MÅ«sdienÄs ievÄrojama daļa visa satura internetÄ tiek izplatÄ«ta, izmantojot CDN tÄ«klus. TajÄ paÅ”Ä laikÄ pÄtÄ«jumi par to, kÄ dažÄdi cenzori paplaÅ”ina savu ietekmi uz Å”Ädiem tÄ«kliem. ZinÄtnieki no MasaÄÅ«setsas universitÄtes analizÄts iespÄjamÄs CDN satura bloÄ·ÄÅ”anas metodes, izmantojot Ķīnas iestÄžu prakses piemÄru, kÄ arÄ« izstrÄdÄja rÄ«ku Å”Ädas bloÄ·ÄÅ”anas apieÅ”anai.
Esam sagatavojuÅ”i apskata materiÄlu ar Ŕī eksperimenta galvenajiem secinÄjumiem un rezultÄtiem.
Ievads
CenzÅ«ra ir globÄls apdraudÄjums vÄrda brÄ«vÄ«bai internetÄ un brÄ«vai piekļuvei informÄcijai. Tas lielÄ mÄrÄ ir iespÄjams, pateicoties tam, ka internets āno gala lÄ«dz galam komunikÄcijasā modeli aizÅÄmÄs no pagÄjuÅ”Ä gadsimta 70. gadu tÄlruÅu tÄ«kliem. Tas ļauj bloÄ·Ät piekļuvi saturam vai lietotÄju saziÅai bez ievÄrojamÄm pÅ«lÄm vai izmaksÄm, vienkÄrÅ”i pamatojoties uz IP adresi. Å eit ir vairÄkas metodes, sÄkot no paÅ”as adreses bloÄ·ÄÅ”anas ar aizliegtu saturu lÄ«dz bloÄ·Äjot lietotÄju spÄju pat to atpazÄ«t, izmantojot DNS manipulÄcijas.
TomÄr interneta attÄ«stÄ«ba ir radÄ«jusi arÄ« jaunu informÄcijas izplatÄ«Å”anas veidu raÅ”anos. Viens no tiem ir keÅ”atmiÅÄ saglabÄta satura izmantoÅ”ana, lai uzlabotu veiktspÄju un paÄtrinÄtu saziÅu. MÅ«sdienÄs CDN pakalpojumu sniedzÄji apstrÄdÄ ievÄrojamu daļu no visas trafika pasaulÄ ā Ŕī segmenta lÄ«deris Akamai vien veido lÄ«dz pat 30% no globÄlÄs statiskÄs tÄ«mekļa trafika.
CDN tÄ«kls ir izplatÄ«ta sistÄma interneta satura piegÄdei ar maksimÄlu Ätrumu. Tipisks CDN tÄ«kls sastÄv no serveriem dažÄdÄs Ä£eogrÄfiskÄs vietÄs, kas saglabÄ saturu keÅ”atmiÅÄ, lai to apkalpotu lietotÄjiem, kas atrodas vistuvÄk Å”im serverim. Tas ļauj ievÄrojami palielinÄt tieÅ”saistes saziÅas Ätrumu.
Papildus galalietotÄju pieredzes uzlaboÅ”anai CDN mitinÄÅ”ana palÄ«dz satura veidotÄjiem mÄrogot savus projektus, samazinot infrastruktÅ«ras slodzi.
CDN satura cenzūra
Neskatoties uz to, ka CDN trafika jau veido ievÄrojamu daļu no visas internetÄ pÄrraidÄ«tÄs informÄcijas, joprojÄm gandrÄ«z nav pÄtÄ«ts, kÄ cenzori reÄlajÄ pasaulÄ tuvojas tÄs kontrolei.
PÄtÄ«juma autori sÄka, izpÄtot cenzÅ«ras metodes, ko var piemÄrot CDN. PÄc tam viÅi pÄtÄ«ja Ķīnas varas iestÄžu izmantotos faktiskos mehÄnismus.
Vispirms parunÄsim par iespÄjamÄm cenzÄÅ”anas metodÄm un iespÄju tÄs izmantot CDN kontrolei.
IP filtrÄÅ”ana
Å is ir vienkÄrÅ”Äkais un lÄtÄkais interneta cenzÅ«ras paÅÄmiens. Izmantojot Å”o pieeju, cenzors identificÄ un melnajÄ sarakstÄ iekļauj to resursu IP adreses, kuros mitinÄts aizliegts saturs. Tad kontrolÄtie interneta pakalpojumu sniedzÄji pÄrtrauc piegÄdÄt uz Å”ÄdÄm adresÄm nosÅ«tÄ«tÄs paketes.
Uz IP balstÄ«ta bloÄ·ÄÅ”ana ir viena no visizplatÄ«tÄkajÄm interneta cenzÅ«ras metodÄm. LielÄkÄ daļa komerciÄlo tÄ«klu ierÄ«Äu ir aprÄ«kotas ar funkcijÄm, kas nodroÅ”ina Å”Ädu bloÄ·ÄÅ”anu bez ievÄrojamas skaitļoÅ”anas piepÅ«les.
TomÄr Ŕī metode nav Ä«paÅ”i piemÄrota CDN trafika bloÄ·ÄÅ”anai dažu paÅ”as tehnoloÄ£ijas Ä«paŔību dÄļ:
IzplatÄ«ta keÅ”atmiÅa ā lai nodroÅ”inÄtu vislabÄko satura pieejamÄ«bu un optimizÄtu veiktspÄju, CDN tÄ«kli keÅ”atmiÅÄ saglabÄ lietotÄju saturu daudzos malu serveros, kas atrodas Ä£eogrÄfiski izkliedÄtÄs vietÄs. Lai filtrÄtu Å”Ädu saturu, pamatojoties uz IP, cenzoram bÅ«tu jÄnoskaidro visu malas serveru adreses un tie jÄiekļauj melnajÄ sarakstÄ. Tas iedragÄs metodes galvenÄs Ä«paŔības, jo tÄs galvenÄ priekÅ”rocÄ«ba ir tÄda, ka parastajÄ shÄmÄ viena servera bloÄ·ÄÅ”ana ļauj vienlaikus ānogrieztā piekļuvi aizliegtam saturam lielam skaitam cilvÄku.
Koplietojamie IP ā komerciÄlie CDN nodroÅ”inÄtÄji koplieto savu infrastruktÅ«ru (t.i., malas serverus, kartÄÅ”anas sistÄmu utt.) starp daudziem klientiem. RezultÄtÄ aizliegtais CDN saturs tiek ielÄdÄts no tÄm paÅ”Äm IP adresÄm kÄ neaizliegtais saturs. RezultÄtÄ jebkurÅ” IP filtrÄÅ”anas mÄÄ£inÄjums novedÄ«s pie tÄ, ka tiks bloÄ·Äts liels skaits vietÅu un satura, kas cenzoriem neinteresÄ.
Ä»oti dinamiska IP pieŔķirÅ”ana ā lai optimizÄtu slodzes balansÄÅ”anu un uzlabotu servisa kvalitÄti, malas serveru un gala lietotÄju kartÄÅ”ana tiek veikta ļoti Ätri un dinamiski. PiemÄram, Akamai atjauninÄjumi katru minÅ«ti atgrieza IP adreses. TÄdÄjÄdi adreses bÅ«s gandrÄ«z neiespÄjamas saistÄ«t ar aizliegtu saturu.
DNS traucÄjumi
Papildus IP filtrÄÅ”anai vÄl viena populÄra cenzÅ«ras metode ir DNS traucÄjumi. Å Ä« pieeja ietver cenzoru darbÄ«bas, kuru mÄrÄ·is ir neļaut lietotÄjiem atpazÄ«t IP adreses resursiem ar aizliegtu saturu. Tas nozÄ«mÄ, ka iejaukÅ”anÄs notiek domÄna vÄrda izŔķirtspÄjas lÄ«menÄ«. Ir vairÄki veidi, kÄ to izdarÄ«t, tostarp DNS savienojumu nolaupÄ«Å”ana, DNS saindÄÅ”anÄs paÅÄmienu izmantoÅ”ana un DNS pieprasÄ«jumu bloÄ·ÄÅ”ana aizliegtÄm vietnÄm.
Å Ä« ir ļoti efektÄ«va bloÄ·ÄÅ”anas metode, taÄu to var apiet, ja izmantojat nestandarta DNS izŔķirtspÄjas metodes, piemÄram, Ärpusjoslas kanÄlus. TÄpÄc cenzori parasti apvieno DNS bloÄ·ÄÅ”anu ar IP filtrÄÅ”anu. Bet, kÄ minÄts iepriekÅ”, IP filtrÄÅ”ana nav efektÄ«va CDN satura cenzÄÅ”anai.
FiltrÄjiet pÄc URL/atslÄgvÄrdiem, izmantojot DPI
MÅ«sdienu tÄ«kla aktivitÄtes uzraudzÄ«bas iekÄrtas var izmantot, lai analizÄtu konkrÄtus URL un atslÄgvÄrdus pÄrsÅ«tÄ«tajÄs datu paketÄs. Å o tehnoloÄ£iju sauc par DPI (deep paketes pÄrbaude). Å Ädas sistÄmas atrod aizliegtu vÄrdu un resursu pieminÄjumus, pÄc tam tie traucÄ saziÅu tieÅ”saistÄ. RezultÄtÄ paketes tiek vienkÄrÅ”i nomestas.
Å Ä« metode ir efektÄ«va, taÄu sarežģītÄka un resursietilpÄ«gÄka, jo tai nepiecieÅ”ama visu noteiktÄs straumÄs nosÅ«tÄ«to datu pakeÅ”u defragmentÄÅ”ana.
CDN saturu no Å”Ädas filtrÄÅ”anas var aizsargÄt tÄpat kÄ āparastoā saturu ā abos gadÄ«jumos palÄ«dz Å”ifrÄÅ”anas (t.i., HTTPS) izmantoÅ”ana.
Papildus DPI izmantoÅ”anai, lai atrastu aizliegto resursu atslÄgvÄrdus vai vietrÄžus URL, Å”os rÄ«kus var izmantot uzlabotai analÄ«zei. Å Ä«s metodes ietver tieÅ”saistes/bezsaistes trafika statistisko analÄ«zi un identifikÄcijas protokolu analÄ«zi. Å Ä«s metodes ir ÄrkÄrtÄ«gi resursietilpÄ«gas, un Å”obrÄ«d vienkÄrÅ”i nekas neliecina, ka cenzori tÄs izmanto pietiekami nopietni.
CDN pakalpojumu sniedzÄju paÅ”cenzÅ«ra
Ja cenzors ir valsts, tad tai ir visas iespÄjas aizliegt valstÄ« darboties tiem CDN nodroÅ”inÄtÄjiem, kuri neievÄro vietÄjos likumus, kas regulÄ piekļuvi saturam. PaÅ”cenzÅ«rai nevar pretoties nekÄdÄ veidÄ ā tÄdÄļ, ja CDN nodroÅ”inÄtÄja uzÅÄmums bÅ«s ieinteresÄts darboties kÄdÄ noteiktÄ valstÄ«, tas bÅ«s spiests ievÄrot vietÄjos likumus, pat ja tie ierobežos vÄrda brÄ«vÄ«bu.
KÄ Ä¶Ä«na cenzÄ CDN saturu
Lielais Ķīnas ugunsmÅ«ris pamatoti tiek uzskatÄ«ts par visefektÄ«vÄko un progresÄ«vÄko sistÄmu interneta cenzÅ«ras nodroÅ”inÄÅ”anai.
PÄtÄ«juma metodoloÄ£ija
ZinÄtnieki veica eksperimentus, izmantojot Linux mezglu, kas atrodas ĶīnÄ. ViÅiem bija pieejami arÄ« vairÄki datori Ärpus valsts. PirmkÄrt, pÄtnieki pÄrbaudÄ«ja, vai uz mezglu attiecas lÄ«dzÄ«ga cenzÅ«ra, kÄda tiek piemÄrota citiem Ķīnas lietotÄjiem - lai to izdarÄ«tu, viÅi mÄÄ£inÄja no Ŕīs iekÄrtas atvÄrt dažÄdas aizliegtas vietnes. TÄtad tika apstiprinÄta tÄda paÅ”a lÄ«meÅa cenzÅ«ras klÄtbÅ«tne.
ĶīnÄ bloÄ·Äto vietÅu saraksts, kas izmanto CDN, tika Åemts no vietnes GreatFire.org. PÄc tam tika analizÄta bloÄ·ÄÅ”anas metode katrÄ gadÄ«jumÄ.
SaskaÅÄ ar publiskajiem datiem vienÄ«gais lielÄkais CDN tirgus spÄlÄtÄjs ar savu infrastruktÅ«ru ĶīnÄ ir Akamai. Citi pakalpojumu sniedzÄji, kas piedalÄs pÄtÄ«jumÄ: CloudFlare, Amazon CloudFront, EdgeCast, Fastly un SoftLayer.
Eksperimentu laikÄ pÄtnieki noskaidroja Akamai edge serveru adreses valstÄ« un pÄc tam mÄÄ£inÄja caur tiem iegÅ«t keÅ”atmiÅÄ atļauto saturu. NevarÄja piekļūt aizliegtam saturam (atdeva HTTP 403 Forbidden error) - acÄ«mredzot uzÅÄmums veic paÅ”cenzÅ«ru, lai saglabÄtu spÄju darboties valstÄ«. TajÄ paÅ”Ä laikÄ piekļuve Å”iem resursiem palika atvÄrta Ärpus valsts.
Interneta pakalpojumu sniedzÄji bez infrastruktÅ«ras ĶīnÄ neveic vietÄjo lietotÄju paÅ”cenzÅ«ru.
Citu pakalpojumu sniedzÄju gadÄ«jumÄ visbiežÄk izmantotÄ bloÄ·ÄÅ”anas metode bija DNS filtrÄÅ”ana - pieprasÄ«jumi bloÄ·ÄtajÄm vietnÄm tiek atrisinÄti uz nepareizÄm IP adresÄm. TajÄ paÅ”Ä laikÄ ugunsmÅ«ris nebloÄ·Ä paÅ”us CDN malas serverus, jo tie glabÄ gan aizliegto, gan atļauto informÄciju.
Un, ja neÅ”ifrÄtas trafika gadÄ«jumÄ iestÄdÄm ir iespÄja bloÄ·Ät atseviŔķas vietÅu lapas, izmantojot DPI, tad, izmantojot HTTPS, tÄs var liegt piekļuvi tikai visam domÄnam kopumÄ. Tas arÄ« noved pie atļautÄ satura bloÄ·ÄÅ”anas.
TurklÄt Ķīnai ir savi CDN nodroÅ”inÄtÄji, tostarp tÄdi tÄ«kli kÄ ChinaCache, ChinaNetCenter un CDNetworks. Visi Å”ie uzÅÄmumi pilnÄ«bÄ ievÄro valsts likumus un bloÄ·Ä aizliegtu saturu.
CacheBrowser: CDN apieŔanas rīks
KÄ parÄdÄ«ja analÄ«ze, cenzoriem ir diezgan grÅ«ti bloÄ·Ät CDN saturu. TÄpÄc pÄtnieki nolÄma iet tÄlÄk un izstrÄdÄt tieÅ”saistes bloku apieÅ”anas rÄ«ku, kas neizmanto starpniekservera tehnoloÄ£iju.
RÄ«ka pamatideja ir tÄda, ka cenzoriem ir jÄiejaucas DNS, lai bloÄ·Ätu CDN, taÄu jums faktiski nav jÄizmanto domÄna vÄrda izŔķirtspÄja, lai lejupielÄdÄtu CDN saturu. TÄdÄjÄdi lietotÄjs var iegÅ«t nepiecieÅ”amo saturu, tieÅ”i sazinoties ar malas serveri, kur tas jau ir keÅ”atmiÅÄ.
LietotÄja datorÄ ir instalÄta klienta programmatÅ«ra, un, lai piekļūtu saturam, tiek izmantota parasta pÄrlÅ«kprogramma.
Kad URL vai satura daļa jau ir pieprasÄ«ta, pÄrlÅ«kprogramma iesniedz pieprasÄ«jumu vietÄjai DNS sistÄmai (LocalDNS), lai iegÅ«tu mitinÄÅ”anas IP adresi. Parastais DNS tiek pieprasÄ«ts tikai tiem domÄniem, kuri vÄl nav iekļauti LocalDNS datu bÄzÄ. Scraper modulis nepÄrtraukti iet cauri pieprasÄ«tajiem vietrÄžiem URL un meklÄ sarakstÄ potenciÄli bloÄ·Ätus domÄna nosaukumus. PÄc tam Scraper izsauc Resolver moduli, lai atrisinÄtu jaunatklÄtos bloÄ·Ätos domÄnus, Å”is modulis veic uzdevumu un pievieno ierakstu LocalDNS. PÄc tam pÄrlÅ«kprogrammas DNS keÅ”atmiÅa tiek notÄ«rÄ«ta, lai noÅemtu esoÅ”os DNS ierakstus bloÄ·Ätajam domÄnam.
Ja Resolver modulis nevar noskaidrot, kuram CDN nodroÅ”inÄtÄjam domÄns pieder, tas lÅ«gs palÄ«dzÄ«bu Bootstrapper modulim.
KÄ tas darbojas praksÄ
Produkta klienta programmatÅ«ra tika ieviesta operÄtÄjsistÄmai Linux, taÄu to var viegli portÄt arÄ« operÄtÄjsistÄmai Windows. Parasta Mozilla tiek izmantota kÄ pÄrlÅ«kprogramma
Firefox. Scraper un Resolver moduļi ir rakstÄ«ti Python, un datu bÄzes Customer-to-CDN un CDN-toIP tiek glabÄtas .txt failos. LocalDNS datu bÄze ir parastais /etc/hosts fails operÄtÄjsistÄmÄ Linux.
TÄ rezultÄtÄ bloÄ·Ätam URL, piemÄram, blocked.com Skripts saÅems malas servera IP adresi no /etc/hosts faila un nosÅ«tÄ«s HTTP GET pieprasÄ«jumu, lai piekļūtu BlockedURL.html ar Host HTTP galvenes laukiem:
blocked.com/ and User-Agent: Mozilla/5.0 (Windows
NT 5.1; rv:14.0) Gecko/20100101 Firefox/14.0.1
Bootstrapper modulis tiek ieviests, izmantojot bezmaksas rÄ«ku digwebinterface.com. Å o DNS risinÄtÄju nevar bloÄ·Ät, un tas atbild uz DNS vaicÄjumiem vairÄku Ä£eogrÄfiski sadalÄ«tu DNS serveru vÄrdÄ dažÄdos tÄ«kla reÄ£ionos.
Izmantojot Å”o rÄ«ku, pÄtniekiem izdevÄs piekļūt Facebook no sava Ķīnas mezgla, lai gan sociÄlais tÄ«kls ĶīnÄ jau sen ir bloÄ·Äts.
SecinÄjums
Eksperiments parÄdÄ«ja, ka, izmantojot problÄmas, ar kurÄm saskaras cenzori, mÄÄ£inot bloÄ·Ät CDN saturu, var izveidot sistÄmu bloku apieÅ”anai. Å is rÄ«ks ļauj apiet blokus pat ĶīnÄ, kur ir viena no jaudÄ«gÄkajÄm tieÅ”saistes cenzÅ«ras sistÄmÄm.