Manapság az interneten található összes tartalom jelentős részét CDN-hálózatokon keresztül terjesztik. Ugyanakkor annak kutatása, hogy a különböző cenzorok hogyan terjesztik ki befolyásukat az ilyen hálózatokra. A Massachusettsi Egyetem tudósai elemezte a CDN-tartalom blokkolásának lehetséges módszereit a kínai hatóságok gyakorlatának példáján keresztül, valamint egy eszközt is kidolgozott a blokkolás megkerülésére.
Összefoglaló anyagot készítettünk a kísérlet főbb következtetéseivel és eredményeivel.
Bevezetés
A cenzúra globális fenyegetést jelent az internetes szólásszabadságra és az információkhoz való szabad hozzáférésre. Ez nagyrészt annak köszönhető, hogy az internet a múlt század 70-es éveinek telefonhálózataiból kölcsönözte a „végpontok közötti kommunikáció” modellt. Ez lehetővé teszi, hogy jelentős erőfeszítés és költség nélkül blokkolja a tartalomhoz vagy a felhasználói kommunikációhoz való hozzáférést egyszerűen az IP-cím alapján. Számos módszer létezik, kezdve a tiltott tartalommal rendelkező cím blokkolásától egészen a felhasználók azon képességének blokkolásáig, hogy DNS-manipulációval akár felismerjék is.
Az internet fejlődése azonban az információterjesztés új módjainak megjelenéséhez is vezetett. Az egyik a gyorsítótárazott tartalom használata a teljesítmény javítása és a kommunikáció felgyorsítása érdekében. Napjainkban a CDN-szolgáltatók dolgozzák fel a világ összes forgalmának jelentős részét – az Akamai, az e szegmens vezető szereplője, egyedül a globális statikus webes forgalom 30%-át teszi ki.
A CDN-hálózat egy elosztott rendszer az internetes tartalmak maximális sebességgel történő szállítására. Egy tipikus CDN-hálózat különböző földrajzi helyeken lévő szerverekből áll, amelyek a tartalmat gyorsítótárazzák, hogy a szerverhez legközelebb álló felhasználók számára szolgálják ki. Ez lehetővé teszi az online kommunikáció sebességének jelentős növelését.
Amellett, hogy javítja a végfelhasználók élményét, a CDN-tárhely az infrastruktúra terhelésének csökkentésével segíti a tartalomkészítőket projektjeik méretezésében.
A CDN-tartalom cenzúrázása
Annak ellenére, hogy a CDN-forgalom már most is az interneten keresztül továbbított összes információ jelentős részét teszi ki, még mindig szinte nincs kutatás arra vonatkozóan, hogy a való világban a cenzorok hogyan közelítik meg az ellenőrzést.
A tanulmány szerzői a CDN-ekre alkalmazható cenzúratechnikák feltárásával kezdték. Ezután tanulmányozták a kínai hatóságok által használt tényleges mechanizmusokat.
Először is beszéljünk a lehetséges cenzúramódszerekről és annak lehetőségéről, hogy ezeket a CDN vezérlésére használhatjuk.
IP szűrés
Ez a legegyszerűbb és legolcsóbb technika az internet cenzúrázására. Ezzel a megközelítéssel a cenzor azonosítja és feketelistára helyezi a tiltott tartalmat tároló erőforrások IP-címeit. Ekkor az ellenőrzött internetszolgáltatók leállítják az ilyen címekre küldött csomagok kézbesítését.
Az IP-alapú blokkolás az internet cenzúrázásának egyik leggyakoribb módja. A legtöbb kereskedelmi hálózati eszköz fel van szerelve olyan funkciókkal, amelyek jelentős számítási erőfeszítés nélkül megvalósítják az ilyen blokkolást.
Ez a módszer azonban nem nagyon alkalmas a CDN-forgalom blokkolására magának a technológia néhány tulajdonsága miatt:
Elosztott gyorsítótár – A tartalom legjobb elérhetőségének biztosítása és a teljesítmény optimalizálása érdekében a CDN-hálózatok nagyszámú, földrajzilag elosztott helyen elhelyezkedő szélső szerveren gyorsítótárazzák a felhasználói tartalmat. Az ilyen tartalmak IP-alapú szűréséhez a cenzornak meg kell találnia az összes szélső szerver címét, és feketelistára kell helyeznie őket. Ez aláássa a módszer fő tulajdonságait, mivel fő előnye, hogy a szokásos sémában egy szerver blokkolása lehetővé teszi, hogy egyszerre nagy számú ember számára „levágja” a tiltott tartalomhoz való hozzáférést.
Megosztott IP-címek – a kereskedelmi CDN-szolgáltatók megosztják infrastruktúrájukat (azaz peremszervereket, leképezési rendszert stb.) sok ügyfél között. Ennek eredményeként a tiltott CDN-tartalom ugyanazokról az IP-címekről töltődik be, mint a nem tiltott tartalmak. Ennek eredményeként az IP-szűrésre tett kísérletek hatalmas számú olyan webhely és tartalom blokkolását eredményezik, amelyek nem érdekesek a cenzorok számára.
Rendkívül dinamikus IP-hozzárendelés – A terheléselosztás optimalizálása és a szolgáltatás minőségének javítása érdekében a peremszerverek és a végfelhasználók feltérképezése nagyon gyorsan és dinamikusan történik. Például az Akamai frissítései percenként IP-címeket adtak vissza. Ez szinte lehetetlenné teszi, hogy a címeket tiltott tartalomhoz társítsák.
DNS interferencia
Az IP-szűrés mellett egy másik népszerű cenzúra módszer a DNS-interferencia. Ez a megközelítés magában foglalja a cenzorok tevékenységét, amelyek célja, hogy megakadályozzák a felhasználókat abban, hogy felismerjék a tiltott tartalmú erőforrások IP-címét. Vagyis a beavatkozás a domain név felbontási szintjén történik. Ennek többféle módja van, beleértve a DNS-kapcsolatok eltérítését, a DNS-mérgezési technikák használatát és a tiltott webhelyekre irányuló DNS-kérések blokkolását.
Ez egy nagyon hatékony blokkolási módszer, de megkerülhető, ha nem szabványos DNS-feloldási módszereket, például sávon kívüli csatornákat használ. Ezért a cenzorok általában kombinálják a DNS-blokkolást az IP-szűréssel. De ahogy fentebb említettük, az IP-szűrés nem hatékony a CDN-tartalom cenzúrázására.
Szűrés URL/kulcsszavak alapján a DPI használatával
A modern hálózati tevékenység-figyelő berendezésekkel konkrét URL-ek és kulcsszavak elemezhetők a továbbított adatcsomagokban. Ezt a technológiát DPI-nek (deep packet ellenőrzés) hívják. Az ilyen rendszerek tiltott szavakat és forrásokat találnak, ami után zavarják az online kommunikációt. Ennek eredményeként a csomagokat egyszerűen eldobják.
Ez a módszer hatékony, de összetettebb és erőforrás-igényesebb, mert megköveteli az egyes adatfolyamokon belül küldött összes adatcsomag töredezettségmentesítését.
A CDN-tartalom ugyanúgy védhető az ilyen szűréstől, mint a „normál” tartalom – mindkét esetben a titkosítás (azaz HTTPS) segít.
Amellett, hogy DPI-t használnak a tiltott források kulcsszavainak vagy URL-címeinek megkeresésére, ezek az eszközök fejlettebb elemzésekhez is használhatók. Ezek a módszerek magukban foglalják az online/offline forgalom statisztikai elemzését és az azonosítási protokollok elemzését. Ezek a módszerek rendkívül erőforrás-igényesek, és jelenleg egyszerűen nincs bizonyíték arra, hogy a cenzorok kellően komoly mértékben használnák őket.
A CDN-szolgáltatók öncenzúrája
Ha a cenzor az állam, akkor minden lehetősége megvan arra, hogy megtiltsa az országban azon CDN-szolgáltatók működését, amelyek nem tartják be a tartalomhoz való hozzáférést szabályozó helyi törvényeket. Az öncenzúrának semmiképpen sem lehet ellenállni – ezért ha egy CDN-szolgáltató cég érdekelt egy adott országban való működésben, kénytelen lesz betartani a helyi törvényeket, még akkor is, ha azok korlátozzák a szólásszabadságot.
Hogyan cenzúrázza Kína a CDN-tartalmat
A kínai nagy tűzfalat joggal tartják a leghatékonyabb és legfejlettebb rendszernek az internetes cenzúra biztosítására.
Kutatásmódszertan
A tudósok kísérleteket végeztek egy Kínában található Linux-csomópont segítségével. Az országon kívül több számítógéphez is hozzáfértek. Először a kutatók ellenőrizték, hogy a csomópontot a többi kínai felhasználóhoz hasonló cenzúra alá vetették - ennek érdekében megpróbáltak különféle tiltott oldalakat megnyitni erről a gépről. Tehát az azonos szintű cenzúra megléte beigazolódott.
A Kínában blokkolt, CDN-t használó webhelyek listája a GreatFire.org webhelyről származik. Ezt követően minden esetben elemeztük a blokkolás módját.
Nyilvános adatok szerint a CDN-piac egyetlen jelentős szereplője saját infrastruktúrával Kínában, az Akamai. A tanulmányban részt vevő további szolgáltatók: CloudFlare, Amazon CloudFront, EdgeCast, Fastly és SoftLayer.
A kísérletek során a kutatók kiderítették az Akamai edge szerverek országon belüli címét, majd azokon keresztül próbálták meg gyorsítótárba juttatni az engedélyezett tartalmakat. Tiltott tartalmakhoz nem lehetett hozzáférni (HTTP 403 Forbidden error került vissza) - láthatóan öncenzúrázik a cég, hogy megőrizze működési képességét az országban. Ugyanakkor ezekhez az erőforrásokhoz való hozzáférés az országon kívül is nyitva maradt.
Az infrastruktúrával nem rendelkező internetszolgáltatók Kínában nem öncenzúrázzák a helyi felhasználókat.
Más szolgáltatók esetében a leggyakrabban használt blokkolási módszer a DNS-szűrés volt – a blokkolt oldalakra érkező kéréseket hibás IP-címekre oldják fel. Ugyanakkor a tűzfal nem blokkolja magukat a CDN szélső szervereket, mivel azok tiltott és engedélyezett információkat is tárolnak.
És ha titkosítatlan forgalom esetén a hatóságoknak lehetőségük van blokkolni a webhelyek egyes oldalait a DPI használatával, akkor HTTPS használata esetén csak a teljes tartományhoz való hozzáférést tagadhatják meg. Ez az engedélyezett tartalom blokkolásához is vezet.
Ezen kívül Kínának saját CDN-szolgáltatói is vannak, köztük olyan hálózatokkal, mint a ChinaCache, a ChinaNetCenter és a CDNetworks. Mindezek a cégek teljes mértékben megfelelnek az ország törvényeinek, és blokkolják a tiltott tartalmakat.
CacheBrowser: CDN bypass eszköz
Amint az elemzés kimutatta, a cenzorok számára meglehetősen nehéz blokkolni a CDN-tartalmakat. Ezért a kutatók úgy döntöttek, hogy továbbmennek, és kifejlesztenek egy online blokk-megkerülő eszközt, amely nem használ proxytechnológiát.
Az eszköz alapötlete az, hogy a cenzoroknak meg kell zavarniuk a DNS-t a CDN-ek blokkolásához, de valójában nem kell domainnév-feloldást használnia CDN-tartalom letöltéséhez. Így a felhasználó úgy kaphatja meg a szükséges tartalmat, hogy közvetlenül felveszi a kapcsolatot a szélső szerverrel, ahol az már gyorsítótárban van.
Az alábbi diagram a rendszer felépítését mutatja.
Az ügyfélszoftver telepítve van a felhasználó számítógépére, és a tartalom eléréséhez egy szokásos böngészőt használnak.
Ha egy URL-címet vagy tartalomrészletet már kértek, a böngésző kérést küld a helyi DNS-rendszernek (LocalDNS), hogy megszerezze a tárhely IP-címét. A normál DNS-t csak olyan tartományokhoz kérdezi le, amelyek még nem szerepelnek a LocalDNS adatbázisban. A Scraper modul folyamatosan végigmegy a kért URL-eken, és keresi a listában az esetlegesen blokkolt domain neveket. A Scraper ezután meghívja a Resolver modult az újonnan felfedezett blokkolt tartományok feloldásához, ez a modul végrehajtja a feladatot, és hozzáad egy bejegyzést a LocalDNS-hez. A böngésző DNS-gyorsítótára ezután törlődik a blokkolt tartomány meglévő DNS-rekordjainak eltávolításához.
Ha a Resolver modul nem tudja megállapítani, hogy a tartomány melyik CDN-szolgáltatóhoz tartozik, akkor a Bootstrapper modultól kér segítséget.
Hogyan működik a gyakorlatban
A termék kliens szoftvere Linuxra lett implementálva, de könnyen portolható Windowsra is. A szokásos Mozillát böngészőként használják
Firefox. A Scraper és Resolver modulok Python nyelven íródnak, a Customer-to-CDN és CDN-toIP adatbázisok pedig .txt fájlokban vannak tárolva. A LocalDNS adatbázis a szokásos /etc/hosts fájl Linuxban.
Ennek eredményeként egy blokkolt URL-hez, mint pl blocked.com A szkript megkapja az élkiszolgáló IP-címét az /etc/hosts fájlból, és HTTP GET kérést küld a BlockedURL.html eléréséhez a Host HTTP fejlécmezőkkel:
blocked.com/ and User-Agent: Mozilla/5.0 (Windows
NT 5.1; rv:14.0) Gecko/20100101 Firefox/14.0.1
A Bootstrapper modul a digwebinterface.com ingyenes eszközzel valósul meg. Ez a DNS-feloldó nem blokkolható, és különböző hálózati régiókban több földrajzilag elosztott DNS-kiszolgáló nevében válaszol a DNS-lekérdezésekre.
Ezzel az eszközzel a kutatóknak sikerült elérniük a Facebookot a kínai csomópontjukról, bár a közösségi háló már régóta le van tiltva Kínában.
Következtetés
A kísérlet megmutatta, hogy a cenzorok által tapasztalt problémák kihasználása a CDN-tartalom blokkolása során felhasználható a blokkok megkerülésére szolgáló rendszer létrehozására. Ez az eszköz lehetővé teszi a blokkok megkerülését még Kínában is, amely az egyik legerősebb online cenzúrarendszerrel rendelkezik.