CacheBrowser eksperimentas: Kinijos ugniasienės apėjimas be tarpinio serverio naudojant turinio talpyklą

Paveikslėlis: Unsplash

Šiandien didelė dalis viso interneto turinio platinama naudojant CDN tinklus. Tuo pačiu metu tyrimai, kaip įvairūs cenzoriai išplečia savo įtaką tokiems tinklams. Mokslininkai iš Masačusetso universiteto analizuojama galimus CDN turinio blokavimo būdus, remiantis Kinijos valdžios institucijų praktikos pavyzdžiu, taip pat sukūrė įrankį, kaip apeiti tokį blokavimą.

Parengėme apžvalginę medžiagą su pagrindinėmis šio eksperimento išvadomis ir rezultatais.

įvedimas

Cenzūra yra pasaulinė grėsmė žodžio laisvei internete ir laisvai prieigai prie informacijos. Tai iš esmės įmanoma dėl to, kad internetas pasiskolino „nuo galo iki galo“ modelį iš praėjusio amžiaus 70-ųjų telefono tinklų. Tai leidžia blokuoti prieigą prie turinio arba vartotojo komunikacijos be didelių pastangų ar išlaidų, paprasčiausiai remiantis IP adresu. Čia yra keletas būdų: nuo paties adreso su draudžiamu turiniu blokavimo iki vartotojų galimybės jį atpažinti naudojant DNS manipuliavimą blokavimo.

Tačiau interneto plėtra paskatino ir naujų informacijos sklaidos būdų atsiradimą. Vienas iš jų yra talpyklos turinio naudojimas siekiant pagerinti našumą ir pagreitinti ryšį. Šiandien CDN teikėjai apdoroja didelę viso pasaulio srauto dalį – vien šio segmento lyderė „Akamai“ sudaro iki 30 % pasaulinio statinio žiniatinklio srauto.

CDN tinklas yra paskirstyta sistema, skirta interneto turiniui pateikti didžiausiu greičiu. Įprastą CDN tinklą sudaro skirtingose ​​geografinėse vietose esantys serveriai, kurie talpykloje saugo turinį, kad galėtų jį aptarnauti arčiausiai to serverio esantiems vartotojams. Tai leidžia žymiai padidinti interneto ryšio greitį.

CDN priegloba ne tik pagerina galutinių vartotojų patirtį, bet ir padeda turinio kūrėjams išplėsti savo projektus sumažinant infrastruktūros apkrovą.

CDN turinio cenzūravimas

Nepaisant to, kad CDN srautas jau sudaro didelę visos internetu perduodamos informacijos dalį, vis dar beveik nėra ištirta, kaip realiame pasaulyje cenzoriai jį kontroliuoja.

Tyrimo autoriai pradėjo tyrinėdami cenzūros metodus, kurie gali būti taikomi CDN. Tada jie ištyrė tikrus Kinijos valdžios naudojamus mechanizmus.

Pirmiausia pakalbėkime apie galimus cenzūros metodus ir galimybę juos panaudoti CDN valdymui.

IP filtravimas

Tai paprasčiausias ir nebrangiausias būdas cenzūruoti internetą. Naudodamas šį metodą, cenzorius nustato ir įtraukia į juodąjį sąrašą išteklių, kuriuose yra draudžiamas turinys, IP adresus. Tada kontroliuojami interneto tiekėjai nustoja pristatyti tokiais adresais siunčiamus paketus.

IP blokavimas yra vienas iš labiausiai paplitusių interneto cenzūravimo būdų. Dauguma komercinio tinklo įrenginių yra aprūpinti funkcijomis tokiam blokavimui įgyvendinti be didelių skaičiavimo pastangų.

Tačiau šis metodas nėra labai tinkamas CDN srautui blokuoti dėl kai kurių pačios technologijos savybių:

• Paskirstytas talpyklos kaupimas – Siekdami užtikrinti geriausią turinio prieinamumą ir optimizuoti našumą, CDN tinklai talpina vartotojų turinį daugelyje kraštinių serverių, esančių geografiškai paskirstytose vietose. Norint filtruoti tokį turinį pagal IP, cenzorius turėtų išsiaiškinti visų krašto serverių adresus ir įtraukti juos į juodąjį sąrašą. Tai pakenks pagrindinėms metodo savybėms, nes pagrindinis jo pranašumas yra tas, kad įprastoje schemoje vieno serverio blokavimas leidžia vienu metu „nutraukti“ prieigą prie draudžiamo turinio daugeliui žmonių.
• Bendrinami IP – komerciniai CDN teikėjai dalijasi savo infrastruktūra (t. y. krašto serveriais, žemėlapių sistema ir kt.) tarp daugelio klientų. Dėl to uždraustas CDN turinys įkeliamas iš tų pačių IP adresų kaip ir neuždraustas turinys. Dėl to bet koks IP filtravimo bandymas užblokuos daugybę svetainių ir turinio, kurie nėra įdomūs cenzoriams.
• Labai dinamiškas IP priskyrimas – optimizuoti apkrovos balansavimą ir gerinti paslaugų kokybę, krašto serverių ir galutinių vartotojų kartografavimas atliekamas labai greitai ir dinamiškai. Pavyzdžiui, „Akamai“ atnaujinimai kiekvieną minutę grąžino IP adresus. Dėl to adresai bus beveik neįmanoma susieti su draudžiamu turiniu.

DNS trukdžiai

Be IP filtravimo, kitas populiarus cenzūros metodas yra DNS trukdžiai. Šis metodas apima cenzorių veiksmus, kuriais siekiama neleisti vartotojams atpažinti draudžiamo turinio išteklių IP adresų. Tai reiškia, kad įsikišimas vyksta domeno vardo skyros lygiu. Tai galima padaryti keliais būdais, įskaitant DNS ryšių užgrobimą, DNS apsinuodijimo metodų naudojimą ir DNS užklausų į draudžiamas svetaines blokavimą.

Tai labai efektyvus blokavimo būdas, tačiau jį galima apeiti, jei naudojate nestandartinius DNS skyrimo metodus, pavyzdžiui, už juostos kanalus. Todėl cenzoriai dažniausiai derina DNS blokavimą su IP filtravimu. Tačiau, kaip minėta pirmiau, IP filtravimas nėra veiksmingas cenzūruojant CDN turinį.

Filtruokite pagal URL / raktinius žodžius naudodami DPI

Šiuolaikinė tinklo veiklos stebėjimo įranga gali būti naudojama konkretiems URL ir raktiniams žodžiams perduodamuose duomenų paketuose analizuoti. Ši technologija vadinama DPI (gilus paketų patikrinimas). Tokios sistemos randa paminėjimus apie draudžiamus žodžius ir išteklius, po kurių trukdo bendrauti internetu. Dėl to paketai tiesiog numetami.

Šis metodas yra efektyvus, tačiau sudėtingesnis ir reikalaujantis daug išteklių, nes reikia defragmentuoti visus duomenų paketus, siunčiamus tam tikruose srautuose.

CDN turinys gali būti apsaugotas nuo tokio filtravimo taip pat, kaip ir „įprastas“ – abiem atvejais padeda šifravimas (t. y. HTTPS).

Šie įrankiai gali būti naudojami ne tik DPI norint rasti uždraustų išteklių raktinius žodžius arba URL, bet ir atlikti išsamesnę analizę. Šie metodai apima statistinę internetinio / neprisijungusio srauto analizę ir identifikavimo protokolų analizę. Šie metodai reikalauja itin daug išteklių ir šiuo metu tiesiog nėra įrodymų, kad cenzoriai juos naudotų pakankamai rimtai.

CDN teikėjų savicenzūra

Jei cenzorius yra valstybė, ji turi visas galimybes uždrausti šalyje veikti tiems CDN teikėjams, kurie nesilaiko vietinių įstatymų, reglamentuojančių prieigą prie turinio. Savicenzūrai niekaip negalima atsispirti – todėl CDN tiekėjų įmonė, suinteresuota veikti tam tikroje šalyje, bus priversta laikytis vietinių įstatymų, net jei jie ir riboja žodžio laisvę.

Kaip Kinija cenzūruoja CDN turinį

Didžioji Kinijos ugniasienė pagrįstai laikoma efektyviausia ir pažangiausia interneto cenzūros užtikrinimo sistema.

Mokslinių tyrimų metodologija

Mokslininkai atliko eksperimentus naudodami Linux mazgą, esantį Kinijos viduje. Jie taip pat turėjo prieigą prie kelių kompiuterių už šalies ribų. Pirmiausia tyrėjai patikrino, ar mazgui taikoma panaši cenzūra, kaip ir kitiems Kinijos vartotojams – kad tai padarytų, iš šio įrenginio jie bandė atidaryti įvairias draudžiamas svetaines. Taigi to paties lygio cenzūra buvo patvirtinta.

Kinijoje užblokuotų svetainių, naudojančių CDN, sąrašas buvo paimtas iš GreatFire.org. Tada buvo analizuojamas blokavimo būdas kiekvienu atveju.

Viešais duomenimis, vienintelis didelis CDN rinkos žaidėjas, turintis nuosavą infrastruktūrą Kinijoje, yra „Akamai“. Kiti tyrime dalyvaujantys teikėjai: „CloudFlare“, „Amazon CloudFront“, „EdgeCast“, „Fastly“ ir „SoftLayer“.

Eksperimentų metu mokslininkai išsiaiškino Akamai krašto serverių adresus šalyje, o tada bandė per juos gauti talpykloje leidžiamą turinį. Prieiti prie draudžiamo turinio nepavyko (grąžinta HTTP 403 Forbidden error) – matyt, įmonė užsiima savicenzūra, siekdama išlaikyti galimybę veikti šalyje. Tuo pačiu metu prieiga prie šių išteklių liko atvira už šalies ribų.

IPT neturintys infrastruktūros Kinijoje necenzūruoja vietinių vartotojų.

Kitų tiekėjų atveju dažniausiai naudojamas blokavimo būdas buvo DNS filtravimas – užklausos į užblokuotas svetaines išsprendžiamos į neteisingus IP adresus. Tuo pačiu metu ugniasienė neblokuoja pačių kraštinių CDN serverių, nes juose saugoma ir draudžiama, ir leidžiama informacija.

Ir jei nešifruoto srauto atveju valdžios institucijos turi galimybę blokuoti atskirus svetainių puslapius naudodamos DPI, tada naudojant HTTPS jie gali tik uždrausti prieigą prie viso domeno. Tai taip pat veda prie leistino turinio blokavimo.

Be to, Kinija turi savo CDN tiekėjus, įskaitant tokius tinklus kaip „ChinaCache“, „ChinaNetCenter“ ir „CDNetworks“. Visos šios įmonės visiškai laikosi šalies įstatymų ir blokuoja draudžiamą turinį.

CacheBrowser: CDN apėjimo įrankis

Kaip parodė analizė, cenzoriams gana sunku blokuoti CDN turinį. Todėl mokslininkai nusprendė eiti toliau ir sukurti internetinį blokų apėjimo įrankį, kuriame nenaudojama tarpinio serverio technologija.

Pagrindinė įrankio idėja yra ta, kad cenzoriai turi trukdyti DNS, kad blokuotų CDN, tačiau iš tikrųjų nereikia naudoti domeno vardo skiriamosios gebos norint atsisiųsti CDN turinį. Taigi vartotojas gali gauti jam reikalingą turinį tiesiogiai susisiekęs su krašto serveriu, kur jis jau yra talpykloje.

Žemiau esančioje diagramoje parodytas sistemos dizainas.

Vartotojo kompiuteryje įdiegta kliento programinė įranga, o turiniui pasiekti naudojama įprasta naršyklė.

Kai URL arba turinio dalis jau buvo prašoma, naršyklė pateikia užklausą vietinei DNS sistemai (LocalDNS), kad gautų prieglobos IP adresą. Įprasto DNS užklausa tik tiems domenams, kurių dar nėra LocalDNS duomenų bazėje. Scraper modulis nuolat eina per prašomus URL ir sąraše ieško potencialiai užblokuotų domenų pavadinimų. Tada „Scraper“ iškviečia „Resolver“ modulį, kad išspręstų naujai atrastus užblokuotus domenus, šis modulis atlieka užduotį ir prideda įrašą į „LocalDNS“. Tada naršyklės DNS talpykla išvaloma, kad būtų pašalinti esami užblokuoto domeno DNS įrašai.

Jei „Resolver“ modulis negali išsiaiškinti, kuriam CDN teikėjui priklauso domenas, jis paprašys „Bootstrapper“ modulio pagalbos.

Kaip tai veikia praktiškai

Produkto kliento programinė įranga buvo įdiegta Linux, tačiau ją galima lengvai perkelti ir į Windows. Įprasta „Mozilla“ naudojama kaip naršyklė
Firefox. Moduliai „Scraper“ ir „Resolver“ yra parašyti „Python“, o duomenų bazės „Customer-to-CDN“ ir „CDN-toIP“ saugomos .txt failuose. LocalDNS duomenų bazė yra įprastas /etc/hosts failas sistemoje Linux.

Dėl to užblokuotam URL pvz blocked.com Scenarijus gaus krašto serverio IP adresą iš /etc/hosts failo ir išsiųs HTTP GET užklausą pasiekti BlockedURL.html su Host HTTP antraštės laukais:

blocked.com/ and User-Agent: Mozilla/5.0 (Windows
NT 5.1; rv:14.0) Gecko/20100101 Firefox/14.0.1

Bootstrapper modulis įgyvendinamas naudojant nemokamą įrankį digwebinterface.com. Šis DNS sprendiklis negali būti užblokuotas ir atsako į DNS užklausas kelių geografiškai paskirstytų DNS serverių vardu skirtinguose tinklo regionuose.

Naudodami šį įrankį tyrėjams pavyko pasiekti „Facebook“ iš savo Kinijos mazgo, nors Kinijoje socialinis tinklas jau seniai buvo užblokuotas.

išvada

Eksperimentas parodė, kad pasinaudojant problemomis, su kuriomis susiduria cenzoriai bandydami blokuoti CDN turinį, galima sukurti blokų apėjimo sistemą. Šis įrankis leidžia apeiti blokus net Kinijoje, kuri turi vieną galingiausių internetinės cenzūros sistemų.

Kiti straipsniai naudojimo tema rezidentų įgaliotiniai verslui:

• Kaip gyvenamieji įgaliotieji serveriai padeda verslui: tikras „Infatica“ naudojimo duomenų gavybos srityje atvejis
• Analizuojama. Kaip veikia SOCKS tarpinis serveris: privalumai, trūkumai, skirtumai nuo kitų technologijų
• Kaip pasirinkti tarpinį tinklą verslui: 3 praktiniai patarimai

Šaltinis: www.habr.com