Slika:
Danes se precejšen del vseh vsebin na internetu distribuira prek omrežij CDN. Hkrati raziskati, kako različni cenzorji širijo svoj vpliv na tovrstna omrežja. Znanstveniki z univerze Massachusetts možne metode blokiranja vsebine CDN na primeru praks kitajskih oblasti, razvili pa so tudi orodje za obhod takega blokiranja.
Pripravili smo pregledno gradivo z glavnimi zaključki in rezultati tega poskusa.
Predstavitev
Cenzura je globalna grožnja svobodi govora na internetu in prostemu dostopu do informacij. To je v veliki meri mogoče zaradi dejstva, da si je internet sposodil model »komunikacije od konca do konca« iz telefonskih omrežij 70. let prejšnjega stoletja. To vam omogoča, da preprosto na podlagi naslova IP blokirate dostop do vsebine ali uporabniške komunikacije brez znatnega truda ali stroškov. Tu obstaja več načinov, od blokiranja samega naslova s prepovedano vsebino do blokiranja zmožnosti uporabnikov, da ga sploh prepoznajo z uporabo manipulacije DNS.
Vendar pa je razvoj interneta povzročil tudi pojav novih načinov širjenja informacij. Eden od njih je uporaba predpomnjene vsebine za izboljšanje zmogljivosti in pospešitev komunikacije. Danes ponudniki CDN obdelajo precejšnjo količino vsega prometa na svetu – Akamai, vodilni v tem segmentu, sam predstavlja do 30 % globalnega statičnega spletnega prometa.
Omrežje CDN je porazdeljen sistem za dostavo internetnih vsebin z največjo hitrostjo. Tipično omrežje CDN je sestavljeno iz strežnikov na različnih geografskih lokacijah, ki shranjujejo vsebino v predpomnilnik, da jo postrežejo uporabnikom, ki so najbližje temu strežniku. To vam omogoča znatno povečanje hitrosti spletne komunikacije.
Poleg izboljšanja izkušnje za končne uporabnike CDN gostovanje pomaga ustvarjalcem vsebine razširiti svoje projekte z zmanjšanjem obremenitve njihove infrastrukture.
Cenzuriranje vsebine CDN
Kljub temu, da promet CDN predstavlja že precejšen delež vseh informacij, ki se prenašajo po spletu, še vedno skoraj ni raziskav o tem, kako se cenzorji v realnem svetu lotevajo njegovega nadzora.
Avtorji študije so začeli z raziskovanjem tehnik cenzuriranja, ki jih je mogoče uporabiti za CDN. Nato so preučili dejanske mehanizme, ki jih uporabljajo kitajske oblasti.
Najprej se pogovorimo o možnih metodah cenzuriranja in možnosti njihove uporabe za nadzor nad CDN.
IP filtriranje
To je najenostavnejša in najcenejša tehnika cenzuriranja interneta. S tem pristopom cenzor prepozna in uvrsti na črno listo naslove IP virov, ki gostijo prepovedano vsebino. Nato nadzorovani internetni ponudniki prenehajo dostavljati pakete, poslane na takšne naslove.
Blokiranje na podlagi naslova IP je eden najpogostejših načinov cenzuriranja interneta. Večina komercialnih omrežnih naprav je opremljenih s funkcijami za izvajanje takšnega blokiranja brez znatnega računalniškega napora.
Vendar pa ta metoda ni zelo primerna za blokiranje prometa CDN zaradi nekaterih lastnosti same tehnologije:
- Porazdeljeno predpomnjenje – da zagotovijo najboljšo razpoložljivost vsebine in optimizirajo zmogljivost, omrežja CDN predpomnijo uporabniško vsebino na velikem številu robnih strežnikov, ki se nahajajo na geografsko porazdeljenih lokacijah. Za filtriranje takšne vsebine na podlagi IP bi moral cenzor najti naslove vseh robnih strežnikov in jih uvrstiti na črno. To bo spodkopalo glavne lastnosti metode, saj je njena glavna prednost v tem, da v običajni shemi blokiranje enega strežnika omogoča "prekinitev" dostopa do prepovedane vsebine za veliko število ljudi hkrati.
- IP-ji v skupni rabi – komercialni ponudniki CDN delijo svojo infrastrukturo (tj. robne strežnike, sistem za preslikavo itd.) med številnimi odjemalci. Posledično se prepovedana vsebina CDN naloži z istih naslovov IP kot neprepovedana vsebina. Posledično bo vsak poskus filtriranja IP-jev povzročil blokiranje ogromnega števila spletnih mest in vsebin, ki niso zanimive za cenzorje.
- Zelo dinamična dodelitev IP – za optimizacijo uravnoteženja obremenitve in izboljšanje kakovosti storitev se preslikava robnih strežnikov in končnih uporabnikov izvaja zelo hitro in dinamično. Posodobitve Akamai so na primer vrnile naslove IP vsako minuto. Tako bo skoraj nemogoče, da bi bili naslovi povezani s prepovedano vsebino.
motnje DNS
Poleg filtriranja IP je druga priljubljena metoda cenzuriranja motnja DNS. Ta pristop vključuje ukrepe cenzorjev, katerih cilj je preprečiti uporabnikom, da bi prepoznali naslove IP virov s prepovedano vsebino. To pomeni, da se poseg zgodi na ravni razrešitve imena domene. To lahko storite na več načinov, vključno z ugrabitvijo povezav DNS, uporabo tehnik zastrupitve DNS in blokiranjem zahtev DNS za prepovedana mesta.
To je zelo učinkovita metoda blokiranja, vendar jo je mogoče zaobiti, če uporabljate nestandardne metode razreševanja DNS, na primer kanale zunaj pasu. Zato cenzorji običajno kombinirajo blokiranje DNS s filtriranjem IP. Toda, kot je navedeno zgoraj, filtriranje IP ni učinkovito pri cenzuriranju vsebine CDN.
Filtrirajte po URL-ju/ključnih besedah z DPI
Sodobno opremo za spremljanje omrežne dejavnosti je mogoče uporabiti za analizo določenih URL-jev in ključnih besed v prenesenih podatkovnih paketih. Ta tehnologija se imenuje DPI (globoko preverjanje paketov). Takšni sistemi najdejo omembe prepovedanih besed in virov, nakar motijo spletno komunikacijo. Posledično se paketi preprosto odvržejo.
Ta metoda je učinkovita, vendar bolj zapletena in zahteva veliko virov, ker zahteva defragmentacijo vseh podatkovnih paketov, poslanih znotraj določenih tokov.
Vsebino CDN je mogoče zaščititi pred takšnim filtriranjem na enak način kot »navadno« vsebino – v obeh primerih pomaga uporaba šifriranja (t. i. HTTPS).
Poleg uporabe DPI za iskanje ključnih besed ali URL-jev prepovedanih virov je ta orodja mogoče uporabiti za naprednejšo analizo. Te metode vključujejo statistično analizo online/offline prometa in analizo identifikacijskih protokolov. Te metode zahtevajo izjemno veliko virov in trenutno preprosto ni dokazov, da bi jih cenzorji uporabljali v dovolj resnem obsegu.
Samocenzura ponudnikov CDN
Če je cenzor država, potem ima vse možnosti, da tistim CDN ponudnikom prepove delovanje v državi, ki ne upoštevajo lokalnih zakonov, ki urejajo dostop do vsebin. Samocenzuri se nikakor ne moremo upreti – če torej ponudnik CDN želi delovati v določeni državi, bo prisiljen spoštovati lokalne zakone, četudi omejujejo svobodo govora.
Kako Kitajska cenzurira vsebino CDN
Veliki kitajski požarni zid upravičeno velja za najučinkovitejši in najnaprednejši sistem za zagotavljanje internetne cenzure.
Raziskovalna metodologija
Znanstveniki so izvedli poskuse z uporabo vozlišča Linux znotraj Kitajske. Imeli so tudi dostop do več računalnikov zunaj države. Najprej so raziskovalci preverili, ali je bilo vozlišče podvrženo cenzuri, podobni tisti, ki velja za druge kitajske uporabnike - da bi to naredili, so poskušali odpreti različna prepovedana spletna mesta s tega stroja. Tako je bila potrjena prisotnost enake stopnje cenzure.
Seznam spletnih mest, blokiranih na Kitajskem, ki uporabljajo CDN, je bil vzet iz GreatFire.org. Nato je bil analiziran način blokiranja v vsakem primeru.
Po javnih podatkih je edini večji igralec na trgu CDN z lastno infrastrukturo na Kitajskem Akamai. Drugi ponudniki, ki sodelujejo v raziskavi: CloudFlare, Amazon CloudFront, EdgeCast, Fastly in SoftLayer.
Med poskusi so raziskovalci odkrili naslove robnih strežnikov Akamai v državi in nato prek njih poskušali pridobiti predpomnjeno dovoljeno vsebino. Do prepovedanih vsebin ni bilo mogoče dostopati (vrnjena je bila napaka HTTP 403 Forbidden) - očitno se podjetje samocenzurira, da bi ohranilo sposobnost delovanja v državi. Hkrati je dostop do teh virov ostal odprt zunaj države.
Ponudniki internetnih storitev brez infrastrukture na Kitajskem ne izvajajo samocenzure lokalnih uporabnikov.
Pri drugih ponudnikih je bil najpogosteje uporabljen način blokiranja DNS filtriranje – zahteve do blokiranih strani se razrešijo na nepravilne naslove IP. Hkrati pa požarni zid ne blokira samih robnih strežnikov CDN, saj hranijo tako prepovedane kot dovoljene informacije.
In če imajo oblasti v primeru nešifriranega prometa možnost blokiranja posameznih strani spletnih mest z uporabo DPI, potem lahko pri uporabi HTTPS zavrnejo dostop samo do celotne domene kot celote. To vodi tudi do blokiranja dovoljene vsebine.
Poleg tega ima Kitajska svoje ponudnike CDN, vključno z omrežji, kot so ChinaCache, ChinaNetCenter in CDNetworks. Vsa ta podjetja v celoti upoštevajo zakone države in blokirajo prepovedano vsebino.
CacheBrowser: orodje za obhod CDN
Kot je pokazala analiza, je cenzorjem precej težko blokirati vsebino CDN. Zato so se raziskovalci odločili iti dlje in razviti spletno orodje za obhod blokov, ki ne uporablja proxy tehnologije.
Osnovna ideja orodja je, da morajo cenzorji posegati v DNS, da blokirajo CDN-je, vendar vam dejansko ni treba uporabiti ločljivosti imena domene za nalaganje vsebine CDN. Tako lahko uporabnik pridobi vsebino, ki jo potrebuje, z neposrednim stikom z robnim strežnikom, kjer je že predpomnjena.
Spodnji diagram prikazuje zasnovo sistema.
Odjemalska programska oprema je nameščena na uporabnikovem računalniku, za dostop do vsebin pa se uporablja običajni brskalnik.
Ko je URL ali del vsebine že zahtevan, brskalnik pošlje zahtevo lokalnemu sistemu DNS (LocalDNS), da pridobi naslov IP gostovanja. Običajni DNS se poizveduje samo za domene, ki še niso v bazi podatkov LocalDNS. Modul Scraper nenehno pregleduje zahtevane URL-je in na seznamu išče potencialno blokirana imena domen. Scraper nato pokliče modul Resolver, da razreši novo odkrite blokirane domene, ta modul opravi nalogo in doda vnos v LocalDNS. Predpomnilnik DNS brskalnika se nato počisti, da se odstranijo obstoječi zapisi DNS za blokirano domeno.
Če modul Resolver ne more ugotoviti, kateremu ponudniku CDN pripada domena, bo za pomoč prosil modul Bootstrapper.
Kako deluje v praksi
Odjemalska programska oprema izdelka je bila implementirana za Linux, vendar jo je mogoče preprosto prenesti tudi za Windows. Kot brskalnik se uporablja običajna Mozilla
Firefox. Modula Scraper in Resolver sta napisana v Pythonu, bazi podatkov Customer-to-CDN in CDN-toIP pa sta shranjeni v datotekah .txt. Baza podatkov LocalDNS je običajna datoteka /etc/hosts v Linuxu.
Kot rezultat, za blokiran URL, kot je Skript bo dobil naslov IP robnega strežnika iz datoteke /etc/hosts in poslal zahtevo HTTP GET za dostop do BlockedURL.html s polji glave Host HTTP:
blocked.com/ and User-Agent: Mozilla/5.0 (Windows
NT 5.1; rv:14.0) Gecko/20100101 Firefox/14.0.1Modul Bootstrapper je implementiran z brezplačnim orodjem digwebinterface.com. Tega razreševalnika DNS ni mogoče blokirati in odgovarja na poizvedbe DNS v imenu več geografsko porazdeljenih strežnikov DNS v različnih omrežnih regijah.
S tem orodjem je raziskovalcem uspelo pridobiti dostop do Facebooka iz njihovega kitajskega vozlišča, čeprav je bilo socialno omrežje na Kitajskem dolgo blokirano.
Zaključek
Poskus je pokazal, da je mogoče izkoristiti težave, ki jih imajo cenzorji, ko poskušajo blokirati vsebino CDN, uporabiti za ustvarjanje sistema za obhod blokov. To orodje vam omogoča, da zaobidete blokade tudi na Kitajskem, ki ima enega najmočnejših sistemov spletne cenzure.
Drugi članki na temo uporabe za posel:
Vir: www.habr.com