Зураг:
Өнөөдөр интернет дэх бүх агуулгын нэлээд хэсэг нь CDN сүлжээг ашиглан түгээгдэж байна. Үүний зэрэгцээ янз бүрийн цензурууд ийм сүлжээн дэх нөлөөгөө хэрхэн өргөжүүлж байгааг судалж үзээрэй. Массачусетсийн их сургуулийн эрдэмтэд Хятадын эрх баригчдын туршлагын жишээг ашиглан CDN агуулгыг хаах боломжит аргууд, мөн ийм хаалтыг тойрч гарах хэрэгслийг боловсруулсан.
Бид энэхүү туршилтын үндсэн дүгнэлт, үр дүнг агуулсан тойм материалыг бэлтгэсэн.
Танилцуулга
Цензур нь интернет дэх үг хэлэх эрх чөлөө, мэдээлэлд чөлөөтэй нэвтрэхэд дэлхий даяар заналхийлж байна. Энэ нь интернет нь өнгөрсөн зууны 70-аад оны утасны сүлжээнээс "эцэс хоорондын харилцаа холбоо" загварыг зээлж авсантай холбоотой юм. Энэ нь танд IP хаяг дээр тулгуурлан контент эсвэл хэрэглэгчийн харилцаа холбоог ихээхэн хүчин чармайлт, зардалгүйгээр хаах боломжийг олгоно. Хориглосон контент бүхий хаягийг өөрөө блоклохоос эхлээд DNS залилан ашиглан хэрэглэгчдэд таних боломжийг хаах хүртэл хэд хэдэн арга бий.
Гэсэн хэдий ч интернетийн хөгжил нь мэдээлэл түгээх шинэ аргуудыг бий болгоход хүргэсэн. Үүний нэг нь гүйцэтгэлийг сайжруулах, харилцаа холбоог хурдасгахын тулд кэшийн агуулгыг ашиглах явдал юм. Өнөөдөр CDN үйлчилгээ үзүүлэгчид дэлхийн бүх траффикийн ихээхэн хэсгийг боловсруулдаг - энэ сегментийн тэргүүлэгч Акамаи дэлхийн статик вэб траффикийн 30 хүртэлх хувийг дангаараа бүрдүүлдэг.
CDN сүлжээ нь интернетийн агуулгыг хамгийн дээд хурдаар дамжуулах түгээх систем юм. Ердийн CDN сүлжээ нь өөр өөр газарзүйн байршил дахь серверүүдээс бүрддэг бөгөөд агуулгыг тухайн сервертэй хамгийн ойр хэрэглэгчдэд үйлчлэхийн тулд кэш хийдэг. Энэ нь онлайн харилцааны хурдыг мэдэгдэхүйц нэмэгдүүлэх боломжийг танд олгоно.
CDN хостинг нь эцсийн хэрэглэгчдийн туршлагыг сайжруулахаас гадна контент бүтээгчид дэд бүтцийн ачааллыг бууруулж төслөө өргөжүүлэхэд тусалдаг.
CDN контентыг цензурлах
CDN траффик нь интернетээр дамжуулж буй бүх мэдээллийн нэлээд хувийг бүрдүүлдэг хэдий ч бодит ертөнцөд цензурууд хэрхэн хяналтанд байдаг талаар судалгаа бараг хийгдээгүй байна.
Судалгааны зохиогчид CDN-д хэрэглэж болох цензурын аргуудыг судалж эхэлсэн. Дараа нь тэд Хятадын эрх баригчдын ашиглаж буй бодит механизмыг судалжээ.
Нэгдүгээрт, цензурын боломжит аргууд, тэдгээрийг CDN-ийг хянахын тулд ашиглах боломжийн талаар ярилцъя.
IP шүүлтүүр
Энэ бол интернетэд цензур тавих хамгийн энгийн бөгөөд хамгийн хямд арга юм. Энэ аргыг ашиглан цензур нь хориотой контент агуулсан нөөцийн IP хаягийг тодорхойлж, хар жагсаалтад оруулдаг. Дараа нь хяналттай интернетийн үйлчилгээ үзүүлэгчид ийм хаяг руу илгээсэн пакетуудыг хүргэхээ больсон.
IP-д суурилсан хаалт нь интернетэд цензур тавих хамгийн түгээмэл аргуудын нэг юм. Ихэнх арилжааны сүлжээний төхөөрөмжүүд нь ихээхэн хэмжээний тооцоолол хийхгүйгээр блоклох функцээр тоноглогдсон байдаг.
Гэсэн хэдий ч энэ арга нь технологийн зарим шинж чанараас шалтгаалан CDN урсгалыг хаахад тийм ч тохиромжтой биш юм.
- Тархсан кэш – Агуулгын хамгийн сайн хүртээмжийг хангах, гүйцэтгэлийг оновчтой болгохын тулд CDN сүлжээ нь газарзүйн хувьд тархсан байршилд байрладаг олон тооны захын серверүүд дээр хэрэглэгчийн агуулгыг кэш болгодог. IP-д суурилсан ийм агуулгыг шүүхийн тулд цензур бүх захын серверүүдийн хаягийг олж хар жагсаалтад оруулах шаардлагатай болно. Энэ нь аргын үндсэн шинж чанарыг алдагдуулах болно, учир нь түүний гол давуу тал нь ердийн схемд нэг серверийг хаах нь олон тооны хүмүүст хориотой контент руу нэвтрэх эрхийг "таслах" боломжийг олгодог.
- Хуваалцсан IP – арилжааны CDN үйлчилгээ үзүүлэгчид өөрсдийн дэд бүтцээ (жишээ нь: захын сервер, зураглалын систем гэх мэт) олон үйлчлүүлэгчийн хооронд хуваалцдаг. Үүний үр дүнд хориотой CDN контентыг хориглоогүй контенттой ижил IP хаягаас ачаалдаг. Үүний үр дүнд IP шүүлтүүр хийх аливаа оролдлого нь цензурын сонирхлыг татдаггүй асар олон тооны сайт, контентыг хаахад хүргэдэг.
- Өндөр динамик IP хуваарилалт – Ачааллын тэнцвэрийг оновчтой болгож, үйлчилгээний чанарыг сайжруулахын тулд захын серверүүд болон эцсийн хэрэглэгчдийн зураглалыг маш хурдан бөгөөд динамик байдлаар гүйцэтгэдэг. Жишээлбэл, Akamai шинэчлэлтүүд минут тутамд IP хаягуудыг буцааж өгдөг. Энэ нь хаягийг хориглосон контенттой холбохыг бараг боломжгүй болгоно.
DNS хөндлөнгийн оролцоо
IP шүүлтүүрээс гадна цензурын өөр нэг түгээмэл арга бол DNS хөндлөнгийн оролцоо юм. Энэ арга нь хэрэглэгчдийг хориглосон контент бүхий нөөцийн IP хаягийг танихаас урьдчилан сэргийлэхэд чиглэсэн цензурын үйлдлүүдийг багтаадаг. Өөрөөр хэлбэл, интервенц нь домэйн нэрийн нарийвчлалын түвшинд явагддаг. Үүнийг хийх хэд хэдэн арга байдаг бөгөөд үүнд DNS холболтыг хулгайлах, DNS-ийг хордуулах арга техникийг ашиглах, хориглосон сайтуудын DNS хүсэлтийг хаах гэх мэт.
Энэ бол блоклох маш үр дүнтэй арга боловч хэрэв та стандарт бус DNS-ийн нарийвчлалын аргууд, жишээлбэл, зурвасаас гадуурх сувгуудыг ашигладаг бол үүнийг тойрч гарах боломжтой. Тиймээс цензорууд ихэвчлэн DNS блоклохыг IP шүүлтүүртэй хослуулдаг. Гэхдээ дээр дурьдсанчлан IP шүүлтүүр нь CDN контентыг хянахад үр дүнтэй байдаггүй.
DPI ашиглан URL/Түлхүүр үгээр шүүнэ үү
Сүлжээний үйл ажиллагааг хянах орчин үеийн төхөөрөмжийг дамжуулж буй өгөгдлийн багц дахь тодорхой URL болон түлхүүр үгсэд дүн шинжилгээ хийхэд ашиглаж болно. Энэ технологийг DPI (deep paket inspection) гэж нэрлэдэг. Ийм систем нь хориотой үг, эх сурвалжийн талаар дурддаг бөгөөд үүний дараа тэд онлайн харилцаанд саад болдог. Үүний үр дүнд пакетууд зүгээр л унадаг.
Энэ арга нь үр дүнтэй боловч тодорхой урсгал дотор илгээсэн бүх өгөгдлийн пакетуудыг дефрагментаци шаарддаг тул илүү төвөгтэй, нөөц их шаарддаг.
CDN контентыг ийм шүүлтүүрээс "ердийн" агуулгын нэгэн адил хамгаалж болно - хоёуланд нь шифрлэлт (жишээ нь HTTPS) ашиглах нь тусалдаг.
Хориглосон эх сурвалжуудын түлхүүр үг эсвэл URL-г олохын тулд DPI ашиглахаас гадна эдгээр хэрэгслийг илүү нарийвчилсан дүн шинжилгээ хийхэд ашиглаж болно. Эдгээр аргууд нь онлайн/офлайн траффикийн статистик дүн шинжилгээ, таних протоколд дүн шинжилгээ хийх зэрэг орно. Эдгээр аргууд нь маш их нөөц шаарддаг бөгөөд одоогоор цензурынхан хангалттай ноцтой хэмжээгээр ашигласан гэсэн нотолгоо байхгүй байна.
CDN үйлчилгээ үзүүлэгчдийн өөрийгөө цензур
Хэрэв цензур нь муж юм бол контентэд нэвтрэх эрхийг зохицуулдаг орон нутгийн хууль тогтоомжийг дагаж мөрддөггүй CDN үйлчилгээ үзүүлэгчдийг тус улсад ажиллуулахыг хориглох бүрэн боломжтой. Өөрийгөө цензурыг ямар ч байдлаар эсэргүүцэх боломжгүй тул CDN үйлчилгээ үзүүлэгч компани тодорхой улсад үйл ажиллагаа явуулах сонирхолтой бол үг хэлэх эрх чөлөөг хязгаарласан ч гэсэн орон нутгийн хууль тогтоомжийг дагаж мөрдөхөөс өөр аргагүй болно.
Хятад улс CDN контентыг хэрхэн цензурдаж байна
Хятадын Их галт хана нь интернетийн цензурыг баталгаажуулах хамгийн үр дүнтэй, дэвшилтэт систем гэж зүй ёсоор тооцогддог.
Судалгааны арга зүй
Эрдэмтэд Хятадад байрлах Линукс зангилааг ашиглан туршилт хийжээ. Тэд мөн гадаадад хэд хэдэн компьютер ашиглах боломжтой байсан. Нэгдүгээрт, судлаачид зангилаа нь Хятадын бусад хэрэглэгчидтэй адил цензурд өртсөн эсэхийг шалгасан - үүний тулд тэд энэ машинаас янз бүрийн хориглосон сайтуудыг нээхийг оролдсон. Тиймээс ижил түвшний цензур байгаа нь батлагдсан.
CDN ашигладаг Хятадад хаагдсан вэбсайтуудын жагсаалтыг GreatFire.org сайтаас авсан. Дараа нь тохиолдол бүрт блоклох аргыг шинжилэв.
Олон нийтийн мэдээллийн дагуу Хятадад өөрийн гэсэн дэд бүтэцтэй CDN зах зээлийн цорын ганц томоохон тоглогч бол Акамаи юм. Судалгаанд оролцож буй бусад үйлчилгээ үзүүлэгчид: CloudFlare, Amazon CloudFront, EdgeCast, Fastly, SoftLayer.
Туршилтын үеэр судлаачид Акамаи захын серверүүдийн хаягийг тус улсын хэмжээнд олж мэдээд, дараа нь тэдгээрээр дамжуулан кэшд орсон зөвшөөрөгдсөн контентыг авахыг оролдсон байна. Хориотой контент руу нэвтрэх боломжгүй байсан (HTTP 403 Хориотой алдаа буцаасан) - тус компани нь тус улсад үйл ажиллагаа явуулах боломжийг хадгалахын тулд өөрийгөө цензурдаж байгаа бололтой. Үүний зэрэгцээ эдгээр нөөцийг ашиглах боломж улсаас гадуур нээлттэй хэвээр байв.
Хятадад дэд бүтэцгүй ISP нь орон нутгийн хэрэглэгчдэд өөрийгөө хянуулдаггүй.
Бусад үйлчилгээ үзүүлэгчдийн хувьд хамгийн түгээмэл хэрэглэгддэг блоклох арга бол DNS шүүлтүүр байсан - хаагдсан сайтуудын хүсэлтийг буруу IP хаягаар шийддэг. Үүний зэрэгцээ, галт хана нь CDN захын серверүүдийг өөрөө хаадаггүй, учир нь тэдгээр нь хориглосон болон зөвшөөрөгдсөн мэдээллийг хоёуланг нь хадгалдаг.
Хэрэв шифрлэгдээгүй траффикийн хувьд эрх баригчид DPI ашиглан сайтуудын бие даасан хуудсуудыг хаах боломжтой бол HTTPS ашиглах үед тэд зөвхөн бүхэл бүтэн домайн руу нэвтрэхийг хориглох боломжтой. Энэ нь мөн зөвшөөрөгдсөн контентыг хаахад хүргэдэг.
Үүнээс гадна Хятад улс ChinaCache, ChinaNetCenter, CDNetworks зэрэг өөрийн гэсэн CDN үйлчилгээ үзүүлэгчтэй. Эдгээр бүх компаниуд тус улсын хууль тогтоомжийг бүрэн дагаж мөрдөж, хориглосон контентыг блоклодог.
CacheBrowser: CDN тойрч гарах хэрэгсэл
Шинжилгээнээс харахад цензурчид CDN агуулгыг хаах нь нэлээд хэцүү байдаг. Тиймээс судлаачид цаашаа явж, прокси технологийг ашигладаггүй онлайн блок тойрч гарах хэрэгслийг хөгжүүлэхээр шийджээ.
Уг хэрэгслийн үндсэн санаа нь CDN-г хаахын тулд цензурууд DNS-д саад учруулах ёстой боловч CDN контентыг татаж авахын тулд домэйн нэрийн нарийвчлалыг ашиглах шаардлагагүй болно. Тиймээс хэрэглэгч аль хэдийн кэш хийгдсэн захын сервертэй шууд холбогдож өөрт хэрэгтэй контентоо авах боломжтой.
Доорх диаграмм нь системийн дизайныг харуулж байна.
Үйлчлүүлэгчийн програм хангамжийг хэрэглэгчийн компьютер дээр суулгасан бөгөөд контент руу нэвтрэхийн тулд ердийн хөтөч ашигладаг.
URL эсвэл агуулгын хэсгийг аль хэдийн хүссэн үед хөтөч нь хостын IP хаягийг авахын тулд локал DNS системд (LocalDNS) хүсэлт гаргадаг. Тогтмол DNS нь зөвхөн LocalDNS мэдээллийн санд байхгүй байгаа домэйнуудаас асуудаг. Scraper модуль нь хүссэн URL-уудаар тасралтгүй дамжиж, хааж болзошгүй домэйн нэрсийн жагсаалтаас хайдаг. Скрепер дараа нь шинээр илрүүлсэн хаагдсан домэйнүүдийг шийдвэрлэхийн тулд Resolver модулийг дууддаг бөгөөд энэ модуль нь даалгаврыг гүйцэтгэж, LocalDNS-д оруулга нэмнэ. Дараа нь блоклогдсон домэйны DNS бүртгэлийг устгахын тулд хөтчийн DNS кэшийг цэвэрлэнэ.
Хэрэв Resolver модуль нь тухайн домэйн аль CDN үйлчилгээ үзүүлэгчийн харьяалагддагийг олж чадахгүй бол Bootstrapper модулиас тусламж хүсэх болно.
Практикт хэрхэн ажилладаг
Бүтээгдэхүүний үйлчлүүлэгчийн програм хангамжийг Линукс дээр суулгасан боловч Windows-д хялбархан шилжүүлж болно. Энгийн Mozilla-г хөтөч болгон ашигладаг
Firefox. Scraper болон Resolver модулиудыг Python хэл дээр бичсэн бөгөөд Customer-to-CDN болон CDN-toIP мэдээллийн сангууд нь .txt файлд хадгалагддаг. LocalDNS мэдээллийн сан нь Линукс дээрх ердийн /etc/hosts файл юм.
Үүний үр дүнд, шиг хаагдсан URL-ийн хувьд Скрипт нь /etc/hosts файлаас захын серверийн IP хаягийг авч, BlockedURL.html руу нэвтрэхийн тулд HTTP GET хүсэлтийг Host HTTP толгой талбараар илгээнэ:
blocked.com/ and User-Agent: Mozilla/5.0 (Windows
NT 5.1; rv:14.0) Gecko/20100101 Firefox/14.0.1Bootstrapper модулийг digwebinterface.com үнэгүй хэрэгсэл ашиглан хэрэгжүүлдэг. Энэ DNS шийдүүлэгчийг хаах боломжгүй бөгөөд өөр өөр сүлжээний бүс нутагт газарзүйн хувьд тархсан олон DNS серверийн өмнөөс DNS асуулгад хариулдаг.
Энэхүү хэрэгслийг ашиглан судлаачид Хятадад олон нийтийн сүлжээг удаан хугацаагаар хааж байсан ч хятад зангилаанаасаа Facebook руу нэвтрэх боломжтой болсон.
дүгнэлт
Туршилт нь CDN агуулгыг блоклохыг оролдох үед цензурын тулгардаг бэрхшээлүүдийн давуу талыг ашиглан блокуудыг тойрч гарах системийг бий болгоход ашиглаж болохыг харуулсан. Энэ хэрэгсэл нь хамгийн хүчирхэг онлайн цензурын системтэй Хятадад ч гэсэн блокуудыг тойрч гарах боломжийг олгодог.
Ашиглалтын сэдвээр бусад нийтлэлүүд бизнесийн хувьд:
Эх сурвалж: www.habr.com