oibríonn seachfhreastalaí SOCKS: buntáistí, míbhuntáistí, difríochtaí ó theicneolaíochtaí eile
• Conas líonra seachfhreastalaí a roghnú le haghaidh gnó: 3 leid phraiticiúla

Foinse: will.com