Na początku 2010 roku wspólny zespół specjalistów z Uniwersytetu Stanforda, Uniwersytetu Massachusetts, The Tor Project i SRI International przedstawił wyniki swojego badania sposoby walki z cenzurą w Internecie.
Naukowcy przeanalizowali istniejące wówczas metody omijania blokad i zaproponowali własną metodę, zwaną flash proxy. Dziś porozmawiamy o jego istocie i historii rozwoju.
Wprowadzenie
Internet zaczynał jako sieć otwarta na wszelkiego rodzaju dane, jednak z biegiem czasu wiele krajów zaczęło filtrować ruch. Niektóre stany blokują określone witryny, takie jak YouTube czy Facebook, inne zaś zabraniają dostępu do treści zawierających określone materiały. Tego czy innego rodzaju blokady stosowane są w kilkudziesięciu krajach z różnych regionów, w tym w Europie.
Użytkownicy w regionach, w których stosowane jest blokowanie, próbują je ominąć, korzystając z różnych serwerów proxy. Kierunków rozwoju takich systemów jest kilka, w projekcie wykorzystano jedną z technologii – Tor.
Zwykle twórcy systemów proxy do omijania blokowania stoją przed trzema zadaniami, które należy rozwiązać:
- Protokoły spotkań. Protokół rendezvous umożliwia użytkownikom w zablokowanym kraju wysyłanie i odbieranie niewielkich ilości informacji w celu nawiązania połączenia z serwerem proxy - na przykład w przypadku Tora wykorzystuje rendezvous do dystrybucji adresu IP przekaźników (mostów) Tora. Takie protokoły są używane w przypadku ruchu o niskiej przepustowości i nie są tak łatwe do zablokowania.
- Tworzenie proxy. Systemy do pokonywania blokad wymagają serwerów proxy spoza regionu z filtrowanym Internetem do przesyłania ruchu od klienta do zasobów docelowych i z powrotem. Organizatorzy bloków mogą w odpowiedzi uniemożliwić użytkownikom poznanie adresów IP serwerów proxy i je zablokować. Aby przeciwdziałać takim usługa proxy musi mieć możliwość ciągłego tworzenia nowych serwerów proxy. Główną istotą metody zaproponowanej przez badaczy jest szybkie tworzenie nowych proxy.
- Kamuflaż. Kiedy klient otrzymuje adres odblokowanego proxy, musi w jakiś sposób ukryć swoją komunikację z nim, aby sesja nie mogła zostać zablokowana za pomocą narzędzi do analizy ruchu. Należy go zamaskować jako „zwykły” ruch, taki jak wymiana danych ze sklepem internetowym, gry online itp.
W swojej pracy naukowcy zaproponowali nowe podejście do szybkiego tworzenia proxy.
Jak to działa
Kluczową ideą jest użycie wielu stron internetowych w celu utworzenia ogromnej liczby serwerów proxy o krótkim czasie życia nie dłuższym niż kilka minut.
W tym celu tworzona jest sieć małych witryn, których właścicielami są wolontariusze - np. strony główne użytkowników mieszkających poza regionem, w którym blokowany jest Internet. Strony te nie są w żaden sposób powiązane z zasobami, do których użytkownik chce uzyskać dostęp.
Na takiej stronie instalowana jest niewielka odznaka, która jest prostym interfejsem stworzonym przy użyciu JavaScript. Przykład tego kodu:
<iframe src="//crypto.stanford.edu/flashproxy/embed.html" width="80" height="15" frameborder="0" scrolling="no"></iframe>Tak wygląda odznaka:
Kiedy przeglądarka z lokalizacji spoza zablokowanego regionu dotrze do takiej witryny ze znaczkiem, zaczyna przesyłać ruch w tę stronę i z powrotem. Oznacza to, że przeglądarka osoby odwiedzającej witrynę staje się tymczasowym serwerem proxy. Gdy użytkownik opuści witrynę, serwer proxy zostanie zniszczony bez pozostawiania śladów.
W rezultacie możliwe jest uzyskanie wydajności wystarczającej do obsługi tunelu Tor.
Oprócz Tor Relay i klienta użytkownik będzie potrzebował jeszcze trzech elementów. Tzw. facylitator, który odbiera żądania od klienta i łączy go z serwerem proxy. Komunikacja odbywa się za pomocą wtyczek transportowych na kliencie (tutaj ) i przekaźnik Tor-relay przełącza z WebSockets na czysty TCP.
Typowa sesja wykorzystująca ten schemat wygląda następująco:
- Klient uruchamia Tora, klienta flash-proxy (wtyczkę do przeglądarki) i wysyła prośbę o rejestrację do moderatora za pomocą protokołu rendezvous. Wtyczka rozpoczyna nasłuchiwanie połączenia zdalnego.
- Flash proxy pojawia się online i kontaktuje się z facylitatorem z prośbą o połączenie z klientem.
- Facylitator zwraca rejestrację, przekazując dane połączenia do flash proxy.
- Serwer proxy łączy się z klientem, którego dane zostały do niego przesłane.
- Serwer proxy łączy się z wtyczką transportową i przekaźnikiem Tor i rozpoczyna wymianę danych między klientem a przekaźnikiem.
Osobliwością tej architektury jest to, że klient nigdy nie wie z góry dokładnie, gdzie będzie musiał się połączyć. Tak naprawdę wtyczka transportowa akceptuje fałszywy adres docelowy tylko po to, aby nie naruszyć wymagań protokołów transportowych. Adres ten jest następnie ignorowany i tworzony jest tunel do innego punktu końcowego – przekaźnika Tor.
wniosek
Projekt flash proxy rozwijał się przez kilka lat i w 2017 roku twórcy przestali go wspierać. Kod projektu dostępny jest pod adresem . Flash proxy zostały zastąpione nowymi narzędziami pozwalającymi ominąć blokowanie. Jednym z nich jest projekt Snowflake zbudowany na podobnych zasadach.
Źródło: www.habr.com