Gambar:
Saat ini, sebagian besar konten di Internet didistribusikan menggunakan jaringan CDN. Pada saat yang sama, dilakukan penelitian tentang bagaimana berbagai sensor memperluas pengaruhnya terhadap jaringan tersebut. Ilmuwan dari Universitas Massachusetts kemungkinan metode pemblokiran konten CDN menggunakan contoh praktik otoritas Tiongkok, dan juga mengembangkan alat untuk melewati pemblokiran tersebut.
Kami telah menyiapkan bahan review beserta kesimpulan utama dan hasil percobaan ini.
pengenalan
Sensor adalah ancaman global terhadap kebebasan berpendapat di Internet dan akses bebas terhadap informasi. Hal ini sebagian besar dimungkinkan karena fakta bahwa Internet meminjam model βkomunikasi ujung ke ujungβ dari jaringan telepon pada tahun 70-an abad yang lalu. Hal ini memungkinkan Anda memblokir akses ke konten atau komunikasi pengguna tanpa usaha atau biaya yang signifikan hanya berdasarkan alamat IP. Ada beberapa metode di sini, mulai dari memblokir alamat itu sendiri dengan konten terlarang hingga memblokir kemampuan pengguna untuk mengenalinya menggunakan manipulasi DNS.
Namun perkembangan Internet juga menyebabkan munculnya cara-cara baru dalam menyebarkan informasi. Salah satunya adalah penggunaan konten cache untuk meningkatkan kinerja dan mempercepat komunikasi. Saat ini, penyedia CDN memproses sejumlah besar lalu lintas di dunia - Akamai, pemimpin di segmen ini, menyumbang hingga 30% dari lalu lintas web statis global.
Jaringan CDN adalah sistem terdistribusi untuk mengirimkan konten Internet dengan kecepatan maksimum. Jaringan CDN pada umumnya terdiri dari server di lokasi geografis berbeda yang menyimpan konten dalam cache untuk disajikan kepada pengguna yang paling dekat dengan server tersebut. Ini memungkinkan Anda meningkatkan kecepatan komunikasi online secara signifikan.
Selain meningkatkan pengalaman bagi pengguna akhir, hosting CDN membantu pembuat konten meningkatkan skala proyek mereka dengan mengurangi beban pada infrastruktur mereka.
Menyensor konten CDN
Terlepas dari kenyataan bahwa lalu lintas CDN sudah mencakup sebagian besar informasi yang dikirimkan melalui Internet, hampir belum ada penelitian tentang bagaimana sensor di dunia nyata mendekati pengendaliannya.
Penulis penelitian memulai dengan mengeksplorasi teknik penyensoran yang dapat diterapkan pada CDN. Kemudian mereka mempelajari mekanisme sebenarnya yang digunakan oleh otoritas Tiongkok.
Pertama, mari kita bicara tentang kemungkinan metode penyensoran dan kemungkinan menggunakannya untuk mengontrol CDN.
penyaringan IP
Ini adalah teknik paling sederhana dan murah untuk menyensor Internet. Dengan menggunakan pendekatan ini, sensor mengidentifikasi dan memasukkan alamat IP sumber daya yang menampung konten terlarang ke dalam daftar hitam. Kemudian penyedia Internet yang dikendalikan berhenti mengirimkan paket yang dikirim ke alamat tersebut.
Pemblokiran berbasis IP adalah salah satu metode penyensoran Internet yang paling umum. Sebagian besar perangkat jaringan komersial dilengkapi dengan fungsi untuk menerapkan pemblokiran tersebut tanpa upaya komputasi yang signifikan.
Namun, metode ini tidak terlalu cocok untuk memblokir lalu lintas CDN karena beberapa sifat dari teknologi itu sendiri:
- Cache terdistribusi β untuk memastikan ketersediaan konten terbaik dan mengoptimalkan kinerja, jaringan CDN menyimpan konten pengguna dalam cache di sejumlah besar server edge yang berlokasi di lokasi yang tersebar secara geografis. Untuk memfilter konten tersebut berdasarkan IP, sensor perlu mengetahui alamat semua server edge dan memasukkannya ke dalam daftar hitam. Ini akan merusak properti utama metode ini, karena keuntungan utamanya adalah bahwa dalam skema biasa, memblokir satu server memungkinkan Anda untuk "memotong" akses ke konten terlarang untuk banyak orang sekaligus.
- IP bersama β Penyedia CDN komersial berbagi infrastruktur mereka (yaitu server edge, sistem pemetaan, dll.) di antara banyak klien. Akibatnya, konten CDN yang dilarang dimuat dari alamat IP yang sama dengan konten yang tidak dilarang. Akibatnya, setiap upaya pemfilteran IP akan mengakibatkan pemblokiran sejumlah besar situs dan konten yang tidak menarik bagi sensor.
- Penetapan IP yang sangat dinamis β untuk mengoptimalkan penyeimbangan beban dan meningkatkan kualitas layanan, pemetaan server edge dan pengguna akhir dilakukan dengan sangat cepat dan dinamis. Misalnya, Akamai memperbarui alamat IP yang dikembalikan setiap menit. Hal ini akan membuat alamat hampir tidak mungkin dikaitkan dengan konten terlarang.
Gangguan DNS
Selain pemfilteran IP, metode sensor populer lainnya adalah interferensi DNS. Pendekatan ini melibatkan tindakan sensor yang bertujuan mencegah pengguna mengenali alamat IP sumber daya dengan konten terlarang. Artinya, intervensi terjadi pada tingkat resolusi nama domain. Ada beberapa cara untuk melakukannya, antara lain dengan membajak koneksi DNS, menggunakan teknik keracunan DNS, dan memblokir permintaan DNS ke situs terlarang.
Ini adalah metode pemblokiran yang sangat efektif, tetapi dapat dilewati jika Anda menggunakan metode resolusi DNS non-standar, misalnya saluran out-of-band. Oleh karena itu, sensor biasanya menggabungkan pemblokiran DNS dengan pemfilteran IP. Namun, seperti disebutkan di atas, pemfilteran IP tidak efektif dalam menyensor konten CDN.
Filter berdasarkan URL/Kata Kunci menggunakan DPI
Peralatan pemantauan aktivitas jaringan modern dapat digunakan untuk menganalisis URL dan kata kunci tertentu dalam paket data yang dikirimkan. Teknologi ini disebut DPI (inspeksi paket mendalam). Sistem seperti itu menemukan penyebutan kata-kata dan sumber daya terlarang, yang kemudian mengganggu komunikasi online. Akibatnya, paket-paket tersebut dibuang begitu saja.
Metode ini efektif, tetapi lebih kompleks dan intensif sumber daya karena memerlukan defragmentasi semua paket data yang dikirim dalam aliran tertentu.
Konten CDN dapat dilindungi dari pemfilteran tersebut dengan cara yang sama seperti konten βbiasaβ β dalam kedua kasus tersebut penggunaan enkripsi (yaitu HTTPS) membantu.
Selain menggunakan DPI untuk menemukan kata kunci atau URL sumber daya terlarang, alat ini dapat digunakan untuk analisis lebih lanjut. Metode ini mencakup analisis statistik lalu lintas online/offline dan analisis protokol identifikasi. Metode-metode ini sangat menguras sumber daya dan saat ini tidak ada bukti bahwa metode tersebut digunakan oleh sensor dalam tingkat yang cukup serius.
Sensor mandiri terhadap penyedia CDN
Jika penyensornya adalah negara, maka negara mempunyai peluang untuk melarang penyedia CDN tersebut beroperasi di negara yang tidak mematuhi undang-undang setempat yang mengatur akses terhadap konten. Sensor mandiri tidak dapat dilawan dengan cara apa pun - oleh karena itu, jika perusahaan penyedia CDN tertarik untuk beroperasi di negara tertentu, perusahaan tersebut akan terpaksa mematuhi undang-undang setempat, meskipun undang-undang tersebut membatasi kebebasan berpendapat.
Bagaimana Tiongkok menyensor konten CDN
Tembok Api Besar Tiongkok dianggap sebagai sistem yang paling efektif dan canggih untuk memastikan sensor Internet.
Metodologi Penelitian
Para ilmuwan melakukan eksperimen menggunakan node Linux yang berlokasi di Tiongkok. Mereka juga memiliki akses ke beberapa komputer di luar negeri. Pertama, para peneliti memeriksa bahwa node tersebut tunduk pada sensor yang serupa dengan yang diterapkan pada pengguna Tiongkok lainnya - untuk melakukan ini, mereka mencoba membuka berbagai situs terlarang dari mesin ini. Jadi kehadiran tingkat sensor yang sama telah dikonfirmasi.
Daftar situs web yang diblokir di Tiongkok yang menggunakan CDN diambil dari GreatFire.org. Metode pemblokiran pada setiap kasus kemudian dianalisis.
Menurut data publik, satu-satunya pemain utama di pasar CDN yang memiliki infrastruktur sendiri di Tiongkok adalah Akamai. Penyedia lain yang berpartisipasi dalam penelitian ini: CloudFlare, Amazon CloudFront, EdgeCast, Fastly, dan SoftLayer.
Selama percobaan, para peneliti menemukan alamat server edge Akamai di negara tersebut, dan kemudian mencoba untuk menyimpan konten yang diizinkan dalam cache melalui server tersebut. Tidak mungkin mengakses konten terlarang (kesalahan HTTP 403 Terlarang dikembalikan) - tampaknya perusahaan melakukan sensor mandiri untuk mempertahankan kemampuan beroperasi di negara tersebut. Pada saat yang sama, akses terhadap sumber daya ini tetap terbuka di luar negeri.
ISP tanpa infrastruktur di Tiongkok tidak melakukan sensor mandiri terhadap pengguna lokal.
Dalam kasus penyedia lain, metode pemblokiran yang paling umum digunakan adalah pemfilteran DNS - permintaan ke situs yang diblokir diselesaikan ke alamat IP yang salah. Pada saat yang sama, firewall tidak memblokir server edge CDN itu sendiri, karena server tersebut menyimpan informasi yang dilarang dan diizinkan.
Dan jika dalam kasus lalu lintas tidak terenkripsi, pihak berwenang memiliki kemampuan untuk memblokir setiap halaman situs menggunakan DPI, maka saat menggunakan HTTPS mereka hanya dapat menolak akses ke seluruh domain secara keseluruhan. Hal ini juga menyebabkan pemblokiran konten yang diizinkan.
Selain itu, Tiongkok memiliki penyedia CDN sendiri, termasuk jaringan seperti ChinaCache, ChinaNetCenter, dan CDNetworks. Semua perusahaan ini sepenuhnya mematuhi hukum negara tersebut dan memblokir konten terlarang.
CacheBrowser: Alat bypass CDN
Analisis menunjukkan bahwa cukup sulit bagi sensor untuk memblokir konten CDN. Oleh karena itu, para peneliti memutuskan untuk melangkah lebih jauh dan mengembangkan alat bypass blok online yang tidak menggunakan teknologi proxy.
Ide dasar dari alat ini adalah sensor harus mengganggu DNS untuk memblokir CDN, namun Anda sebenarnya tidak harus menggunakan resolusi nama domain untuk memuat konten CDN. Dengan demikian, pengguna bisa mendapatkan konten yang dibutuhkannya dengan langsung menghubungi server edge, yang sudah di-cache.
Diagram di bawah ini menunjukkan desain sistem.
Perangkat lunak klien diinstal pada komputer pengguna, dan browser biasa digunakan untuk mengakses konten.
Ketika URL atau konten telah diminta, browser membuat permintaan ke sistem DNS lokal (LocalDNS) untuk mendapatkan alamat IP hosting. DNS reguler hanya ditanyakan untuk domain yang belum ada dalam database LocalDNS. Modul Scraper terus menelusuri URL yang diminta dan mencari daftar nama domain yang berpotensi diblokir. Scraper kemudian memanggil modul Resolver untuk menyelesaikan domain diblokir yang baru ditemukan, modul ini melakukan tugas tersebut dan menambahkan entri ke LocalDNS. Cache DNS browser kemudian dibersihkan untuk menghapus data DNS yang ada untuk domain yang diblokir.
Jika modul Resolver tidak dapat mengetahui penyedia CDN mana yang memiliki domain tersebut, modul tersebut akan meminta bantuan modul Bootstrapper.
Cara kerjanya dalam praktek
Perangkat lunak klien produk ini diimplementasikan untuk Linux, namun dapat dengan mudah di-porting juga untuk Windows. Mozilla biasa digunakan sebagai browser
Firefox. Modul Scraper dan Resolver ditulis dengan Python, dan database Pelanggan-ke-CDN dan CDN-toIP disimpan dalam file .txt. Basis data LocalDNS adalah file biasa /etc/hosts di Linux.
Alhasil, untuk URL yang diblokir seperti Skrip akan mendapatkan alamat IP server edge dari file /etc/hosts dan mengirimkan permintaan HTTP GET untuk mengakses BlockedURL.html dengan bidang header HTTP Host:
blocked.com/ and User-Agent: Mozilla/5.0 (Windows
NT 5.1; rv:14.0) Gecko/20100101 Firefox/14.0.1Modul Bootstrapper diimplementasikan menggunakan alat gratis digwebinterface.com. Penyelesai DNS ini tidak dapat diblokir dan menjawab pertanyaan DNS atas nama beberapa server DNS yang tersebar secara geografis di wilayah jaringan berbeda.
Dengan menggunakan alat ini, para peneliti berhasil mendapatkan akses ke Facebook dari node Tiongkok mereka, meskipun jejaring sosial tersebut telah lama diblokir di Tiongkok.
Kesimpulan
Eksperimen menunjukkan bahwa memanfaatkan masalah yang dialami sensor saat mencoba memblokir konten CDN dapat digunakan untuk membuat sistem untuk melewati pemblokiran. Alat ini memungkinkan Anda menerobos blokir bahkan di Tiongkok, yang memiliki salah satu sistem sensor online paling kuat.
Artikel lain tentang topik penggunaan untuk bisnis:
Sumber: www.habr.com