Eksperimen CacheBrowser: ngliwati firewall Cina tanpa proxy nggunakake caching konten

Gambar: Unsplash

Saiki, bagean penting kabeh konten ing Internet disebarake nggunakake jaringan CDN. Ing wektu sing padha, riset babagan carane macem-macem sensor ngluwihi pengaruhe ing jaringan kasebut. Ilmuwan saka Universitas Massachusetts dianalisis cara sing bisa kanggo mblokir konten CDN nggunakake conto praktik panguwasa China, lan uga ngembangake alat kanggo ngliwati pamblokiran kasebut.

Kita wis nyiapake materi review kanthi kesimpulan utama lan asil eksperimen iki.

Pambuka

Censorship minangka ancaman global kanggo kebebasan ngomong ing Internet lan akses gratis menyang informasi. Iki umume bisa ditindakake amarga kasunyatan manawa Internet nyilih model "komunikasi end-to-end" saka jaringan telpon ing taun 70-an ing abad pungkasan. Iki ngidini sampeyan mblokir akses menyang konten utawa komunikasi pangguna tanpa gaweyan sing signifikan utawa biaya mung adhedhasar alamat IP. Ana sawetara cara ing kene, saka mblokir alamat kasebut kanthi konten sing dilarang nganti mblokir kemampuan pangguna kanggo ngenali kanthi nggunakake manipulasi DNS.

Nanging, pangembangan Internet uga ndadékaké munculé cara anyar kanggo nyebar informasi. Salah sijine yaiku nggunakake konten sing di-cache kanggo nambah kinerja lan nyepetake komunikasi. Dina iki, panyedhiya CDN ngolah jumlah lalu lintas sing signifikan ing saindenging jagad - Akamai, pimpinan ing segmen iki, mung nganti 30% lalu lintas web statis global.

Jaringan CDN minangka sistem sing disebarake kanggo ngirim konten Internet kanthi kacepetan maksimal. Jaringan CDN khas kasusun saka server ing lokasi geografis sing beda-beda sing isi cache kanggo dilayani kanggo pangguna sing paling cedhak karo server kasebut. Iki ngidini sampeyan nambah kacepetan komunikasi online kanthi signifikan.

Saliyane nambah pengalaman kanggo pangguna pungkasan, hosting CDN mbantu para pangripta konten nggawe skala proyek kanthi nyuda beban infrastruktur.

Censoring konten CDN

Senadyan kasunyatan manawa lalu lintas CDN wis nggawe bagean penting saka kabeh informasi sing dikirim liwat Internet, meh ora ana riset babagan carane sensor ing donya nyata nyedhaki kontrol.

Penulis sinau diwiwiti kanthi njelajah teknik censoring sing bisa ditrapake kanggo CDN. Banjur padha sinau mekanisme nyata sing digunakake dening panguwasa Cina.

Pisanan, ayo ngomong babagan cara censoring lan kemungkinan nggunakake kanggo ngontrol CDN.

Filtering IP

Iki minangka teknik sing paling gampang lan paling murah kanggo censoring Internet. Nggunakake pendekatan iki, sensor ngenali lan daftar ireng alamat IP sumber daya hosting konten sing dilarang. Banjur panyedhiya Internet sing dikontrol mandheg ngirim paket sing dikirim menyang alamat kasebut.

Pamblokiran basis IP minangka salah sawijining cara sing paling umum kanggo censoring Internet. Umume piranti jaringan komersial dilengkapi fungsi kanggo ngleksanakake pamblokiran kasebut tanpa gaweyan komputasi sing signifikan.

Nanging, cara iki ora cocog banget kanggo mblokir lalu lintas CDN amarga sawetara sifat teknologi kasebut:

• Caching sing disebarake – kanggo njamin kasedhiyan konten sing paling apik lan ngoptimalake kinerja, jaringan CDN nyimpen konten pangguna ing akeh server pinggiran sing ana ing lokasi sing disebarake sacara geografis. Kanggo nyaring konten kasebut adhedhasar IP, sensor kudu ngerteni alamat kabeh server pinggiran lan dhaptar ireng. Iki bakal ngrusak sifat utama metode kasebut, amarga kauntungan utamane yaiku ing skema biasa, mblokir siji server ngidini sampeyan "memotong" akses menyang konten sing dilarang kanggo akeh wong sekaligus.
• IP sing dienggo bareng – panyedhiya CDN komersial nuduhake infrastruktur (yaiku server pinggiran, sistem pemetaan, lan sapiturute) antarane akeh klien. Akibaté, konten CDN sing dilarang dimuat saka alamat IP sing padha karo konten sing ora dilarang. Akibaté, upaya apa wae ing panyaring IP bakal nyebabake akeh situs lan konten sing ora narik kawigaten para sensor sing diblokir.
• Tugas IP sing dinamis banget - kanggo ngoptimalake imbangan beban lan ningkatake kualitas layanan, pemetaan server pinggiran lan pangguna pungkasan ditindakake kanthi cepet lan dinamis. Contone, nganyari Akamai bali alamat IP saben menit. Iki bakal nggawe alamat meh ora bisa digandhengake karo konten sing dilarang.

gangguan DNS

Saliyane panyaring IP, metode sensor liyane sing populer yaiku gangguan DNS. Pendekatan iki kalebu tumindak dening sensor sing tujuane nyegah pangguna supaya ora ngerteni alamat IP sumber daya kanthi konten sing dilarang. Yaiku, intervensi kasebut dumadi ing tingkat resolusi jeneng domain. Ana sawetara cara kanggo nindakake iki, kalebu mbajak sambungan DNS, nggunakake teknik keracunan DNS, lan mblokir panjalukan DNS menyang situs sing dilarang.

Iki minangka cara pamblokiran sing efektif banget, nanging bisa dilewati yen sampeyan nggunakake metode resolusi DNS sing ora standar, contone, saluran metu saka band. Mulane, sensor biasane nggabungake pamblokiran DNS karo panyaring IP. Nanging, kaya sing kasebut ing ndhuwur, panyaring IP ora efektif kanggo censoring konten CDN.

Nyaring miturut URL / Kata Kunci nggunakake DPI

Peralatan pemantauan aktivitas jaringan modern bisa digunakake kanggo nganalisa URL lan tembung kunci tartamtu ing paket data sing dikirim. Teknologi iki diarani DPI (deep packet inspection). Sistem kasebut nemokake nyebutake tembung lan sumber daya sing dilarang, sawise iku ngganggu komunikasi online. Akibaté, paket kasebut mung dicelupake.

Cara iki efektif, nanging luwih rumit lan sumber daya intensif amarga mbutuhake defragmentasi kabeh paket data sing dikirim ing aliran tartamtu.

Konten CDN bisa dilindhungi saka panyaring kasebut kanthi cara sing padha karo konten "biasa" - ing kasus kasebut, panggunaan enkripsi (yaiku HTTPS) mbantu.

Saliyane nggunakake DPI kanggo nemokake tembung kunci utawa URL sumber daya sing dilarang, alat kasebut bisa digunakake kanggo analisis sing luwih maju. Cara kasebut kalebu analisis statistik lalu lintas online/offline lan analisis protokol identifikasi. Cara-cara kasebut pancen intensif sumber daya lan saiki ora ana bukti sing digunakake dening sensor nganti cukup serius.

Self-censorship saka panyedhiya CDN

Yen sensor kasebut minangka negara, mula duwe kesempatan kanggo nglarang panyedhiya CDN kasebut beroperasi ing negara sing ora netepi hukum lokal sing ngatur akses menyang konten. Self-censorship ora bisa dilawan kanthi cara apa wae - mula, yen perusahaan panyedhiya CDN kasengsem ing operasi ing negara tartamtu, bakal dipeksa kanggo tundhuk karo hukum lokal, sanajan padha mbatesi kebebasan ngomong.

Kepiye China nyensor konten CDN

The Great Firewall of China dianggep minangka sistem sing paling efektif lan canggih kanggo njamin sensor Internet.

Metodologi riset

Para ilmuwan nindakake eksperimen nggunakake simpul Linux sing ana ing China. Dheweke uga duwe akses menyang sawetara komputer ing njaba negara. Kaping pisanan, peneliti mriksa manawa simpul kasebut kena censorship padha karo sing ditrapake kanggo pangguna Cina liyane - kanggo nindakake iki, dheweke nyoba mbukak macem-macem situs sing dilarang saka mesin iki. Dadi anane tingkat censorship sing padha dikonfirmasi.

Dhaptar situs web sing diblokir ing China sing nggunakake CDN dijupuk saka GreatFire.org. Cara pamblokiran ing saben kasus banjur dianalisis.

Miturut data umum, mung pemain utama ing pasar CDN kanthi infrastruktur dhewe ing China yaiku Akamai. Panyedhiya liyane sing melu sinau: CloudFlare, Amazon CloudFront, EdgeCast, Fastly lan SoftLayer.

Sajrone eksperimen kasebut, para peneliti nemokake alamat server pinggiran Akamai ing negara kasebut, lan banjur nyoba entuk konten sing diidini kanthi cache. Sampeyan ora bisa ngakses konten sing dilarang (HTTP 403 Kesalahan Terlarang dibalekake) - ketoke perusahaan kasebut censoring dhewe kanggo njaga kemampuan kanggo operate ing negara kasebut. Ing wektu sing padha, akses menyang sumber daya kasebut tetep mbukak ing njaba negara.

ISP tanpa infrastruktur ing China ora nyensor dhewe pangguna lokal.

Ing kasus panyedhiya liyane, cara pamblokiran sing paling umum digunakake yaiku panyaring DNS - panjaluk situs sing diblokir ditanggulangi kanggo alamat IP sing salah. Ing wektu sing padha, firewall ora ngalangi server pinggiran CDN dhewe, amarga padha nyimpen informasi sing dilarang lan diidini.

Lan yen ing kasus lalu lintas sing ora dienkripsi, panguwasa nduweni kemampuan kanggo mblokir kaca situs individu kanthi nggunakake DPI, banjur nalika nggunakake HTTPS mung bisa nolak akses menyang kabeh domain kanthi sakabehe. Iki uga nyebabake pamblokiran konten sing diidini.

Kajaba iku, China duwe panyedhiya CDN dhewe, kalebu jaringan kayata ChinaCache, ChinaNetCenter lan CDNetworks. Kabeh perusahaan kasebut kanthi lengkap tundhuk karo hukum negara lan mblokir konten sing dilarang.

CacheBrowser: alat bypass CDN

Minangka analisis nuduhake, cukup angel kanggo sensor kanggo mblokir konten CDN. Mulane, peneliti mutusake kanggo luwih maju lan ngembangake alat bypass blok online sing ora nggunakake teknologi proxy.

Gagasan dhasar alat kasebut yaiku sensor kudu ngganggu DNS kanggo mblokir CDN, nanging sampeyan ora kudu nggunakake resolusi jeneng domain kanggo mbukak konten CDN. Mangkono, pangguna bisa entuk konten sing dibutuhake kanthi langsung ngubungi server pinggiran, sing wis di-cache.

Diagram ing ngisor iki nuduhake desain sistem.

Piranti lunak klien diinstal ing komputer pangguna, lan browser biasa digunakake kanggo ngakses konten kasebut.

Nalika URL utawa potongan isi wis dijaluk, browser nggawe panjalukan menyang sistem DNS lokal (LocalDNS) kanggo njupuk alamat IP hosting. DNS reguler mung ditakoni kanggo domain sing durung ana ing basis data LocalDNS. Modul Scraper terus-terusan ngliwati URL sing dijaluk lan nggoleki dhaptar jeneng domain sing bisa diblokir. Scraper banjur nelpon modul Resolver kanggo ngatasi domain sing diblokir sing mentas ditemokake, modul iki nindakake tugas lan nambah entri menyang LocalDNS. Cache DNS browser banjur dibusak kanggo mbusak cathetan DNS sing ana kanggo domain sing diblokir.

Yen modul Resolver ora bisa nemtokake panyedhiya CDN domain kasebut, bakal njaluk bantuan modul Bootstrapper.

Cara kerjane ing laku

Piranti lunak klien produk kasebut diimplementasikake kanggo Linux, nanging bisa uga gampang ditransfer kanggo Windows. Mozilla biasa digunakake minangka browser
Firefox. Modul Scraper lan Resolver ditulis ing Python, lan database Customer-to-CDN lan CDN-toIP disimpen ing file .txt. Database LocalDNS minangka file /etc/hosts biasa ing Linux.

Akibaté, kanggo URL sing diblokir kaya diblokir.com Skrip bakal entuk alamat IP server pinggiran saka file /etc/hosts lan ngirim panjalukan HTTP GET kanggo ngakses BlockURL.html nganggo kolom header HTTP Host:

blocked.com/ and User-Agent: Mozilla/5.0 (Windows
NT 5.1; rv:14.0) Gecko/20100101 Firefox/14.0.1

Modul Bootstrapper dileksanakake nggunakake alat gratis digwebinterface.com. Penyelesai DNS iki ora bisa diblokir lan njawab pitakon DNS atas jenenge sawetara server DNS sing disebarake sacara geografis ing wilayah jaringan sing beda-beda.

Nggunakake alat iki, peneliti bisa entuk akses menyang Facebook saka simpul Cina, sanajan jaringan sosial wis suwe diblokir ing China.

kesimpulan

Eksperimen kasebut nuduhake manawa njupuk kauntungan saka masalah sing dialami sensor nalika nyoba mblokir konten CDN bisa digunakake kanggo nggawe sistem kanggo ngliwati blok. Alat iki ngidini sampeyan ngliwati pamblokiran sanajan ing China, sing duwe salah sawijining sistem sensor online sing paling kuat.

Artikel liyane babagan topik panggunaan proxy penduduk kanggo bisnis:

• Kepiye proxy omah mbantu ing bisnis: kasus nyata nggunakake Infatica ing bidang Data Mining
• Parsing. Kepiye cara proxy SOCKS: pro, kontra, beda karo teknologi liyane
• Cara milih jaringan proxy kanggo bisnis: 3 tips praktis

Source: www.habr.com