Eksperyans CacheBrowser: kontoune firewall Chinwa a san yon prokurasyon lè l sèvi avèk kachèt kontni

Foto: Unsplash

Jodi a, yon pati enpòtan nan tout kontni sou Entènèt la distribye lè l sèvi avèk rezo CDN. An menm tan an, rechèch sou fason divès kalite sansi yo pwolonje enfliyans yo sou rezo sa yo. Syantis nan Inivèsite Massachusetts analize metòd posib pou bloke kontni CDN lè l sèvi avèk egzanp pratik otorite Chinwa yo, epi tou li devlope yon zouti pou kontoune bloke sa yo.

Nou te prepare yon materyèl revizyon ak konklizyon prensipal yo ak rezilta eksperyans sa a.

Entwodiksyon

Sansi se yon menas mondyal pou libète lapawòl sou entènèt la ak aksè gratis nan enfòmasyon. Sa a se lajman posib akòz lefèt ke Entènèt la prete modèl la "fen-a-fen kominikasyon" nan rezo telefòn nan ane 70 yo nan dènye syèk la. Sa a pèmèt ou bloke aksè nan kontni oswa kominikasyon itilizatè san efò enpòtan oswa pri tou senpleman baze sou adrès IP. Gen plizyè metòd isit la, soti nan bloke adrès la tèt li ak kontni entèdi nan bloke kapasite nan itilizatè yo menm rekonèt li lè l sèvi avèk manipilasyon DNS.

Sepandan, devlopman Entènèt la tou te mennen nan Aparisyon nan nouvo fason pou difize enfòmasyon. Youn nan yo se itilizasyon kontni kachèt pou amelyore pèfòmans ak pi vit kominikasyon. Jodi a, founisè CDN yo trete yon kantite siyifikatif nan tout trafik nan mond lan - Akamai, lidè nan segman sa a, pou kont li kont pou jiska 30% nan trafik mondyal estatik entènèt.

Yon rezo CDN se yon sistèm distribye pou bay kontni Entènèt ak vitès maksimòm. Yon rezo CDN tipik konsiste de serveurs nan diferan kote jeyografik ki kache kontni pou sèvi li bay itilizatè ki pi pre sèvè sa a. Sa a pèmèt ou siyifikativman ogmante vitès la nan kominikasyon sou entènèt.

Anplis amelyore eksperyans pou itilizatè final yo, CDN hosting ede kreyatè kontni echèl pwojè yo lè yo diminye chaj la sou enfrastrikti yo.

Sanzi kontni CDN

Malgre lefèt ke trafik CDN deja fè yon pòsyon enpòtan nan tout enfòmasyon transmèt sou Entènèt la, toujou gen prèske pa gen okenn rechèch sou fason sansi nan mond reyèl la apwoche kontwòl li yo.

Otè etid la te kòmanse pa eksplore teknik sansi ki ka aplike nan CDNs. Lè sa a, yo etidye mekanis aktyèl yo itilize pa otorite Chinwa yo.

Premyèman, ann pale sou posib metòd sansi ak posiblite pou itilize yo pou kontwole CDN la.

IP filtraj

Sa a se teknik ki pi senp ak pi chè pou sansi entènèt la. Sèvi ak apwòch sa a, sansi a idantifye ak lis nwa adrès IP resous ki hosting kontni entèdi. Lè sa a, founisè Entènèt yo kontwole sispann delivre pake yo voye nan adrès sa yo.

Bloke IP ki baze sou se youn nan metòd ki pi komen pou sansi entènèt la. Pifò aparèy rezo komèsyal yo ekipe ak fonksyon pou aplike bloke sa yo san efò enfòmatik enpòtan.

Sepandan, metòd sa a pa trè apwopriye pou bloke trafik CDN akòz kèk pwopriyete teknoloji nan tèt li:

• Caching distribiye – Pou asire pi bon disponiblite kontni ak optimize pèfòmans, rezo CDN yo mete kontni itilizatè yo nan kachèt sou yon gwo kantite serveurs kwen ki sitiye nan kote ki distribye jeyografikman. Pou filtre kontni sa yo ki baze sou IP, sansi a ta bezwen chèche konnen adrès yo nan tout serveurs kwen ak lis nwa yo. Sa a pral mine pwopriyete prensipal yo nan metòd la, paske avantaj prensipal li yo se ke nan konplo abityèl la, bloke yon sèl sèvè pèmèt ou "koupe" aksè nan kontni entèdi pou yon gwo kantite moun nan yon fwa.
• IP pataje – founisè CDN komèsyal yo pataje enfrastrikti yo (sa vle di sèvè kwen, sistèm kat, elatriye) ant anpil kliyan. Kòm yon rezilta, kontni CDN entèdi chaje soti nan menm adrès IP yo ak kontni ki pa entèdi. Kòm yon rezilta, nenpòt tantativ nan IP filtraj pral lakòz yon gwo kantite sit ak kontni ki pa nan enterè sansi yo bloke.
• Plasman IP trè dinamik – pou optimize balans chaj ak amelyore kalite sèvis la, kat sèvè kwen yo ak itilizatè fen yo fèt trè vit ak dinamik. Pa egzanp, mizajou Akamai te retounen adrès IP chak minit. Sa pral fè li prèske enposib pou adrès yo dwe asosye ak kontni entèdi.

DNS entèferans

Anplis filtraj IP, yon lòt metòd sansi popilè se entèferans DNS. Apwòch sa a enplike aksyon pa sansi ki vize pou anpeche itilizatè yo rekonèt adrès IP resous ki gen kontni entèdi. Sa vle di, entèvansyon an fèt nan nivo rezolisyon non domèn. Gen plizyè fason pou fè sa, tankou vòlè koneksyon DNS, lè l sèvi avèk teknik anpwazònman DNS, ak bloke demann DNS nan sit entèdi.

Sa a se yon metòd bloke trè efikas, men li ka kontoune si ou itilize metòd rezolisyon DNS ki pa estanda, pou egzanp, chanèl andeyò band. Se poutèt sa, sansi anjeneral konbine DNS bloke ak IP filtraj. Men, jan sa di pi wo a, IP filtraj pa efikas nan sansi kontni CDN.

Filtre pa URL/Mo kle lè l sèvi avèk DPI

Ekipman siveyans aktivite rezo modèn yo ka itilize pou analize URL espesifik ak mo kle nan pake done transmèt. Teknoloji sa a rele DPI (deep packet inspection). Sistèm sa yo jwenn mansyone mo ak resous entèdi, apre sa yo entèfere ak kominikasyon sou entènèt. Kòm yon rezilta, pake yo tou senpleman tonbe.

Metòd sa a efikas, men li pi konplèks ak resous-entansif paske li mande pou defragmantasyon tout pake done yo voye nan sèten kouran.

Kontni CDN ka pwoteje kont filtraj sa yo menm jan ak kontni "regilye" - ​​nan tou de ka yo sèvi ak chifreman (sa vle di HTTPS) ede.

Anplis de itilize DPI pou jwenn mo kle oswa URL resous entèdi, zouti sa yo ka itilize pou analiz ki pi avanse. Metòd sa yo enkli analiz estatistik sou trafik sou entènèt/offline ak analiz pwotokòl idantifikasyon. Metòd sa yo trè entansif resous ak nan moman sa a tou senpleman pa gen okenn prèv ki montre ke sansi yo sèvi ak yo nan yon limit ase serye.

Sansi tèt yo nan founisè CDN yo

Si sansi a se eta a, lè sa a li gen tout opòtinite pou entèdi founisè CDN sa yo opere nan peyi a ki pa obeyi lwa lokal ki gouvène aksè nan kontni. Oto-sansi pa ka reziste nan okenn fason - Se poutèt sa, si yon konpayi founisè CDN enterese nan opere nan yon sèten peyi, li pral fòse yo konfòme li ak lwa lokal yo, menm si yo mete restriksyon sou libète lapawòl.

Ki jan Lachin sansi kontni CDN

Great Firewall Lachin nan konsidere kòm sistèm ki pi efikas ak avanse pou asire sansi entènèt.

Rechèch metodoloji

Syantis yo te fè eksperyans lè l sèvi avèk yon ne Linux ki sitiye andedan Lachin. Yo te gen aksè a plizyè òdinatè tou andeyò peyi a. Premyèman, chèchè yo tcheke ke ne a te sijè a sansi menm jan ak sa ki aplike nan lòt itilizatè Chinwa - pou fè sa, yo te eseye louvri divès sit entèdi nan machin sa a. Se konsa, prezans nan menm nivo a sansi te konfime.

Lis sit entènèt ki bloke nan peyi Lachin ki itilize CDN yo te pran nan GreatFire.org. Metòd la nan bloke nan chak ka Lè sa a, te analize.

Dapre done piblik, sèl gwo jwè nan mache CDN ak pwòp enfrastrikti li nan Lachin se Akamai. Lòt founisè k ap patisipe nan etid la: CloudFlare, Amazon CloudFront, EdgeCast, Fastly ak SoftLayer.

Pandan eksperyans yo, chèchè yo te jwenn adrès sèvè kwen Akamai nan peyi a, epi yo te eseye jwenn kontni kachèt ki pèmèt yo atravè yo. Li pa t 'posib jwenn aksè nan kontni entèdi (HTTP 403 erè entèdi te retounen) - aparamman konpayi an se pwòp tèt ou-sansi yo nan lòd yo kenbe kapasite nan opere nan peyi a. An menm tan, aksè a resous sa yo te rete ouvè andeyò peyi a.

ISP ki pa gen enfrastrikti nan peyi Lachin pa oto-sansi itilizatè lokal yo.

Nan ka lòt founisè yo, metòd bloke ki pi souvan itilize a se filtraj DNS - demann nan sit bloke yo rezoud nan adrès IP kòrèk. An menm tan an, firewall la pa bloke sèvè CDN kwen yo tèt yo, paske yo estoke tou de enfòmasyon entèdi ak pèmèt.

Men, si nan ka a nan trafik unencrypted otorite yo gen kapasite nan bloke paj endividyèl nan sit lè l sèvi avèk DPI, Lè sa a, lè w ap itilize HTTPS yo ka sèlman refize aksè a tout domèn nan kòm yon antye. Sa a tou mennen nan bloke nan kontni pèmèt.

Anplis de sa, Lachin gen pwòp founisè CDN li yo, ki gen ladan rezo tankou ChinaCache, ChinaNetCenter ak CDNetworks. Tout konpayi sa yo konplètman konfòme yo ak lwa yo nan peyi a ak bloke kontni entèdi.

CacheBrowser: zouti kontoune CDN

Kòm analiz la te montre, li trè difisil pou sansi yo bloke kontni CDN. Se poutèt sa, chèchè yo deside ale pi lwen epi devlope yon zouti kontoune blòk sou entènèt ki pa sèvi ak teknoloji proxy.

Lide debaz zouti a se ke sansi yo dwe entèfere ak dns yo pou bloke CDN yo, men ou pa aktyèlman bezwen sèvi ak rezolisyon non domèn pou chaje kontni CDN. Kidonk, itilizatè a ka jwenn kontni an li bezwen pa dirèkteman kontakte sèvè kwen an, kote li deja kache.

Dyagram ki anba a montre konsepsyon sistèm lan.

Lojisyèl kliyan yo enstale sou òdinatè itilizatè a, epi yo itilize yon navigatè regilye pou jwenn aksè nan kontni an.

Lè yo te deja mande yon URL oswa yon moso nan kontni, navigatè a fè yon demann nan sistèm DNS lokal la (LocalDNS) pou jwenn adrès IP hosting la. DNS regilye yo mande sèlman pou domèn ki pa deja nan baz done LocalDNS la. Modil la Scraper kontinyèlman ale nan URL yo mande yo ak rechèch lis la pou potansyèlman bloke non domèn. Scraper Lè sa a, rele modil la Resolver rezoud domèn yo ki fèk dekouvri bloke, modil sa a fè travay la epi ajoute yon antre nan LocalDNS. Lè sa a, kachèt DNS navigatè a efase pou retire dosye DNS ki egziste deja pou domèn bloke a.

Si modil la Resolver pa ka konnen ki founisè CDN domèn nan fè pati, li pral mande modil Bootstrapper pou èd.

Ki jan li travay nan pratik

Lojisyèl kliyan an nan pwodwi a te aplike pou Linux, men li ka fasilman pò tou pou Windows. Yo itilize Mozilla regilye kòm yon navigatè
Firefox. Modil Scraper ak Resolver yo ekri nan Python, ak baz done Kliyan-a-CDN ak CDN-toIP yo estoke nan fichye .txt. Baz done LocalDNS la se fichye /etc/hosts regilye nan Linux.

Kòm yon rezilta, pou yon URL bloke tankou blocked.com Script la pral jwenn adrès IP sèvè kwen an nan fichye /etc/hosts epi voye yon demann HTTP GET pou jwenn aksè nan BlockedURL.html ak jaden antèt Hôte HTTP yo:

blocked.com/ and User-Agent: Mozilla/5.0 (Windows
NT 5.1; rv:14.0) Gecko/20100101 Firefox/14.0.1

Modil Bootstrapper la aplike lè l sèvi avèk zouti gratis digwebinterface.com. Rezolisyon DNS sa a pa ka bloke epi reponn kesyon DNS sou non plizyè sèvè DNS ki distribye géographiqueman nan diferan rejyon rezo.

Lè l sèvi avèk zouti sa a, chèchè yo jere yo jwenn aksè a Facebook soti nan ne Chinwa yo, byenke rezo sosyal la te bloke depi lontan nan peyi Lachin.

Konklizyon

Eksperyans lan te montre ke pran avantaj de pwoblèm yo ke sansi yo fè eksperyans lè yo ap eseye bloke kontni CDN yo ka itilize yo kreye yon sistèm pou kontourne blòk. Zouti sa a pèmèt ou kontoune blòk menm nan peyi Lachin, ki gen youn nan sistèm ki pi pwisan sansi sou entènèt.

Lòt atik sou sijè a nan itilizasyon prokurasyon rezidan yo pou biznis:

• Ki jan proxy rezidansyèl yo ede nan biznis: yon ka reyèl lè l sèvi avèk Infatica nan domèn Done Mining
• Analiz. Ki jan yon proxy SOCKS travay: avantaj, dezavantaj, diferans ak lòt teknoloji
• Ki jan yo chwazi yon rezo proxy pou biznis: 3 konsèy pratik

Sous: www.habr.com