Stærð:
Í dag er umtalsverðum hluta alls efnis á netinu dreift með CDN netum. Jafnframt rannsókn á því hvernig ýmsir ritskoðendur ná áhrifum sínum yfir slík net. Vísindamenn frá háskólanum í Massachusetts mögulegar aðferðir til að loka CDN efni með því að nota dæmi um starfshætti kínverskra yfirvalda og þróaði einnig tól til að komast framhjá slíkri lokun.
Við höfum útbúið yfirlitsefni með helstu niðurstöðum og niðurstöðum þessarar tilraunar.
Inngangur
Ritskoðun er alþjóðleg ógn við málfrelsi á netinu og frjálsan aðgang að upplýsingum. Þetta er að mestu mögulegt vegna þess að internetið fékk „enda-til-enda samskipti“ að láni frá símakerfum á áttunda áratug síðustu aldar. Þetta gerir þér kleift að loka fyrir aðgang að efni eða notendasamskiptum án verulegrar fyrirhafnar eða kostnaðar einfaldlega byggt á IP tölu. Það eru nokkrar aðferðir hér, allt frá því að loka heimilisfanginu sjálfu með bönnuðu efni til að loka fyrir getu notenda til að þekkja það jafnvel með DNS-meðferð.
Þróun internetsins hefur hins vegar einnig leitt til þess að nýjar leiðir til að miðla upplýsingum hafa komið fram. Ein þeirra er notkun á skyndiminni efni til að bæta árangur og flýta fyrir samskiptum. Í dag vinna CDN veitendur umtalsvert magn af allri umferð í heiminum - Akamai, leiðandi í þessum flokki, stendur einn fyrir allt að 30% af kyrrstæðum vefumferð á heimsvísu.
CDN net er dreift kerfi til að afhenda efni á netinu á hámarkshraða. Dæmigert CDN net samanstendur af netþjónum á mismunandi landfræðilegum stöðum sem vista efni til að þjóna því fyrir notendur sem eru næstir þeim netþjóni. Þetta gerir þér kleift að auka verulega hraða samskipta á netinu.
Auk þess að bæta upplifunina fyrir notendur, hjálpar CDN hýsing efnishöfundum að stækka verkefni sín með því að draga úr álagi á innviði þeirra.
Ritskoðun CDN efni
Þrátt fyrir þá staðreynd að CDN-umferð er nú þegar umtalsverður hluti allra upplýsinga sem sendar eru um internetið, er enn nánast engin rannsókn á því hvernig ritskoðendur í hinum raunverulega heimi nálgast stjórn þess.
Höfundar rannsóknarinnar byrjuðu á því að kanna ritskoðunaraðferðir sem hægt er að beita á CDN. Síðan rannsökuðu þeir raunverulegar aðferðir sem kínversk yfirvöld notuðu.
Í fyrsta lagi skulum við tala um mögulegar ritskoðunaraðferðir og möguleikann á að nota þær til að stjórna CDN.
IP síun
Þetta er einfaldasta og ódýrasta tæknin til að ritskoða internetið. Með því að nota þessa nálgun auðkennir ritskoðarinn og setur á svartan lista IP-tölur auðlinda sem hýsa bannað efni. Þá hætta stýrðu netveiturnar að afhenda pakka sem eru sendir á slík heimilisföng.
IP-undirstaða lokun er ein algengasta aðferðin til að ritskoða internetið. Flest nettæki í atvinnuskyni eru búin aðgerðum til að innleiða slíka lokun án verulegrar reiknivinnu.
Hins vegar er þessi aðferð ekki mjög hentug til að loka fyrir CDN umferð vegna sumra eiginleika tækninnar sjálfrar:
- Dreifð skyndiminni – til að tryggja sem best aðgengi að efni og hámarka afköst, CDN netkerfi geyma innihald notenda í skyndiminni á miklum fjölda brúnþjóna sem staðsettir eru á landfræðilega dreifðum stöðum. Til að sía slíkt efni byggt á IP þyrfti ritskoðandinn að finna út heimilisföng allra brúnþjóna og setja þá á svartan lista. Þetta mun grafa undan helstu eiginleikum aðferðarinnar, vegna þess að helsti kostur hennar er sá að í venjulegu kerfi gerir lokun á einum netþjóni þér kleift að „loka“ aðgangi að bönnuðu efni fyrir fjölda fólks í einu.
- Sameiginlegar IP-tölur - CDN veitendur í viðskiptalegum tilgangi deila innviðum sínum (þ.e. brúnþjónum, kortakerfi osfrv.) á milli margra viðskiptavina. Þess vegna er bannað CDN efni hlaðið frá sömu IP tölum og efni sem ekki er bannað. Fyrir vikið mun allar tilraunir til IP-síu leiða til þess að gríðarlegur fjöldi vefsvæða og efnis sem er ekki áhugavert fyrir ritskoðendur verður lokað.
- Mjög kraftmikið IP úthlutun – til að hámarka álagsjafnvægi og bæta gæði þjónustunnar er kortlagning á brúnþjónum og endanotendum framkvæmd mjög hratt og kraftmikið. Til dæmis, Akamai uppfærslur skiluðu IP tölum á hverri mínútu. Þetta mun gera það nánast ómögulegt fyrir heimilisföng að vera tengd við bannað efni.
DNS truflun
Fyrir utan IP síun er önnur vinsæl ritskoðunaraðferð DNS truflun. Þessi nálgun felur í sér aðgerðir ritskoðenda sem miða að því að koma í veg fyrir að notendur þekki IP-tölur auðlinda með bönnuðu efni. Það er að segja að inngripið á sér stað á upplausnarstigi lénsins. Það eru nokkrar leiðir til að gera þetta, þar á meðal að ræna DNS-tengingum, nota DNS-eitrunartækni og loka fyrir DNS-beiðnir á bannaðar síður.
Þetta er mjög áhrifarík lokunaraðferð, en hægt er að komast framhjá henni ef þú notar óhefðbundnar DNS-upplausnaraðferðir, til dæmis rásir utan bands. Þess vegna sameina ritskoðendur venjulega DNS-blokkun við IP-síun. En eins og fram kemur hér að ofan er IP síun ekki áhrifarík við að ritskoða CDN efni.
Sía eftir vefslóð/leitarorðum með DPI
Nútíma eftirlitsbúnað netvirkni er hægt að nota til að greina tilteknar vefslóðir og leitarorð í sendum gagnapökkum. Þessi tækni er kölluð DPI (deep packet inspection). Í slíkum kerfum er minnst á bönnuð orð og úrræði, eftir það trufla þau samskipti á netinu. Fyrir vikið er pakkunum einfaldlega sleppt.
Þessi aðferð er áhrifarík, en flóknari og auðlindafrekari vegna þess að hún krefst defragmentation á öllum gagnapökkum sem sendir eru innan ákveðinna strauma.
Hægt er að vernda CDN efni fyrir slíkri síun á sama hátt og „venjulegt“ efni – í báðum tilfellum hjálpar notkun dulkóðunar (þ.e. HTTPS).
Auk þess að nota DPI til að finna leitarorð eða vefslóðir bönnuðra auðlinda, er hægt að nota þessi verkfæri fyrir ítarlegri greiningu. Þessar aðferðir fela í sér tölfræðilega greiningu á net-/offline umferð og greiningu á auðkenningarsamskiptareglum. Þessar aðferðir eru afar auðlindafrekar og eins og er eru einfaldlega engar vísbendingar um að ritskoðendur hafi notað þær í nægilega alvarlegum mæli.
Sjálfsritskoðun CDN veitenda
Ef ritskoðandinn er ríkið, þá hefur það alla möguleika á að banna þeim CDN veitendum að starfa í landinu sem hlýða ekki staðbundnum lögum um aðgang að efni. Ekki er hægt að standast sjálfsritskoðun á nokkurn hátt - þess vegna, ef CDN veitir fyrirtæki hefur áhuga á að starfa í ákveðnu landi, neyðist það til að fara að staðbundnum lögum, jafnvel þótt þau takmarki málfrelsi.
Hvernig Kína ritskoðar CDN efni
Eldveggurinn mikli í Kína er réttilega talinn skilvirkasta og fullkomnasta kerfið til að tryggja ritskoðun á netinu.
Aðferðafræði rannsókna
Vísindamenn gerðu tilraunir með Linux hnút sem staðsettur er í Kína. Þeir höfðu einnig aðgang að nokkrum tölvum úti á landi. Í fyrsta lagi athuguðu rannsakendur að hnúturinn væri háður ritskoðun svipað þeirri sem beitt er fyrir aðra kínverska notendur - til að gera þetta reyndu þeir að opna ýmsar bannaðar síður frá þessari vél. Þannig að tilvist sama stigs ritskoðunar var staðfest.
Listinn yfir vefsíður sem eru lokaðar í Kína sem nota CDN var tekinn af GreatFire.org. Aðferðin við lokun í hverju tilviki var síðan greind.
Samkvæmt opinberum gögnum er Akamai eini stóri leikmaðurinn á CDN markaðnum með eigin innviði í Kína. Aðrir veitendur sem taka þátt í rannsókninni: CloudFlare, Amazon CloudFront, EdgeCast, Fastly og SoftLayer.
Meðan á tilraununum stóð fundu rannsakendur heimilisföng Akamai edge netþjóna í landinu og reyndu síðan að koma leyft efni í skyndiminni í gegnum þá. Það var ekki hægt að nálgast bannað efni (HTTP 403 Forbidden villa var skilað) - greinilega er fyrirtækið að ritskoða sig sjálft til að viðhalda getu til að starfa í landinu. Á sama tíma var aðgangur að þessum auðlindum áfram opinn utan landsteinanna.
ISPs án innviða í Kína sjálf-ritskoða ekki staðbundna notendur.
Í tilviki annarra veitenda var algengasta lokunaraðferðin DNS síun - beiðnir á lokaðar síður eru leystar á rangar IP tölur. Á sama tíma lokar eldveggurinn ekki CDN brún netþjónunum sjálfum, þar sem þeir geyma bæði bannaðar og leyfilegar upplýsingar.
Og ef um ódulkóðaða umferð er að ræða, hafa yfirvöld getu til að loka einstökum síðum vefsvæða með því að nota DPI, þá geta þeir aðeins neitað aðgangi að öllu léninu í heild sinni þegar HTTPS er notað. Þetta leiðir einnig til þess að leyfilegt efni er lokað.
Að auki hefur Kína sína eigin CDN veitendur, þar á meðal net eins og ChinaCache, ChinaNetCenter og CDNetworks. Öll þessi fyrirtæki fara að fullu að lögum landsins og loka fyrir bannað efni.
CacheBrowser: CDN framhjáverkfæri
Eins og greiningin sýndi er frekar erfitt fyrir ritskoðendur að loka á CDN efni. Þess vegna ákváðu vísindamennirnir að ganga lengra og þróa netblokkahjáveituverkfæri sem notar ekki proxy-tækni.
Grunnhugmynd tólsins er sú að ritskoðarar verða að trufla DNS til að loka á CDN, en þú þarft í raun ekki að nota lénsupplausn til að hlaða niður CDN efni. Þannig getur notandinn fengið það efni sem hann þarf með því að hafa beint samband við brúnþjóninn, þar sem það er þegar í skyndiminni.
Myndin hér að neðan sýnir hönnun kerfisins.
Viðskiptavinahugbúnaður er settur upp á tölvu notandans og venjulegur vafri er notaður til að fá aðgang að efninu.
Þegar þegar hefur verið beðið um vefslóð eða efnishluta, gerir vafrinn beiðni til staðarins DNS kerfis (LocalDNS) um að fá hýsingar IP tölu. Venjulegt DNS er aðeins spurt fyrir lén sem eru ekki þegar í LocalDNS gagnagrunninum. Scraper-einingin fer stöðugt í gegnum umbeðnar vefslóðir og leitar á listanum að hugsanlega læst lén. Scraper hringir síðan í Resolver eininguna til að leysa nýuppgötvuðu lokuðu lénin, þessi eining framkvæmir verkefnið og bætir færslu við LocalDNS. DNS skyndiminni vafrans er síðan hreinsuð til að fjarlægja núverandi DNS færslur fyrir lokaða lénið.
Ef Resolver-einingin getur ekki fundið út hvaða CDN-veitu lénið tilheyrir, mun það biðja Bootstrapper-eininguna um hjálp.
Hvernig það virkar í reynd
Biðlarahugbúnaður vörunnar var útfærður fyrir Linux, en það er einnig auðvelt að flytja hann fyrir Windows. Venjulegur Mozilla er notaður sem vafri
Firefox. Scraper og Resolver einingarnar eru skrifaðar í Python og Customer-to-CDN og CDN-toIP gagnagrunnarnir eru geymdir í .txt skrám. LocalDNS gagnagrunnurinn er venjulega /etc/hosts skráin í Linux.
Þar af leiðandi, fyrir læsta vefslóð eins og Handritið mun fá IP-tölu kantþjónsins úr /etc/hosts skránni og senda HTTP GET beiðni um að fá aðgang að BlockedURL.html með Host HTTP haus reitunum:
blocked.com/ and User-Agent: Mozilla/5.0 (Windows
NT 5.1; rv:14.0) Gecko/20100101 Firefox/14.0.1Bootstrapper einingin er útfærð með því að nota ókeypis tólið digwebinterface.com. Ekki er hægt að loka fyrir þennan DNS-leysara og hann svarar DNS-fyrirspurnum fyrir hönd margra landfræðilega dreifðra DNS-þjóna á mismunandi netsvæðum.
Með því að nota þetta tól tókst rannsakendum að fá aðgang að Facebook frá kínverska hnútnum sínum, þó að félagslega netið hafi lengi verið lokað í Kína.
Ályktun
Tilraunin sýndi að hægt er að nota þau vandamál sem ritskoðendur upplifa þegar þeir reyna að loka fyrir CDN efni til að búa til kerfi til að komast framhjá blokkum. Þetta tól gerir þér kleift að komast framhjá blokkum jafnvel í Kína, sem er með eitt öflugasta ritskoðunarkerfi á netinu.
Aðrar greinar um notkunarefnið fyrir fyrirtæki:
Heimild: www.habr.com