Picture:
Бүгүнкү күндө Интернеттеги бардык мазмундун олуттуу бөлүгү CDN тармактары аркылуу таратылат. Ошол эле учурда ар кандай цензорлор мындай тармактарга таасирин кантип кеңейтерин изилдөө. Массачусетс университетинин окумуштуулары Кытай бийлигинин тажрыйбасынын мисалында CDN мазмунун бөгөттөөнүн мүмкүн болгон ыкмалары, ошондой эле мындай бөгөттөөнү айланып өтүү үчүн курал иштелип чыккан.
Биз бул эксперименттин негизги корутундулары жана натыйжалары менен кароо материалын даярдадык.
тааныштыруу
Цензура интернеттеги сөз эркиндигине жана маалыматка эркин жетүүгө глобалдык коркунуч. Бул, негизинен, Интернет өткөн кылымдын 70-жылдарындагы телефон тармактарынан "учка чейин байланыш" моделин алганына байланыштуу болушу мүмкүн. Бул жөн гана IP дарегинин негизинде олуттуу күч же чыгымсыз мазмунга же колдонуучунун байланышына бөгөт коюуга мүмкүндүк берет. Бул жерде бир нече ыкмалар бар, даректи тыюу салынган мазмун менен бөгөттөөдөн баштап, колдонуучулардын DNS манипуляциясы аркылуу аны таануу мүмкүнчүлүгүнө чейин бөгөт коюуга чейин.
Бирок, интернеттин өнүгүшү да маалыматты таратуунун жаңы ыкмаларынын пайда болушуна алып келди. Алардын бири - иштешин жакшыртуу жана байланышты тездетүү үчүн кэштелген мазмунду колдонуу. Бүгүнкү күндө CDN провайдерлери дүйнөдөгү бардык трафиктин олуттуу көлөмүн иштетишет - бул сегментте лидер болгон Akamai жалгыз глобалдык статикалык веб-трафиктин 30% га чейин түзөт.
CDN тармагы максималдуу ылдамдыкта Интернет мазмунун жеткирүү үчүн бөлүштүрүлгөн система болуп саналат. Кадимки CDN тармагы ар кандай географиялык жерлердеги серверлерден турат, алар ошол серверге эң жакын колдонуучуларга кызмат кылуу үчүн мазмунду кэштейт. Бул онлайн байланыштын ылдамдыгын кыйла жогорулатууга мүмкүндүк берет.
Акыркы колдонуучулар үчүн тажрыйбаны жакшыртуудан тышкары, CDN хостинги контент жаратуучуларга инфраструктурасынын жүгүн азайтуу аркылуу долбоорлорун масштабдаштырууга жардам берет.
CDN мазмунун цензуралоо
CDN трафиги Интернет аркылуу берилүүчү бардык маалыматтын олуттуу бөлүгүн түзгөнүнө карабастан, чыныгы дүйнөдөгү цензорлор аны башкарууга кандайча мамиле кылганы боюнча дээрлик изилдөөлөр жок.
Изилдөөнүн авторлору CDNге колдонула турган цензура ыкмаларын изилдөөдөн башташкан. Андан кийин алар кытай бийликтери колдонгон реалдуу механизмдерди изилдеп чыгышты.
Биринчиден, цензуранын мүмкүн болгон ыкмалары жана аларды CDNди башкаруу үчүн колдонуу мүмкүнчүлүгү жөнүндө сүйлөшөлү.
IP чыпкалоо
Бул интернетти цензуранын эң жөнөкөй жана эң арзан ыкмасы. Бул ыкманы колдонуу менен цензор тыюу салынган мазмунду камтыган ресурстардын IP даректерин аныктап, кара тизмеге киргизет. Андан кийин көзөмөлдөнгөн интернет-провайдерлер мындай даректерге жөнөтүлгөн пакеттерди жеткирүүнү токтотот.
IP негизинде бөгөттөө - Интернетти цензуралоонун эң кеңири таралган ыкмаларынын бири. Көпчүлүк коммерциялык тармак түзүлүштөрү олуттуу эсептөө күч-аракети жок эле мындай бөгөт коюу функциялары менен жабдылган.
Бирок, бул ыкма технологиянын кээ бир касиеттеринен улам CDN трафикти бөгөттөө үчүн абдан ылайыктуу эмес:
- Бөлүштүрүлгөн кэш – мазмундун эң жакшы жеткиликтүүлүгүн камсыз кылуу жана аткарууну оптималдаштыруу үчүн CDN тармактары географиялык жактан бөлүштүрүлгөн жерлерде жайгашкан көп сандагы четки серверлерде колдонуучунун мазмунун кэштейт. Мындай мазмунду IP негизинде чыпкалоо үчүн цензор бардык четки серверлердин даректерин таап, аларды кара тизмеге киргизиши керек. Бул ыкманын негизги касиеттерин бузат, анткени анын негизги артыкчылыгы - кадимки схемада бир серверди бөгөттөө бир эле учурда көп сандагы адамдардын тыюу салынган мазмунга кирүү мүмкүнчүлүгүн "кесип салууга" мүмкүндүк берет.
- Бөлүшүлгөн IP – коммерциялык CDN провайдерлери өздөрүнүн инфраструктурасын (б.а. четки серверлер, карта системасы ж.б.) көптөгөн кардарлардын ортосунда бөлүшүшөт. Натыйжада, тыюу салынган CDN мазмуну тыюу салынбаган мазмун сыяктуу эле IP даректерден жүктөлөт. Натыйжада, IP чыпкалоо аракети цензорлорду кызыктырбаган көптөгөн сайттардын жана мазмундун бөгөттөлүшүнө алып келет.
- Жогорку динамикалык IP дайындоо – жүктөмдөрдүн тең салмактуулугун оптималдаштыруу жана тейлөөнүн сапатын жакшыртуу үчүн четки серверлердин жана акыркы колдонуучулардын картасын түзүү абдан тез жана динамикалык түрдө аткарылат. Мисалы, Akamai жаңыртуулары ар бир мүнөт сайын IP даректерди кайтарып турган. Бул даректерди тыюу салынган мазмун менен байланыштыруу дээрлик мүмкүн болбой калат.
DNS кийлигишүүсү
IP чыпкалоодон тышкары, дагы бир популярдуу цензура ыкмасы DNS кийлигишүүсү болуп саналат. Бул ыкма колдонуучулардын тыюу салынган мазмундагы ресурстардын IP даректерин таануусуна бөгөт коюуга багытталган цензорлордун аракеттерин камтыйт. Башкача айтканда, кийлигишүү домендик аталыштын чечилиш деңгээлинде болот. Мунун бир нече жолдору бар, анын ичинде DNS байланыштарын уурдоо, DNS уулануу ыкмаларын колдонуу жана тыюу салынган сайттарга DNS сурамдарын бөгөттөө.
Бул абдан натыйжалуу бөгөттөө ыкмасы, бирок сиз стандарттуу эмес DNS чечүү ыкмаларын, мисалы, тилкеден тышкаркы каналдарды колдонсоңуз, аны айланып өтүүгө болот. Ошондуктан, цензорлор адатта DNS бөгөттөө менен IP чыпкалоону айкалыштырат. Бирок, жогоруда айтылгандай, IP чыпкалоо CDN мазмунун цензуралоодо эффективдүү эмес.
DPI аркылуу URL/Ачкыч сөздөр боюнча чыпкалоо
Тармактын активдүүлүгүн көзөмөлдөөнүн заманбап жабдуулары берилген маалымат пакеттериндеги белгилүү URL'дерди жана ачкыч сөздөрдү талдоо үчүн колдонулушу мүмкүн. Бул технология DPI (терең пакет текшерүү) деп аталат. Мындай системалар тыюу салынган сөздөрдү жана ресурстарды камтыйт, андан кийин алар онлайн байланышка тоскоолдук кылат. Натыйжада, пакеттер жөн эле түшүп калат.
Бул ыкма натыйжалуу, бирок кыйла татаал жана ресурсту көп талап кылат, анткени ал белгилүү агымдардын ичинде жөнөтүлгөн бардык маалымат пакеттерин дефрагментациялоону талап кылат.
CDN мазмунун мындай чыпкалоодон "кадимки" мазмун сыяктуу эле коргосо болот - эки учурда тең шифрлөө (б.а. HTTPS) жардам берет.
Тыюу салынган ресурстардын ачкыч сөздөрүн же URL даректерин табуу үчүн DPI колдонуудан тышкары, бул куралдар дагы өркүндөтүлгөн талдоо үчүн колдонулушу мүмкүн. Бул ыкмалар онлайн/оффлайн трафиктин статистикалык анализин жана идентификациялык протоколдорду талдоону камтыйт. Бул ыкмалар өтө көп ресурсту талап кылат жана учурда аларды цензорлор тарабынан жетиштүү деңгээлде колдонуунун эч кандай далили жок.
CDN провайдерлеринин өзүн өзү цензурасы
Эгер цензор мамлекет болсо, анда ал CDN провайдерлерине өлкөдө мазмунга кирүү мүмкүнчүлүгүн жөнгө салуучу жергиликтүү мыйзамдарга баш ийбей иштөөсүнө тыюу салууга толук мүмкүнчүлүгү бар. Өзүн-өзү цензурага эч кандай каршы турууга болбойт - ошондуктан, CDN провайдери белгилүү бир өлкөдө иштөөгө кызыкдар болсо, ал сөз эркиндигин чектесе дагы, жергиликтүү мыйзамдарды сактоого аргасыз болот.
Кытай CDN мазмунун кантип цензорлайт
Кытайдын Улуу Firewall интернет цензурасын камсыз кылуу үчүн эң натыйжалуу жана өнүккөн система болуп эсептелет.
изилдөөнүн методологиясы
Окумуштуулар Кытайдын ичинде жайгашкан Linux түйүнүнүн жардамы менен эксперименттерди жүргүзүштү. Ошондой эле алар өлкөнүн чегинен тышкары бир нече компьютерлерге ээ болушкан. Биринчиден, изилдөөчүлөр түйүн башка кытай колдонуучуларына окшош цензурага дуушар болгонун текшеришти - бул үчүн алар бул машинадан тыюу салынган ар кандай сайттарды ачууга аракет кылышкан. Ошентип, ошол эле деңгээлдеги цензуранын бар экендиги тастыкталды.
Кытайда CDN колдонгон веб-сайттардын тизмеси GreatFire.org сайтынан алынган. Андан кийин ар бир учурда бөгөт коюу ыкмасы талдоого алынган.
Коомдук маалыматка ылайык, Кытайда өзүнүн инфраструктурасы бар CDN рыногундагы жалгыз негизги оюнчу - Акамаи. Изилдөөгө катышкан башка провайдерлер: CloudFlare, Amazon CloudFront, EdgeCast, Fastly жана SoftLayer.
Эксперименттердин жүрүшүндө изилдөөчүлөр өлкөнүн ичиндеги Akamai edge серверлеринин даректерин таап, андан кийин алар аркылуу кэштелген уруксат берилген мазмунду алууга аракет кылышкан. Тыюу салынган мазмунга кирүү мүмкүн болгон жок (HTTP 403 Forbidden error кайтарылды) - сыягы, компания өлкөдө иштөө мүмкүнчүлүгүн сактап калуу үчүн өзүн өзү цензуралап жатат. Ошол эле учурда бул ресурстарга жетүү өлкөнүн чегинен тышкары ачык бойдон калды.
Кытайда инфраструктурасы жок провайдерлер жергиликтүү колдонуучуларды өзүн өзү цензуралабайт.
Башка провайдерлерде эң көп колдонулган бөгөттөө ыкмасы DNS чыпкалоо болгон - бөгөттөлгөн сайттарга суроо-талаптар туура эмес IP даректерге чечилет. Ошол эле учурда, брандмауэр CDN четинин серверлеринин өздөрүн бөгөттөбөйт, анткени алар тыюу салынган жана уруксат берилген маалыматты сакташат.
Ал эми шифрленбеген трафик учурунда бийликтер DPI аркылуу сайттардын айрым баракчаларын блоктоо мүмкүнчүлүгүнө ээ болсо, анда HTTPSди колдонууда алар бүтүндөй доменге кирүү мүмкүнчүлүгүнөн гана баш тарта алышат. Бул ошондой эле уруксат берилген мазмунду бөгөт коюуга алып келет.
Мындан тышкары, Кытайдын өзүнүн CDN провайдерлери бар, анын ичинде ChinaCache, ChinaNetCenter жана CDNetworks сыяктуу тармактар. Бул компаниялардын баары өлкөнүн мыйзамдарына толугу менен баш ийишет жана тыюу салынган мазмунга бөгөт коюшат.
CacheBrowser: CDN айланып өтүү куралы
Талдоо көрсөткөндөй, цензорлор үчүн CDN мазмунун бөгөттөө өтө кыйын. Ошондуктан, изилдөөчүлөр прокси технологиясын колдонбогон онлайн блокторду айланып өтүү куралын иштеп чыгууну чечишти.
Куралдын негизги идеясы - цензорлор CDN'лерди бөгөттөө үчүн DNS'ге тоскоолдук кылышы керек, бирок CDN мазмунун жүктөө үчүн домендик аталышты колдонуунун кереги жок. Ошентип, колдонуучу өзүнө керектүү мазмунду ал мурунтан эле кэште турган четки серверге түздөн-түз байланышып ала алат.
Төмөнкү диаграммада системанын дизайны көрсөтүлгөн.
Колдонуучунун компьютерине кардар программасы орнотулган жана мазмунга кирүү үчүн кадимки браузер колдонулат.
URL же мазмундун бөлүгү суралганда, браузер хостингдин IP дарегин алуу үчүн жергиликтүү DNS тутумуна (LocalDNS) суроо салат. Кадимки DNS LocalDNS маалымат базасында жок домендер үчүн гана суралат. Скрепер модулу тынымсыз суралган URL даректеринен өтүп, тизмеден бөгөттөлгөн домен аталыштарын издейт. Скрепер андан кийин жаңы ачылган бөгөттөлгөн домендерди чечүү үчүн Resolver модулун чакырат, бул модул тапшырманы аткарат жана LocalDNSке жазууну кошот. Андан кийин бөгөттөлгөн домен үчүн учурдагы DNS жазууларын алып салуу үчүн браузердин DNS кэши тазаланат.
Эгерде Resolver модулу домен кайсы CDN провайдерине таандык экенин аныктай албаса, ал Bootstrapper модулунан жардам сурайт.
Бул иш жүзүндө кандай иштейт
Продукттун кардар программасы Linux үчүн ишке ашырылган, бирок аны Windows үчүн да оңой көчүрүүгө болот. Серепчи катары кадимки Mozilla колдонулат
Firefox. Scraper жана Resolver модулдары Python тилинде жазылган, ал эми Кардардан CDNге жана CDN-toIP маалымат базалары .txt файлдарында сакталат. LocalDNS маалымат базасы Linux'та кадимки /etc/hosts файлы болуп саналат.
Натыйжада, сыяктуу бөгөттөлгөн URL үчүн Скрипт /etc/hosts файлынан четки сервердин IP дарегин алат жана BlockedURL.html дарегине Хост HTTP баш талаалары менен кирүү үчүн HTTP GET өтүнүчүн жөнөтөт:
blocked.com/ and User-Agent: Mozilla/5.0 (Windows
NT 5.1; rv:14.0) Gecko/20100101 Firefox/14.0.1Bootstrapper модулу digwebinterface.com акысыз куралы аркылуу ишке ашырылат. Бул DNS чечүүчү бөгөттөлбөйт жана ар кандай тармак аймактарында бир нече географиялык бөлүштүрүлгөн DNS серверлеринин атынан DNS сурамдарына жооп берет.
Бул куралды колдонуу менен изилдөөчүлөр кытай түйүнүнөн Facebookка кирүү мүмкүнчүлүгүнө ээ болушту, бирок Кытайда социалдык тармак көптөн бери бөгөттөлгөн.
жыйынтыктоо
Эксперимент CDN мазмунун бөгөт коюуга аракет кылганда цензуранын көйгөйлөрүнөн пайдаланып, блокторду айланып өтүү системасын түзүү үчүн колдонсо болорун көрсөттү. Бул курал эң күчтүү онлайн цензура системаларынын бирине ээ болгон Кытайда да блокторду айланып өтүүгө мүмкүндүк берет.
Колдонуу темасы боюнча башка макалалар бизнес үчүн:
Source: www.habr.com