CacheBrowser eksperiments: Ķīnas ugunsmūra apiešana bez starpniekservera, izmantojot satura kešatmiņu

Bilde: Unsplash

Mūsdienās ievērojama daļa visa satura internetā tiek izplatīta, izmantojot CDN tīklus. Tajā pašā laikā pētījumi par to, kā dažādi cenzori paplašina savu ietekmi uz šādiem tīkliem. Zinātnieki no Masačūsetsas universitātes analizēts iespējamās CDN satura bloķēšanas metodes, izmantojot Ķīnas iestāžu prakses piemēru, kā arī izstrādāja rīku šādas bloķēšanas apiešanai.

Esam sagatavojuši apskata materiālu ar šī eksperimenta galvenajiem secinājumiem un rezultātiem.

Ievads

Cenzūra ir globāls apdraudējums vārda brīvībai internetā un brīvai piekļuvei informācijai. Tas lielā mērā ir iespējams, pateicoties tam, ka internets “no gala līdz galam komunikācijas” modeli aizņēmās no pagājušā gadsimta 70. gadu tālruņu tīkliem. Tas ļauj bloķēt piekļuvi saturam vai lietotāju saziņai bez ievērojamām pūlēm vai izmaksām, vienkārši pamatojoties uz IP adresi. Šeit ir vairākas metodes, sākot no pašas adreses bloķēšanas ar aizliegtu saturu līdz bloķējot lietotāju spēju pat to atpazīt, izmantojot DNS manipulācijas.

Tomēr interneta attīstība ir radījusi arī jaunu informācijas izplatīšanas veidu rašanos. Viens no tiem ir kešatmiņā saglabāta satura izmantošana, lai uzlabotu veiktspēju un paātrinātu saziņu. Mūsdienās CDN pakalpojumu sniedzēji apstrādā ievērojamu daļu no visas trafika pasaulē — šī segmenta līderis Akamai vien veido līdz pat 30% no globālās statiskās tīmekļa trafika.

CDN tīkls ir izplatīta sistēma interneta satura piegādei ar maksimālu ātrumu. Tipisks CDN tīkls sastāv no serveriem dažādās ģeogrāfiskās vietās, kas saglabā saturu kešatmiņā, lai to apkalpotu lietotājiem, kas atrodas vistuvāk šim serverim. Tas ļauj ievērojami palielināt tiešsaistes saziņas ātrumu.

Papildus galalietotāju pieredzes uzlabošanai CDN mitināšana palīdz satura veidotājiem mērogot savus projektus, samazinot infrastruktūras slodzi.

CDN satura cenzūra

Neskatoties uz to, ka CDN trafika jau veido ievērojamu daļu no visas internetā pārraidītās informācijas, joprojām gandrīz nav pētīts, kā cenzori reālajā pasaulē tuvojas tās kontrolei.

Pētījuma autori sāka, izpētot cenzūras metodes, ko var piemērot CDN. Pēc tam viņi pētīja Ķīnas varas iestāžu izmantotos faktiskos mehānismus.

Vispirms parunāsim par iespējamām cenzēšanas metodēm un iespēju tās izmantot CDN kontrolei.

IP filtrēšana

Šis ir vienkāršākais un lētākais interneta cenzūras paņēmiens. Izmantojot šo pieeju, cenzors identificē un melnajā sarakstā iekļauj to resursu IP adreses, kuros mitināts aizliegts saturs. Tad kontrolētie interneta pakalpojumu sniedzēji pārtrauc piegādāt uz šādām adresēm nosūtītās paketes.

Uz IP balstīta bloķēšana ir viena no visizplatītākajām interneta cenzūras metodēm. Lielākā daļa komerciālo tīklu ierīču ir aprīkotas ar funkcijām, kas nodrošina šādu bloķēšanu bez ievērojamas skaitļošanas piepūles.

Tomēr šī metode nav īpaši piemērota CDN trafika bloķēšanai dažu pašas tehnoloģijas īpašību dēļ:

• Izplatīta kešatmiņa – lai nodrošinātu vislabāko satura pieejamību un optimizētu veiktspēju, CDN tīkli kešatmiņā saglabā lietotāju saturu daudzos malu serveros, kas atrodas ģeogrāfiski izkliedētās vietās. Lai filtrētu šādu saturu, pamatojoties uz IP, cenzoram būtu jānoskaidro visu malas serveru adreses un tie jāiekļauj melnajā sarakstā. Tas iedragās metodes galvenās īpašības, jo tās galvenā priekšrocība ir tāda, ka parastajā shēmā viena servera bloķēšana ļauj vienlaikus “nogriezt” piekļuvi aizliegtam saturam lielam skaitam cilvēku.
• Koplietojamie IP – komerciālie CDN nodrošinātāji koplieto savu infrastruktūru (t.i., malas serverus, kartēšanas sistēmu utt.) starp daudziem klientiem. Rezultātā aizliegtais CDN saturs tiek ielādēts no tām pašām IP adresēm kā neaizliegtais saturs. Rezultātā jebkurš IP filtrēšanas mēģinājums novedīs pie tā, ka tiks bloķēts liels skaits vietņu un satura, kas cenzoriem neinteresē.
• Ļoti dinamiska IP piešķiršana – lai optimizētu slodzes balansēšanu un uzlabotu servisa kvalitāti, malas serveru un gala lietotāju kartēšana tiek veikta ļoti ātri un dinamiski. Piemēram, Akamai atjauninājumi katru minūti atgrieza IP adreses. Tādējādi adreses būs gandrīz neiespējamas saistīt ar aizliegtu saturu.

DNS traucējumi

Papildus IP filtrēšanai vēl viena populāra cenzūras metode ir DNS traucējumi. Šī pieeja ietver cenzoru darbības, kuru mērķis ir neļaut lietotājiem atpazīt IP adreses resursiem ar aizliegtu saturu. Tas nozīmē, ka iejaukšanās notiek domēna vārda izšķirtspējas līmenī. Ir vairāki veidi, kā to izdarīt, tostarp DNS savienojumu nolaupīšana, DNS saindēšanās paņēmienu izmantošana un DNS pieprasījumu bloķēšana aizliegtām vietnēm.

Šī ir ļoti efektīva bloķēšanas metode, taču to var apiet, ja izmantojat nestandarta DNS izšķirtspējas metodes, piemēram, ārpusjoslas kanālus. Tāpēc cenzori parasti apvieno DNS bloķēšanu ar IP filtrēšanu. Bet, kā minēts iepriekš, IP filtrēšana nav efektīva CDN satura cenzēšanai.

Filtrējiet pēc URL/atslēgvārdiem, izmantojot DPI

Mūsdienu tīkla aktivitātes uzraudzības iekārtas var izmantot, lai analizētu konkrētus URL un atslēgvārdus pārsūtītajās datu paketēs. Šo tehnoloģiju sauc par DPI (deep paketes pārbaude). Šādas sistēmas atrod aizliegtu vārdu un resursu pieminējumus, pēc tam tie traucē saziņu tiešsaistē. Rezultātā paketes tiek vienkārši nomestas.

Šī metode ir efektīva, taču sarežģītāka un resursietilpīgāka, jo tai nepieciešama visu noteiktās straumēs nosūtīto datu pakešu defragmentēšana.

CDN saturu no šādas filtrēšanas var aizsargāt tāpat kā “parasto” saturu – abos gadījumos palīdz šifrēšanas (t.i., HTTPS) izmantošana.

Papildus DPI izmantošanai, lai atrastu aizliegto resursu atslēgvārdus vai vietrāžus URL, šos rīkus var izmantot uzlabotai analīzei. Šīs metodes ietver tiešsaistes/bezsaistes trafika statistisko analīzi un identifikācijas protokolu analīzi. Šīs metodes ir ārkārtīgi resursietilpīgas, un šobrīd vienkārši nekas neliecina, ka cenzori tās izmanto pietiekami nopietni.

CDN pakalpojumu sniedzēju pašcenzūra

Ja cenzors ir valsts, tad tai ir visas iespējas aizliegt valstī darboties tiem CDN nodrošinātājiem, kuri neievēro vietējos likumus, kas regulē piekļuvi saturam. Pašcenzūrai nevar pretoties nekādā veidā – tādēļ, ja CDN nodrošinātāja uzņēmums būs ieinteresēts darboties kādā noteiktā valstī, tas būs spiests ievērot vietējos likumus, pat ja tie ierobežos vārda brīvību.

Kā Ķīna cenzē CDN saturu

Lielais Ķīnas ugunsmūris pamatoti tiek uzskatīts par visefektīvāko un progresīvāko sistēmu interneta cenzūras nodrošināšanai.

Pētījuma metodoloģija

Zinātnieki veica eksperimentus, izmantojot Linux mezglu, kas atrodas Ķīnā. Viņiem bija pieejami arī vairāki datori ārpus valsts. Pirmkārt, pētnieki pārbaudīja, vai uz mezglu attiecas līdzīga cenzūra, kāda tiek piemērota citiem Ķīnas lietotājiem - lai to izdarītu, viņi mēģināja no šīs iekārtas atvērt dažādas aizliegtas vietnes. Tātad tika apstiprināta tāda paša līmeņa cenzūras klātbūtne.

Ķīnā bloķēto vietņu saraksts, kas izmanto CDN, tika ņemts no vietnes GreatFire.org. Pēc tam tika analizēta bloķēšanas metode katrā gadījumā.

Saskaņā ar publiskajiem datiem vienīgais lielākais CDN tirgus spēlētājs ar savu infrastruktūru Ķīnā ir Akamai. Citi pakalpojumu sniedzēji, kas piedalās pētījumā: CloudFlare, Amazon CloudFront, EdgeCast, Fastly un SoftLayer.

Eksperimentu laikā pētnieki noskaidroja Akamai edge serveru adreses valstī un pēc tam mēģināja caur tiem iegūt kešatmiņā atļauto saturu. Nevarēja piekļūt aizliegtam saturam (atdeva HTTP 403 Forbidden error) - acīmredzot uzņēmums veic pašcenzūru, lai saglabātu spēju darboties valstī. Tajā pašā laikā piekļuve šiem resursiem palika atvērta ārpus valsts.

Interneta pakalpojumu sniedzēji bez infrastruktūras Ķīnā neveic vietējo lietotāju pašcenzūru.

Citu pakalpojumu sniedzēju gadījumā visbiežāk izmantotā bloķēšanas metode bija DNS filtrēšana - pieprasījumi bloķētajām vietnēm tiek atrisināti uz nepareizām IP adresēm. Tajā pašā laikā ugunsmūris nebloķē pašus CDN malas serverus, jo tie glabā gan aizliegto, gan atļauto informāciju.

Un, ja nešifrētas trafika gadījumā iestādēm ir iespēja bloķēt atsevišķas vietņu lapas, izmantojot DPI, tad, izmantojot HTTPS, tās var liegt piekļuvi tikai visam domēnam kopumā. Tas arī noved pie atļautā satura bloķēšanas.

Turklāt Ķīnai ir savi CDN nodrošinātāji, tostarp tādi tīkli kā ChinaCache, ChinaNetCenter un CDNetworks. Visi šie uzņēmumi pilnībā ievēro valsts likumus un bloķē aizliegtu saturu.

CacheBrowser: CDN apiešanas rīks

Kā parādīja analīze, cenzoriem ir diezgan grūti bloķēt CDN saturu. Tāpēc pētnieki nolēma iet tālāk un izstrādāt tiešsaistes bloku apiešanas rīku, kas neizmanto starpniekservera tehnoloģiju.

Rīka pamatideja ir tāda, ka cenzoriem ir jāiejaucas DNS, lai bloķētu CDN, taču jums faktiski nav jāizmanto domēna vārda izšķirtspēja, lai lejupielādētu CDN saturu. Tādējādi lietotājs var iegūt nepieciešamo saturu, tieši sazinoties ar malas serveri, kur tas jau ir kešatmiņā.

Zemāk redzamā diagramma parāda sistēmas dizainu.

Lietotāja datorā ir instalēta klienta programmatūra, un, lai piekļūtu saturam, tiek izmantota parasta pārlūkprogramma.

Kad URL vai satura daļa jau ir pieprasīta, pārlūkprogramma iesniedz pieprasījumu vietējai DNS sistēmai (LocalDNS), lai iegūtu mitināšanas IP adresi. Parastais DNS tiek pieprasīts tikai tiem domēniem, kuri vēl nav iekļauti LocalDNS datu bāzē. Scraper modulis nepārtraukti iet cauri pieprasītajiem vietrāžiem URL un meklē sarakstā potenciāli bloķētus domēna nosaukumus. Pēc tam Scraper izsauc Resolver moduli, lai atrisinātu jaunatklātos bloķētos domēnus, šis modulis veic uzdevumu un pievieno ierakstu LocalDNS. Pēc tam pārlūkprogrammas DNS kešatmiņa tiek notīrīta, lai noņemtu esošos DNS ierakstus bloķētajam domēnam.

Ja Resolver modulis nevar noskaidrot, kuram CDN nodrošinātājam domēns pieder, tas lūgs palīdzību Bootstrapper modulim.

Kā tas darbojas praksē

Produkta klienta programmatūra tika ieviesta operētājsistēmai Linux, taču to var viegli portēt arī operētājsistēmai Windows. Parasta Mozilla tiek izmantota kā pārlūkprogramma
Firefox. Scraper un Resolver moduļi ir rakstīti Python, un datu bāzes Customer-to-CDN un CDN-toIP tiek glabātas .txt failos. LocalDNS datu bāze ir parastais /etc/hosts fails operētājsistēmā Linux.

Tā rezultātā bloķētam URL, piemēram, blocked.com Skripts saņems malas servera IP adresi no /etc/hosts faila un nosūtīs HTTP GET pieprasījumu, lai piekļūtu BlockedURL.html ar Host HTTP galvenes laukiem:

blocked.com/ and User-Agent: Mozilla/5.0 (Windows
NT 5.1; rv:14.0) Gecko/20100101 Firefox/14.0.1

Bootstrapper modulis tiek ieviests, izmantojot bezmaksas rīku digwebinterface.com. Šo DNS risinātāju nevar bloķēt, un tas atbild uz DNS vaicājumiem vairāku ģeogrāfiski sadalītu DNS serveru vārdā dažādos tīkla reģionos.

Izmantojot šo rīku, pētniekiem izdevās piekļūt Facebook no sava Ķīnas mezgla, lai gan sociālais tīkls Ķīnā jau sen ir bloķēts.

Secinājums

Eksperiments parādīja, ka, izmantojot problēmas, ar kurām saskaras cenzori, mēģinot bloķēt CDN saturu, var izveidot sistēmu bloku apiešanai. Šis rīks ļauj apiet blokus pat Ķīnā, kur ir viena no jaudīgākajām tiešsaistes cenzūras sistēmām.

Citi raksti par lietošanas tēmu rezidentu starpniekserveri biznesam:

• Kā privātie starpniekserveri palīdz uzņēmējdarbībā: reāls Infatica izmantošanas gadījums datu ieguves jomā
• Parsēšana. Kā darbojas SOCKS starpniekserveris: plusi, mīnusi, atšķirības no citām tehnoloģijām
• Kā izvēlēties starpniekservera tīklu biznesam: 3 praktiski padomi

Avots: www.habr.com