obrázok:
Dnes je značná časť všetkého obsahu na internete distribuovaná pomocou sietí CDN. Zároveň výskum, ako rôzni cenzori rozširujú svoj vplyv na takéto siete. Vedci z University of Massachusetts možné spôsoby blokovania obsahu CDN na príklade praktík čínskych úradov a tiež vyvinuli nástroj na obídenie takéhoto blokovania.
Pripravili sme prehľadový materiál s hlavnými závermi a výsledkami tohto experimentu.
Úvod
Cenzúra je globálnou hrozbou pre slobodu prejavu na internete a slobodný prístup k informáciám. Je to do značnej miery možné vďaka tomu, že si internet požičal model „end-to-end komunikácie“ z telefónnych sietí zo 70. rokov minulého storočia. To vám umožňuje zablokovať prístup k obsahu alebo komunikácii používateľov bez veľkého úsilia alebo nákladov jednoducho na základe adresy IP. Spôsobov je tu viacero, od zablokovania samotnej adresy so zakázaným obsahom až po zablokovanie schopnosti používateľov ju čo i len rozpoznať pomocou manipulácie DNS.
Rozvoj internetu však viedol aj k vzniku nových spôsobov šírenia informácií. Jedným z nich je použitie obsahu vo vyrovnávacej pamäti na zlepšenie výkonu a zrýchlenie komunikácie. Dnes poskytovatelia CDN spracovávajú značné množstvo všetkej návštevnosti na svete – Akamai, líder v tomto segmente, tvorí až 30 % celosvetovej statickej návštevnosti webu.
Sieť CDN je distribuovaný systém na poskytovanie internetového obsahu maximálnou rýchlosťou. Typická sieť CDN pozostáva zo serverov v rôznych geografických lokalitách, ktoré ukladajú obsah do vyrovnávacej pamäte, aby ho mohli podávať používateľom, ktorí sú najbližšie k tomuto serveru. To vám umožňuje výrazne zvýšiť rýchlosť online komunikácie.
Okrem zlepšenia zážitku pre koncových používateľov pomáha hosting CDN tvorcom obsahu škálovať ich projekty znížením zaťaženia ich infraštruktúry.
Cenzurovanie obsahu CDN
Napriek tomu, že prevádzka CDN už tvorí značnú časť všetkých informácií prenášaných cez internet, stále neexistuje takmer žiadny výskum, ako k jej kontrole pristupujú cenzori v reálnom svete.
Autori štúdie začali skúmaním techník cenzúry, ktoré možno aplikovať na CDN. Potom študovali skutočné mechanizmy používané čínskymi úradmi.
Najprv si povedzme o možných metódach cenzúry a možnosti ich použitia na kontrolu CDN.
IP filtrovanie
Toto je najjednoduchšia a najlacnejšia technika cenzúry internetu. Pomocou tohto prístupu cenzor identifikuje a zaradí IP adresy zdrojov, na ktorých sa nachádza zakázaný obsah. Potom kontrolovaní poskytovatelia internetu prestanú doručovať pakety odoslané na takéto adresy.
Blokovanie založené na IP je jednou z najbežnejších metód cenzúry internetu. Väčšina komerčných sieťových zariadení je vybavená funkciami na implementáciu takéhoto blokovania bez výrazného výpočtového úsilia.
Táto metóda však nie je príliš vhodná na blokovanie prenosu CDN kvôli niektorým vlastnostiam samotnej technológie:
- Distribuované ukladanie do vyrovnávacej pamäte – Aby sa zabezpečila najlepšia dostupnosť obsahu a optimalizoval výkon, siete CDN ukladajú používateľský obsah do vyrovnávacej pamäte na veľkom počte okrajových serverov umiestnených v geograficky distribuovaných lokalitách. Na filtrovanie takéhoto obsahu na základe IP by cenzor musel zistiť adresy všetkých okrajových serverov a umiestniť ich na čiernu listinu. Tým sa podkopú hlavné vlastnosti metódy, pretože jej hlavnou výhodou je, že v bežnej schéme blokovanie jedného servera umožňuje „odrezať“ prístup k zakázanému obsahu veľkému počtu ľudí naraz.
- Zdieľané adresy IP – komerční poskytovatelia CDN zdieľajú svoju infraštruktúru (t. j. okrajové servery, mapovací systém atď.) medzi mnohými klientmi. Výsledkom je, že zakázaný obsah CDN sa načítava z rovnakých adries IP ako obsah, ktorý nie je zakázaný. Výsledkom je, že akýkoľvek pokus o filtrovanie IP bude mať za následok zablokovanie obrovského množstva stránok a obsahu, ktorý cenzorov nezaujíma.
- Vysoko dynamické prideľovanie IP – pre optimalizáciu load balancingu a zlepšenie kvality služieb sa mapovanie edge serverov a koncových užívateľov vykonáva veľmi rýchlo a dynamicky. Aktualizácie Akamai napríklad vracali IP adresy každú minútu. Vďaka tomu bude takmer nemožné, aby boli adresy spájané so zakázaným obsahom.
Rušenie DNS
Okrem filtrovania IP je ďalšou populárnou metódou cenzúry rušenie DNS. Tento prístup zahŕňa akcie cenzorov, ktorých cieľom je zabrániť používateľom rozpoznať IP adresy zdrojov so zakázaným obsahom. To znamená, že zásah nastáva na úrovni rozlíšenia názvu domény. Existuje niekoľko spôsobov, ako to urobiť, vrátane únosu pripojení DNS, použitia techník otravy DNS a blokovania požiadaviek DNS na zakázané stránky.
Toto je veľmi efektívny spôsob blokovania, ale dá sa obísť, ak používate neštandardné metódy rozlíšenia DNS, napríklad kanály mimo pásma. Preto cenzori zvyčajne kombinujú blokovanie DNS s filtrovaním IP adries. Ako je však uvedené vyššie, filtrovanie IP nie je účinné pri cenzúre obsahu CDN.
Filtrujte podľa URL/kľúčových slov pomocou DPI
Moderné zariadenia na monitorovanie sieťovej aktivity možno použiť na analýzu konkrétnych adries URL a kľúčových slov v prenášaných dátových paketoch. Táto technológia sa nazýva DPI (hĺbková kontrola paketov). Takéto systémy nájdu zmienky o zakázaných slovách a zdrojoch, po ktorých zasahujú do online komunikácie. Výsledkom je, že pakety sú jednoducho zahodené.
Táto metóda je efektívna, ale zložitejšia a náročnejšia na zdroje, pretože vyžaduje defragmentáciu všetkých dátových paketov odosielaných v rámci určitých tokov.
Obsah CDN je možné pred takýmto filtrovaním chrániť rovnako ako „bežný“ obsah – v oboch prípadoch pomáha použitie šifrovania (t.j. HTTPS).
Okrem použitia DPI na nájdenie kľúčových slov alebo adries URL zakázaných zdrojov možno tieto nástroje použiť na pokročilejšiu analýzu. Tieto metódy zahŕňajú štatistickú analýzu online/offline prevádzky a analýzu identifikačných protokolov. Tieto metódy sú mimoriadne náročné na zdroje a v súčasnosti jednoducho neexistujú dôkazy o ich využívaní cenzormi v dostatočne serióznom rozsahu.
Autocenzúra poskytovateľov CDN
Ak je cenzorom štát, potom má každú príležitosť zakázať tým poskytovateľom CDN pôsobiť v krajine, ktorí nedodržiavajú miestne zákony upravujúce prístup k obsahu. Autocenzúre sa nedá nijako brániť – preto, ak má poskytovateľ CDN spoločnosť záujem pôsobiť v určitej krajine, bude nútená dodržiavať miestne zákony, aj keď obmedzujú slobodu prejavu.
Ako Čína cenzuruje obsah CDN
Veľký čínsky firewall je právom považovaný za najefektívnejší a najpokročilejší systém na zabezpečenie cenzúry internetu.
Metodológie výskumu
Vedci vykonali experimenty s použitím linuxového uzla umiestneného v Číne. Mali tiež prístup k niekoľkým počítačom mimo krajiny. Najprv výskumníci skontrolovali, že uzol podlieha cenzúre podobnej tej, ktorá sa uplatňuje na iných čínskych používateľov – aby to urobili, pokúsili sa z tohto stroja otvárať rôzne zakázané stránky. Takže prítomnosť rovnakej úrovne cenzúry bola potvrdená.
Zoznam webových stránok blokovaných v Číne, ktoré používajú siete CDN, bol prevzatý z GreatFire.org. Potom sa analyzoval spôsob blokovania v každom prípade.
Podľa verejných údajov je jediným veľkým hráčom na trhu CDN s vlastnou infraštruktúrou v Číne Akamai. Ďalší poskytovatelia zapojení do štúdie: CloudFlare, Amazon CloudFront, EdgeCast, Fastly a SoftLayer.
Počas experimentov výskumníci zistili adresy okrajových serverov Akamai v rámci krajiny a potom sa cez ne pokúsili získať povolený obsah do vyrovnávacej pamäte. Nebolo možné dostať sa k zakázanému obsahu (bola vrátená chyba HTTP 403 Forbidden) – spoločnosť zrejme autocenzuruje, aby si zachovala schopnosť pôsobiť v krajine. Zároveň zostal prístup k týmto zdrojom otvorený aj mimo krajiny.
Poskytovatelia internetových služieb bez infraštruktúry v Číne necenzurujú miestnych používateľov.
V prípade iných poskytovateľov bolo najčastejšie využívaným spôsobom blokovania DNS filtrovanie – požiadavky na blokované stránky sú riešené na nesprávne IP adresy. Firewall zároveň neblokuje samotné servery CDN edge, pretože uchovávajú zakázané aj povolené informácie.
A ak v prípade nešifrovanej prevádzky majú úrady možnosť blokovať jednotlivé stránky stránok pomocou DPI, tak pri použití HTTPS môžu zakázať prístup len celej doméne ako celku. To vedie aj k blokovaniu povoleného obsahu.
Okrem toho má Čína vlastných poskytovateľov CDN vrátane sietí ako ChinaCache, ChinaNetCenter a CDNetworks. Všetky tieto spoločnosti plne dodržiavajú zákony danej krajiny a blokujú zakázaný obsah.
CacheBrowser: nástroj na obídenie CDN
Ako ukázala analýza, pre cenzorov je dosť ťažké blokovať obsah CDN. Preto sa vedci rozhodli ísť ďalej a vyvinúť online nástroj na obchádzanie blokov, ktorý nepoužíva technológiu proxy.
Základnou myšlienkou tohto nástroja je, že cenzori musia zasahovať do DNS, aby blokovali CDN, ale v skutočnosti nemusíte na sťahovanie obsahu CDN používať preklad názvu domény. Používateľ tak môže získať obsah, ktorý potrebuje, priamym kontaktovaním okrajového servera, kde je už uložený.
Nižšie uvedená schéma zobrazuje návrh systému.
Klientsky softvér je nainštalovaný na počítači používateľa a na prístup k obsahu sa používa bežný prehliadač.
Keď už bola požadovaná adresa URL alebo časť obsahu, prehliadač požiada miestny systém DNS (LocalDNS), aby získal hostiteľskú IP adresu. Bežný DNS je dopytovaný len pre domény, ktoré ešte nie sú v databáze LocalDNS. Modul Scraper neustále prechádza požadované adresy URL a hľadá v zozname potenciálne blokované názvy domén. Scraper potom zavolá modul Resolver, aby vyriešil novoobjavené zablokované domény, tento modul vykoná úlohu a pridá záznam do LocalDNS. Vyrovnávacia pamäť DNS prehliadača sa potom vymaže, aby sa odstránili existujúce záznamy DNS pre blokovanú doménu.
Ak modul Resolver nedokáže zistiť, ktorému poskytovateľovi CDN doména patrí, požiada o pomoc modul Bootstrapper.
Ako to funguje v praxi
Klientsky softvér produktu bol implementovaný pre Linux, ale je možné ho jednoducho preniesť aj pre Windows. Ako prehliadač sa používa bežná Mozilla
Firefox. Moduly Scraper a Resolver sú napísané v jazyku Python a databázy Customer-to-CDN a CDN-toIP sú uložené v súboroch .txt. Databáza LocalDNS je bežný súbor /etc/hosts v systéme Linux.
Výsledkom je, že v prípade blokovanej adresy URL, napr Skript získa IP adresu okrajového servera zo súboru /etc/hosts a odošle požiadavku HTTP GET na prístup k BlockedURL.html s poľami hlavičky HTTP hostiteľa:
blocked.com/ and User-Agent: Mozilla/5.0 (Windows
NT 5.1; rv:14.0) Gecko/20100101 Firefox/14.0.1Modul Bootstrapper je implementovaný pomocou bezplatného nástroja digwebinterface.com. Tento DNS resolver nemožno zablokovať a odpovedá na dotazy DNS v mene viacerých geograficky distribuovaných serverov DNS v rôznych sieťových oblastiach.
Pomocou tohto nástroja sa výskumníkom podarilo získať prístup na Facebook zo svojho čínskeho uzla, hoci sociálna sieť je v Číne už dlho zablokovaná.
Záver
Experiment ukázal, že využitie problémov, s ktorými sa cenzori stretávajú pri pokuse o blokovanie obsahu CDN, možno použiť na vytvorenie systému na obchádzanie blokov. Tento nástroj vám umožňuje obísť bloky aj v Číne, ktorá má jeden z najvýkonnejších online cenzúrnych systémov.
Ďalšie články na tému použitia pre biznis:
Zdroj: hab.com