Imagine:
Astăzi, o parte semnificativă a întregului conținut de pe Internet este distribuită folosind rețele CDN. În același timp, cercetările asupra modului în care diverși cenzori își extind influența asupra unor astfel de rețele. Oameni de știință de la Universitatea din Massachusetts posibile metode de blocare a conținutului CDN folosind exemplul practicilor autorităților chineze și, de asemenea, a dezvoltat un instrument pentru ocolirea unei astfel de blocări.
Am pregătit un material de revizuire cu principalele concluzii și rezultate ale acestui experiment.
Introducere
Cenzura este o amenințare globală la adresa libertății de exprimare pe internet și a accesului liber la informație. Acest lucru este în mare măsură posibil datorită faptului că Internetul a împrumutat modelul de „comunicare end-to-end” din rețelele de telefonie din anii 70 ai secolului trecut. Acest lucru vă permite să blocați accesul la conținut sau la comunicațiile utilizatorului fără efort semnificativ sau costuri, pur și simplu pe baza adresei IP. Există mai multe metode aici, de la blocarea adresei în sine cu conținut interzis până la blocarea capacității utilizatorilor de a o recunoaște chiar folosind manipularea DNS.
Cu toate acestea, dezvoltarea internetului a dus și la apariția unor noi modalități de diseminare a informațiilor. Una dintre ele este utilizarea conținutului în cache pentru a îmbunătăți performanța și a accelera comunicațiile. Astăzi, furnizorii CDN procesează o cantitate semnificativă din tot traficul din lume - Akamai, liderul acestui segment, reprezintă singur până la 30% din traficul web static global.
O rețea CDN este un sistem distribuit pentru livrarea conținutului de Internet la viteză maximă. O rețea CDN tipică constă din servere în diferite locații geografice care memorează în cache conținutul pentru a-l servi utilizatorilor care sunt cel mai aproape de acel server. Acest lucru vă permite să creșteți semnificativ viteza de comunicare online.
Pe lângă îmbunătățirea experienței pentru utilizatorii finali, găzduirea CDN îi ajută pe creatorii de conținut să își scaleze proiectele prin reducerea încărcării infrastructurii lor.
Cenzurarea conținutului CDN
În ciuda faptului că traficul CDN reprezintă deja o parte semnificativă a tuturor informațiilor transmise prin Internet, aproape că nu există încă nicio cercetare asupra modului în care cenzorii din lumea reală abordează controlul acesteia.
Autorii studiului au început prin a explora tehnicile de cenzură care pot fi aplicate CDN-urilor. Apoi au studiat mecanismele efective folosite de autoritățile chineze.
Mai întâi, să vorbim despre posibilele metode de cenzură și despre posibilitatea de a le folosi pentru a controla CDN-ul.
filtrare IP
Aceasta este cea mai simplă și mai ieftină tehnică de cenzurare a internetului. Folosind această abordare, cenzorul identifică și pune pe lista neagră adresele IP ale resurselor care găzduiesc conținut interzis. Atunci furnizorii de Internet controlați încetează să livreze pachete trimise la astfel de adrese.
Blocarea bazată pe IP este una dintre cele mai comune metode de cenzurare a internetului. Majoritatea dispozitivelor comerciale de rețea sunt echipate cu funcții pentru a implementa o astfel de blocare fără efort de calcul semnificativ.
Cu toate acestea, această metodă nu este foarte potrivită pentru blocarea traficului CDN din cauza unor proprietăți ale tehnologiei în sine:
- Cache distribuită – pentru a asigura cea mai bună disponibilitate a conținutului și a optimiza performanța, rețelele CDN memorează în cache conținutul utilizatorilor pe un număr mare de servere edge situate în locații distribuite geografic. Pentru a filtra un astfel de conținut pe baza IP, cenzorul ar trebui să afle adresele tuturor serverelor edge și să le pună pe lista neagră. Acest lucru va submina principalele proprietăți ale metodei, deoarece principalul său avantaj este că, în schema obișnuită, blocarea unui server vă permite să „închideți” accesul la conținutul interzis pentru un număr mare de persoane simultan.
- IP-uri partajate – furnizorii comerciali de CDN își împărtășesc infrastructura (adică servere edge, sistem de cartografiere etc.) între mulți clienți. Ca urmare, conținutul CDN interzis este încărcat de la aceleași adrese IP ca și conținutul neinterzis. Ca urmare, orice încercare de filtrare IP va avea ca rezultat blocarea unui număr mare de site-uri și conținut care nu prezintă interes pentru cenzori.
- Atribuire IP foarte dinamică – pentru a optimiza echilibrarea încărcăturii și a îmbunătăți calitatea serviciului, maparea serverelor edge și a utilizatorilor finali se realizează foarte rapid și dinamic. De exemplu, Akamai actualizează adrese IP returnate în fiecare minut. Acest lucru va face aproape imposibil ca adresele să fie asociate cu conținut interzis.
interferență DNS
Pe lângă filtrarea IP, o altă metodă populară de cenzură este interferența DNS. Această abordare implică acțiuni ale cenzorilor menite să împiedice utilizatorii să recunoască adresele IP ale resurselor cu conținut interzis. Adică intervenția are loc la nivel de rezoluție nume de domeniu. Există mai multe modalități de a face acest lucru, inclusiv deturnarea conexiunilor DNS, utilizarea tehnicilor de otrăvire a DNS și blocarea solicitărilor DNS către site-uri interzise.
Aceasta este o metodă de blocare foarte eficientă, dar poate fi ocolită dacă utilizați metode de rezoluție DNS non-standard, de exemplu, canale în afara benzii. Prin urmare, cenzorii combină de obicei blocarea DNS cu filtrarea IP. Dar, așa cum sa menționat mai sus, filtrarea IP nu este eficientă la cenzura conținutului CDN.
Filtrați după URL/Cuvinte cheie folosind DPI
Echipamentele moderne de monitorizare a activității în rețea pot fi utilizate pentru a analiza adrese URL și cuvinte cheie specifice în pachetele de date transmise. Această tehnologie se numește DPI (deep packet inspection). Astfel de sisteme găsesc mențiuni de cuvinte și resurse interzise, după care interferează cu comunicarea online. Ca rezultat, pachetele sunt pur și simplu aruncate.
Această metodă este eficientă, dar mai complexă și consumatoare de resurse, deoarece necesită defragmentarea tuturor pachetelor de date trimise în anumite fluxuri.
Conținutul CDN poate fi protejat de o astfel de filtrare în același mod ca și conținutul „obișnuit” – în ambele cazuri, folosirea criptării (adică HTTPS) ajută.
Pe lângă utilizarea DPI pentru a găsi cuvinte cheie sau adrese URL ale resurselor interzise, aceste instrumente pot fi folosite pentru o analiză mai avansată. Aceste metode includ analiza statistică a traficului online/offline și analiza protocoalelor de identificare. Aceste metode sunt extrem de intensive în resurse și în momentul de față pur și simplu nu există nicio dovadă a utilizării lor de către cenzori într-o măsură suficient de serioasă.
Autocenzura furnizorilor CDN
Dacă cenzorul este statul, atunci acesta are toate oportunitățile să interzică acelor furnizori CDN să opereze în țară care nu respectă legile locale care reglementează accesul la conținut. Autocenzura nu i se poate rezista în niciun fel - prin urmare, dacă o companie furnizor de CDN este interesată să opereze într-o anumită țară, va fi obligată să respecte legile locale, chiar dacă acestea îngrădesc libertatea de exprimare.
Cum cenzurează China conținutul CDN
Marele Firewall al Chinei este considerat pe bună dreptate cel mai eficient și avansat sistem pentru asigurarea cenzurii pe internet.
Metodologia de cercetare
Oamenii de știință au efectuat experimente folosind un nod Linux situat în China. Au avut acces și la mai multe computere din afara țării. În primul rând, cercetătorii au verificat dacă nodul era supus unei cenzuri similare cu cea aplicată altor utilizatori chinezi - pentru a face acest lucru, au încercat să deschidă diverse site-uri interzise de pe această mașină. Deci prezența aceluiași nivel de cenzură a fost confirmată.
Lista site-urilor web blocate în China care utilizează CDN-uri a fost preluată de pe GreatFire.org. Apoi a fost analizată metoda de blocare în fiecare caz.
Potrivit datelor publice, singurul jucător major de pe piața CDN cu infrastructură proprie în China este Akamai. Alți furnizori care participă la studiu: CloudFlare, Amazon CloudFront, EdgeCast, Fastly și SoftLayer.
În timpul experimentelor, cercetătorii au descoperit adresele serverelor edge Akamai din țară și apoi au încercat să obțină conținut permis în cache prin intermediul acestora. Nu s-a putut accesa conținut interzis (a fost returnat eroarea HTTP 403 Forbidden) - se pare că compania se autocenzurează pentru a menține capacitatea de a opera în țară. În același timp, accesul la aceste resurse a rămas deschis în afara țării.
ISP-urile fără infrastructură în China nu autocenzurează utilizatorii locali.
În cazul altor furnizori, cea mai des folosită metodă de blocare a fost filtrarea DNS - solicitările către site-uri blocate sunt rezolvate la adrese IP incorecte. În același timp, firewall-ul nu blochează serverele edge CDN în sine, deoarece acestea stochează atât informații interzise, cât și permise.
Și dacă în cazul traficului necriptat autoritățile au capacitatea de a bloca pagini individuale ale site-urilor folosind DPI, atunci când folosesc HTTPS pot refuza doar accesul la întregul domeniu în ansamblu. Acest lucru duce, de asemenea, la blocarea conținutului permis.
În plus, China are propriii furnizori CDN, inclusiv rețele precum ChinaCache, ChinaNetCenter și CDNetworks. Toate aceste companii respectă pe deplin legile țării și blochează conținutul interzis.
CacheBrowser: instrument de ocolire CDN
După cum a arătat analiza, este destul de dificil pentru cenzori să blocheze conținutul CDN. Prin urmare, cercetătorii au decis să meargă mai departe și să dezvolte un instrument online de ocolire a blocurilor care nu utilizează tehnologia proxy.
Ideea de bază a instrumentului este că cenzorii trebuie să interfereze cu DNS-ul pentru a bloca CDN-urile, dar de fapt nu trebuie să utilizați rezoluția numelui de domeniu pentru a descărca conținut CDN. Astfel, utilizatorul poate obține conținutul de care are nevoie contactând direct serverul edge, unde este deja stocat în cache.
Diagrama de mai jos prezintă proiectarea sistemului.
Software-ul client este instalat pe computerul utilizatorului și este folosit un browser obișnuit pentru a accesa conținutul.
Atunci când o adresă URL sau o bucată de conținut a fost deja solicitată, browserul face o solicitare către sistemul DNS local (LocalDNS) pentru a obține adresa IP de găzduire. DNS obișnuit este interogat doar pentru domeniile care nu sunt deja în baza de date LocalDNS. Modulul Scraper parcurge continuu adresele URL solicitate și caută în listă nume de domenii potențial blocate. Scraper apelează apoi modulul Resolver pentru a rezolva noile domenii blocate descoperite, acest modul îndeplinește sarcina și adaugă o intrare la LocalDNS. Cache-ul DNS al browserului este apoi șters pentru a elimina înregistrările DNS existente pentru domeniul blocat.
Dacă modulul Resolver nu poate da seama cărui furnizor CDN îi aparține domeniul, va cere ajutor modulului Bootstrapper.
Cum funcționează în practică
Software-ul client al produsului a fost implementat pentru Linux, dar poate fi portat cu ușurință și pentru Windows. Mozilla obișnuit este folosit ca browser
Firefox. Modulele Scraper și Resolver sunt scrise în Python, iar bazele de date Customer-to-CDN și CDN-toIP sunt stocate în fișiere .txt. Baza de date LocalDNS este fișierul obișnuit /etc/hosts în Linux.
Ca rezultat, pentru o adresă URL blocată, cum ar fi Scriptul va obține adresa IP a serverului edge din fișierul /etc/hosts și va trimite o solicitare HTTP GET pentru a accesa BlockedURL.html cu câmpurile de antet Host HTTP:
blocked.com/ and User-Agent: Mozilla/5.0 (Windows
NT 5.1; rv:14.0) Gecko/20100101 Firefox/14.0.1Modulul Bootstrapper este implementat folosind instrumentul gratuit digwebinterface.com. Acest rezolutor DNS nu poate fi blocat și răspunde la interogări DNS în numele mai multor servere DNS distribuite geografic în diferite regiuni ale rețelei.
Folosind acest instrument, cercetătorii au reușit să obțină acces la Facebook din nodul lor chinez, deși rețeaua de socializare a fost de mult blocată în China.
Concluzie
Experimentul a arătat că profitând de problemele pe care le întâmpină cenzorii atunci când încearcă să blocheze conținutul CDN poate fi folosit pentru a crea un sistem de ocolire a blocurilor. Acest instrument vă permite să ocoliți blocurile chiar și în China, care are unul dintre cele mai puternice sisteme de cenzură online.
Alte articole pe tema folosirii pentru afaceri:
Sursa: www.habr.com