Сурет:
Бүгінгі күні Интернеттегі барлық мазмұнның маңызды бөлігі CDN желілері арқылы таратылады. Сонымен қатар әртүрлі цензорлардың мұндай желілерге ықпалын қалай кеңейтетінін зерттеңіз. Массачусетс университетінің ғалымдары Қытай билігінің тәжірибесін мысалға ала отырып, CDN мазмұнын блоктаудың ықтимал әдістері, сондай-ақ бұғаттауды айналып өту құралы әзірленді.
Біз осы эксперименттің негізгі қорытындылары мен нәтижелерімен шолу материалын дайындадық.
Кіріспе
Цензура – интернеттегі сөз бостандығына және ақпаратқа еркін қол жеткізуге жаһандық қауіп. Бұл негізінен Интернеттің өткен ғасырдың 70-ші жылдарындағы телефон желілерінен «ұшты байланыс» үлгісін алғандығына байланысты мүмкін. Бұл жай ғана IP мекенжайы негізінде айтарлықтай күш жұмсамай немесе шығынсыз мазмұнға немесе пайдаланушы байланысына кіруді блоктауға мүмкіндік береді. Тыйым салынған мазмұнмен мекенжайдың өзін блоктаудан бастап DNS манипуляциясы арқылы пайдаланушылардың тіпті оны тану мүмкіндігін блоктауға дейін бірнеше әдістер бар.
Дегенмен, интернеттің дамуы ақпаратты таратудың жаңа тәсілдерінің де пайда болуына әкелді. Олардың бірі - өнімділікті жақсарту және байланысты жылдамдату үшін кэштелген мазмұнды пайдалану. Бүгінгі таңда CDN провайдерлері әлемдегі барлық трафиктің айтарлықтай көлемін өңдейді - осы сегменттегі көшбасшы Akamai ғана ғаламдық статикалық веб-трафиктің 30% -на дейін құрайды.
CDN желісі - бұл Интернет мазмұнын максималды жылдамдықпен жеткізуге арналған бөлінген жүйе. Әдеттегі CDN желісі әртүрлі географиялық орындардағы серверлерден тұрады, олар сол серверге ең жақын пайдаланушыларға қызмет көрсету үшін мазмұнды кэштейді. Бұл онлайн байланыс жылдамдығын айтарлықтай арттыруға мүмкіндік береді.
Соңғы пайдаланушылар үшін тәжірибені жақсартумен қатар, CDN хостингі мазмұн жасаушыларға инфрақұрылымындағы жүктемені азайту арқылы жобаларын масштабтауға көмектеседі.
CDN мазмұнын цензуралау
CDN трафигі қазірдің өзінде Интернет арқылы жіберілетін барлық ақпараттың маңызды бөлігін құрайтынына қарамастан, нақты әлемдегі цензорлар оны бақылауға қалай қарайтыны туралы зерттеулер әлі де жоқтың қасы.
Зерттеу авторлары CDN-ге қолдануға болатын цензура әдістерін зерттеуден бастады. Содан кейін олар Қытай билігі қолданып жүрген нақты механизмдерді зерттеді.
Алдымен, ықтимал цензура әдістері және оларды CDN басқару үшін пайдалану мүмкіндігі туралы сөйлесейік.
IP сүзгілеу
Бұл Интернетті цензуралаудың ең қарапайым және ең арзан әдісі. Осы тәсілді пайдалана отырып, цензор тыйым салынған мазмұнды орналастыратын ресурстардың IP мекенжайларын анықтайды және қара тізімге енгізеді. Содан кейін басқарылатын интернет-провайдерлер осындай мекенжайларға жіберілген пакеттерді жеткізуді тоқтатады.
IP негізіндегі бұғаттау Интернетті цензураның ең кең таралған әдістерінің бірі болып табылады. Көптеген коммерциялық желілік құрылғылар мұндай блоктауды айтарлықтай есептеу күштерінсіз жүзеге асыру функцияларымен жабдықталған.
Дегенмен, бұл әдіс технологияның кейбір қасиеттеріне байланысты CDN трафигін блоктау үшін өте қолайлы емес:
- Бөлінген кэштеу – Мазмұнның ең жақсы қолжетімділігін қамтамасыз ету және өнімділікті оңтайландыру үшін CDN желілері географиялық бөлінген орындарда орналасқан көптеген шеткі серверлерде пайдаланушы мазмұнын кэштейді. Мұндай мазмұнды IP негізінде сүзу үшін цензор барлық шеткі серверлердің мекенжайларын тауып, оларды қара тізімге енгізуі керек. Бұл әдістің негізгі қасиеттеріне нұқсан келтіреді, өйткені оның басты артықшылығы әдеттегі схемада бір серверді блоктау көптеген адамдар үшін тыйым салынған мазмұнға бірден қол жеткізуді «қиып тастауға» мүмкіндік береді.
- Ортақ IP мекенжайлары – коммерциялық CDN провайдерлері өздерінің инфрақұрылымын (яғни шеткі серверлер, карта жүйесі және т.б.) көптеген клиенттер арасында бөліседі. Нәтижесінде тыйым салынған CDN мазмұны тыйым салынбаған мазмұнмен бірдей IP мекенжайларынан жүктеледі. Нәтижесінде, IP сүзгілеудің кез келген әрекеті цензорларды қызықтырмайтын көптеген сайттар мен мазмұндардың бұғатталуына әкеледі.
- Жоғары динамикалық IP тағайындау – жүктемені теңестіруді оңтайландыру және қызмет көрсету сапасын жақсарту үшін шеткі серверлер мен соңғы пайдаланушыларды салыстыру өте жылдам және динамикалық түрде орындалады. Мысалы, Akamai жаңартулары минут сайын IP мекенжайларын қайтарады. Бұл мекенжайларды тыйым салынған мазмұнмен байланыстыруды мүмкін емес етеді.
DNS кедергісі
IP сүзгілеуден басқа, цензураның тағы бір танымал әдісі - DNS кедергісі. Бұл тәсіл пайдаланушылардың тыйым салынған мазмұны бар ресурстардың IP мекенжайларын тануына жол бермеуге бағытталған цензорлардың әрекеттерін қамтиды. Яғни, араласу домендік атау рұқсат деңгейінде орын алады. Мұны істеудің бірнеше жолы бар, соның ішінде DNS қосылымдарын ұрлау, DNS-мен улану әдістерін пайдалану және тыйым салынған сайттарға DNS сұрауларын блоктау.
Бұл блоктаудың өте тиімді әдісі, бірақ стандартты емес DNS шешу әдістерін, мысалы, диапазоннан тыс арналарды пайдалансаңыз, оны айналып өтуге болады. Сондықтан цензорлар әдетте DNS блоктауын IP сүзгілеуімен біріктіреді. Бірақ, жоғарыда айтылғандай, IP сүзгілеу CDN мазмұнын цензуралауда тиімді емес.
DPI көмегімен URL/Кілтсөздер бойынша сүзіңіз
Заманауи желілік белсенділікті бақылау жабдығы берілген деректер пакеттеріндегі нақты URL мекенжайлары мен кілт сөздерді талдау үшін пайдаланылуы мүмкін. Бұл технология DPI (терең пакеттік тексеру) деп аталады. Мұндай жүйелер тыйым салынған сөздер мен ресурстар туралы ескертулерді табады, содан кейін олар желідегі байланысқа кедергі келтіреді. Нәтижесінде пакеттер жай ғана тасталады.
Бұл әдіс тиімді, бірақ күрделірек және ресурсты көп қажет етеді, себебі ол белгілі бір ағындар ішінде жіберілген барлық деректер пакеттерін дефрагментациялауды қажет етеді.
CDN мазмұнын мұндай сүзуден «тұрақты» мазмұн сияқты қорғауға болады - екі жағдайда да шифрлауды (яғни HTTPS) пайдалану көмектеседі.
Тыйым салынған ресурстардың кілт сөздерін немесе URL мекенжайларын табу үшін DPI пайдаланудан басқа, бұл құралдар кеңейтілген талдау үшін пайдаланылуы мүмкін. Бұл әдістерге онлайн/офлайн трафикті статистикалық талдау және сәйкестендіру хаттамаларын талдау кіреді. Бұл әдістер өте ресурсты қажет етеді және қазіргі уақытта оларды цензорлар жеткілікті дәрежеде қолданғаны туралы ешқандай дәлел жоқ.
CDN провайдерлерінің өзін-өзі цензурасы
Егер цензор мемлекет болса, онда мазмұнға қол жеткізуді реттейтін жергілікті заңдарға бағынбайтын CDN провайдерлеріне елде жұмыс істеуге тыйым салуға барлық мүмкіндігі бар. Өзін-өзі цензураға қандай да бір түрде қарсы тұру мүмкін емес - сондықтан CDN провайдері белгілі бір елде жұмыс істеуге мүдделі болса, ол сөз бостандығын шектесе де, жергілікті заңдарды сақтауға мәжбүр болады.
Қытай CDN мазмұнына цензураны қалай жүргізеді
Қытайдың Ұлы брандмауэрі Интернет цензурасын қамтамасыз етудің ең тиімді және жетілдірілген жүйесі болып саналады.
Зерттеу әдістемесі
Ғалымдар Қытайда орналасқан Linux түйінін пайдаланып эксперименттер жүргізді. Олар сондай-ақ елден тыс бірнеше компьютерге қол жеткізді. Біріншіден, зерттеушілер түйіннің басқа қытайлық пайдаланушыларға қолданылатын цензураға ұшырағанын тексерді - бұл үшін олар осы құрылғыдан әртүрлі тыйым салынған сайттарды ашуға тырысты. Осылайша, цензураның бірдей деңгейінің болуы расталды.
Қытайда бұғатталған CDN қолданатын веб-сайттардың тізімі GreatFire.org сайтынан алынды. Содан кейін әр жағдайда блоктау әдісі талданды.
Қоғамдық мәліметтерге сәйкес, Қытайдағы жеке инфрақұрылымы бар CDN нарығындағы жалғыз негізгі ойыншы - Акамаи. Зерттеуге қатысатын басқа провайдерлер: CloudFlare, Amazon CloudFront, EdgeCast, Fastly және SoftLayer.
Эксперимент барысында зерттеушілер елдегі Akamai edge серверлерінің мекенжайларын анықтады, содан кейін олар арқылы кэштелген рұқсат етілген мазмұнды алуға тырысты. Тыйым салынған мазмұнға қол жеткізу мүмкін болмады (HTTP 403 Тыйым салынған қате қайтарылды) - елде жұмыс істеу мүмкіндігін сақтау үшін компания өзін-өзі цензураға түсіретін сияқты. Сонымен бірге бұл ресурстарға қолжетімділік елден тыс жерде ашық күйінде қалды.
Қытайда инфрақұрылымы жоқ Интернет провайдерлері жергілікті пайдаланушыларды өздігінен цензураламайды.
Басқа провайдерлер жағдайында ең көп қолданылатын бұғаттау әдісі DNS сүзгісі болды - бұғатталған сайттарға сұраулар дұрыс емес IP мекенжайларына шешіледі. Бұл ретте брандмауэр CDN шеткі серверлерінің өздерін блоктамайды, өйткені олар тыйым салынған және рұқсат етілген ақпаратты сақтайды.
Ал егер шифрланбаған трафик жағдайында билік DPI арқылы сайттардың жеке беттерін бұғаттау мүмкіндігіне ие болса, HTTPS пайдалану кезінде олар тұтастай алғанда бүкіл доменге кіруге тыйым сала алады. Бұл сонымен қатар рұқсат етілген мазмұнды бұғаттауға әкеледі.
Сонымен қатар, Қытайда ChinaCache, ChinaNetCenter және CDNetworks сияқты желілерді қоса алғанда, өзінің CDN провайдерлері бар. Бұл компаниялардың барлығы ел заңдарын толығымен сақтайды және тыйым салынған мазмұнды бұғаттайды.
CacheBrowser: CDN айналып өту құралы
Талдау көрсеткендей, цензорларға CDN мазмұнын бұғаттау өте қиын. Сондықтан зерттеушілер ары қарай жүріп, прокси технологиясын пайдаланбайтын онлайн блокты айналып өту құралын әзірлеуге шешім қабылдады.
Құралдың негізгі идеясы - цензорлар CDN-ді блоктау үшін DNS-ге кедергі келтіруі керек, бірақ CDN мазмұнын жүктеу үшін домендік атау рұқсатын пайдаланудың қажеті жоқ. Осылайша, пайдаланушы қажетті мазмұнды ол кэштелген шеткі серверге тікелей хабарласу арқылы ала алады.
Төмендегі диаграмма жүйенің дизайнын көрсетеді.
Клиенттік бағдарламалық құрал пайдаланушының компьютерінде орнатылған және мазмұнға қол жеткізу үшін кәдімгі шолғыш пайдаланылады.
URL мекенжайы немесе мазмұн бөлігі әлдеқашан сұралған кезде, браузер хостинг IP мекенжайын алу үшін жергілікті DNS жүйесіне (LocalDNS) сұрау жасайды. Тұрақты DNS тек LocalDNS дерекқорында жоқ домендер үшін ғана сұралады. Скрепер модулі сұралған URL мекенжайлары арқылы үздіксіз өтіп, ықтимал блокталған домен атауларының тізімін іздейді. Содан кейін Scraper жаңадан табылған блокталған домендерді шешу үшін Resolver модулін шақырады, бұл модуль тапсырманы орындайды және LocalDNS жазбасына қосады. Содан кейін блокталған домен үшін бар DNS жазбаларын жою үшін шолғыштың DNS кэші тазартылады.
Егер Resolver модулі домен қай CDN провайдеріне тиесілі екенін анықтай алмаса, ол Bootstrapper модулінен көмек сұрайды.
Бұл іс жүзінде қалай жұмыс істейді
Өнімнің клиенттік бағдарламалық құралы Linux үшін енгізілген, бірақ оны Windows үшін де оңай тасымалдауға болады. Браузер ретінде қарапайым Mozilla пайдаланылады
Firefox. Scraper және Resolver модульдері Python тілінде жазылған, ал Customer-to-CDN және CDN-toIP дерекқорлары .txt файлдарында сақталады. LocalDNS дерекқоры Linux жүйесіндегі кәдімгі /etc/hosts файлы болып табылады.
Нәтижесінде бұғатталған URL мекенжайы үшін Сценарий /etc/hosts файлынан шеткі сервердің IP мекенжайын алады және BlockedURL.html мекенжайына хост HTTP тақырыбы өрістерімен кіру үшін HTTP GET сұрауын жібереді:
blocked.com/ and User-Agent: Mozilla/5.0 (Windows
NT 5.1; rv:14.0) Gecko/20100101 Firefox/14.0.1Bootstrapper модулі digwebinterface.com тегін құралы арқылы жүзеге асырылады. Бұл DNS шешушісін блоктау мүмкін емес және әртүрлі желі аймақтарындағы бірнеше географиялық бөлінген DNS серверлерінің атынан DNS сұрауларына жауап береді.
Бұл құралды пайдалана отырып, зерттеушілер Қытайда әлеуметтік желі бұрыннан бұғатталған болса да, Facebook желісіне өздерінің қытайлық түйінінен қол жеткізе алды.
қорытынды
Эксперимент CDN мазмұнын блоктауға тырысқанда цензураның туындайтын проблемаларын пайдалану блоктарды айналып өту жүйесін құру үшін пайдаланылуы мүмкін екенін көрсетті. Бұл құрал ең қуатты онлайн цензура жүйелерінің бірі бар Қытайда да блоктарды айналып өтуге мүмкіндік береді.
Қолдану тақырыбы бойынша басқа мақалалар бизнес үшін:
Ақпарат көзі: www.habr.com