Foto:
Sot, një pjesë e konsiderueshme e të gjithë përmbajtjes në internet shpërndahet duke përdorur rrjetet CDN. Në të njëjtën kohë, hulumtoni se si censurues të ndryshëm shtrijnë ndikimin e tyre mbi rrjete të tilla. Shkencëtarët nga Universiteti i Massachusetts metodat e mundshme të bllokimit të përmbajtjes CDN duke përdorur shembullin e praktikave të autoriteteve kineze, dhe gjithashtu zhvilluan një mjet për të anashkaluar një bllokim të tillë.
Ne kemi përgatitur një material rishikues me përfundimet dhe rezultatet kryesore të këtij eksperimenti.
Paraqitje
Censura është një kërcënim global për lirinë e fjalës në internet dhe aksesin e lirë në informacion. Kjo është kryesisht e mundur për shkak të faktit se Interneti huazoi modelin "komunikim nga fundi në fund" nga rrjetet telefonike të viteve '70 të shekullit të kaluar. Kjo ju lejon të bllokoni aksesin në përmbajtje ose komunikimet e përdoruesve pa përpjekje ose kosto të konsiderueshme thjesht bazuar në adresën IP. Ka disa metoda këtu, nga bllokimi i vetë adresës me përmbajtje të ndaluar deri te bllokimi i aftësisë së përdoruesve për ta njohur madje duke përdorur manipulimin DNS.
Megjithatë, zhvillimi i internetit ka çuar edhe në shfaqjen e mënyrave të reja të shpërndarjes së informacionit. Një prej tyre është përdorimi i përmbajtjes së memorizuar për të përmirësuar performancën dhe për të shpejtuar komunikimet. Sot, ofruesit e CDN përpunojnë një sasi të konsiderueshme të të gjithë trafikut në botë - Akamai, lider në këtë segment, përbën vetëm deri në 30% të trafikut statik global të uebit.
Një rrjet CDN është një sistem i shpërndarë për ofrimin e përmbajtjes së internetit me shpejtësi maksimale. Një rrjet tipik CDN përbëhet nga serverë në lokacione të ndryshme gjeografike që ruajnë përmbajtjen për t'ua shërbyer përdoruesve që janë më afër atij serveri. Kjo ju lejon të rrisni ndjeshëm shpejtësinë e komunikimit në internet.
Përveç përmirësimit të përvojës për përdoruesit fundorë, hostimi i CDN ndihmon krijuesit e përmbajtjes të shkallëzojnë projektet e tyre duke zvogëluar ngarkesën në infrastrukturën e tyre.
Censurimi i përmbajtjes CDN
Përkundër faktit se trafiku CDN tashmë përbën një pjesë të konsiderueshme të të gjithë informacionit të transmetuar në internet, ende nuk ka pothuajse asnjë hulumtim se si censuruesit në botën reale i qasen kontrollit të tij.
Autorët e studimit filluan duke eksploruar teknikat e censurimit që mund të aplikohen në CDN. Më pas ata studiuan mekanizmat aktualë të përdorur nga autoritetet kineze.
Së pari, le të flasim për metodat e mundshme të censurimit dhe mundësinë e përdorimit të tyre për të kontrolluar CDN.
Filtrimi i IP-së
Kjo është teknika më e thjeshtë dhe më e lirë për censurimin e internetit. Duke përdorur këtë qasje, censori identifikon dhe vendos në listën e zezë adresat IP të burimeve që mbajnë përmbajtje të ndaluar. Pastaj ofruesit e kontrolluar të internetit ndalojnë dërgimin e paketave të dërguara në adresa të tilla.
Bllokimi i bazuar në IP është një nga metodat më të zakonshme të censurimit të Internetit. Shumica e pajisjeve komerciale të rrjetit janë të pajisura me funksione për të zbatuar një bllokim të tillë pa përpjekje të konsiderueshme llogaritëse.
Sidoqoftë, kjo metodë nuk është shumë e përshtatshme për bllokimin e trafikut CDN për shkak të disa vetive të vetë teknologjisë:
- Caching i shpërndarë – për të siguruar disponueshmërinë më të mirë të përmbajtjes dhe për të optimizuar performancën, rrjetet CDN ruajnë përmbajtjen e përdoruesit në një numër të madh serverësh të vendosur në vendndodhje të shpërndara gjeografikisht. Për të filtruar një përmbajtje të tillë bazuar në IP, censori do të duhet të gjejë adresat e të gjithë serverëve të skajshëm dhe t'i listojë ato në listën e zezë. Kjo do të dëmtojë vetitë kryesore të metodës, sepse përparësia e saj kryesore është se në skemën e zakonshme, bllokimi i një serveri ju lejon të "ndërpritni" aksesin në përmbajtjen e ndaluar për një numër të madh njerëzish menjëherë.
- IP të përbashkëta – Ofruesit komercialë të CDN-së ndajnë infrastrukturën e tyre (d.m.th. serverët e skajit, sistemi i hartës, etj.) ndërmjet shumë klientëve. Si rezultat, përmbajtja e ndaluar CDN ngarkohet nga të njëjtat adresa IP si përmbajtja e pandaluar. Si rezultat, çdo përpjekje për filtrimin e IP-së do të rezultojë në bllokimin e një numri të madh faqesh dhe përmbajtjesh që nuk janë me interes për censuruesit.
- Caktim IP shumë dinamik – për të optimizuar balancimin e ngarkesës dhe për të përmirësuar cilësinë e shërbimit, hartëzimi i serverëve të skajshëm dhe përdoruesve fundorë kryhet shumë shpejt dhe në mënyrë dinamike. Për shembull, përditësimet Akamai kthenin adresat IP çdo minutë. Kjo do ta bëjë pothuajse të pamundur që adresat të lidhen me përmbajtje të ndaluar.
Ndërhyrje DNS
Përveç filtrimit të IP, një metodë tjetër e njohur e censurimit është ndërhyrja DNS. Kjo qasje përfshin veprime nga censuruesit që synojnë të parandalojnë përdoruesit që të njohin adresat IP të burimeve me përmbajtje të ndaluar. Kjo do të thotë, ndërhyrja ndodh në nivelin e zgjidhjes së emrit të domenit. Ka disa mënyra për ta bërë këtë, duke përfshirë rrëmbimin e lidhjeve DNS, përdorimin e teknikave të helmimit me DNS dhe bllokimin e kërkesave DNS për faqet e ndaluara.
Kjo është një metodë shumë efektive bllokimi, por mund të anashkalohet nëse përdorni metoda jo standarde të zgjidhjes së DNS, për shembull, kanale jashtë brezit. Prandaj, censuruesit zakonisht kombinojnë bllokimin e DNS me filtrimin e IP. Por, siç u tha më lart, filtrimi IP nuk është efektiv në censurimin e përmbajtjes CDN.
Filtro sipas URL/Fjalë kyçe duke përdorur DPI
Pajisjet moderne të monitorimit të aktivitetit të rrjetit mund të përdoren për të analizuar URL-të dhe fjalë kyçe specifike në paketat e të dhënave të transmetuara. Kjo teknologji quhet DPI (inspektimi i thellë i paketave). Sisteme të tilla gjejnë përmendje të fjalëve dhe burimeve të ndaluara, pas së cilës ato ndërhyjnë në komunikimin në internet. Si rezultat, paketat thjesht hidhen.
Kjo metodë është efektive, por më komplekse dhe me burime intensive, sepse kërkon defragmentim të të gjitha paketave të të dhënave të dërguara brenda rrjedhave të caktuara.
Përmbajtja CDN mund të mbrohet nga një filtrim i tillë në të njëjtën mënyrë si përmbajtja "e rregullt" - në të dyja rastet përdorimi i enkriptimit (d.m.th. HTTPS) ndihmon.
Përveç përdorimit të DPI për të gjetur fjalë kyçe ose URL të burimeve të ndaluara, këto mjete mund të përdoren për analiza më të avancuara. Këto metoda përfshijnë analizën statistikore të trafikut online/offline dhe analizën e protokolleve të identifikimit. Këto metoda janë jashtëzakonisht intensive me burime dhe për momentin thjesht nuk ka asnjë provë të përdorimit të tyre nga censuruesit në një masë mjaft serioze.
Vetëcensurimi i ofruesve të CDN
Nëse censori është shteti, atëherë ai ka çdo mundësi për të ndaluar ata ofrues të CDN-së të veprojnë në vend që nuk u binden ligjeve lokale që rregullojnë aksesin në përmbajtje. Vetëcensurës nuk mund t'i rezistohet në asnjë mënyrë - prandaj, nëse një kompani ofruese CDN është e interesuar të operojë në një vend të caktuar, ajo do të detyrohet të respektojë ligjet lokale, edhe nëse ato kufizojnë lirinë e fjalës.
Si e censuron Kina përmbajtjen e CDN
Firewall i Madh i Kinës konsiderohet me të drejtë sistemi më efektiv dhe më i avancuar për sigurimin e censurës në internet.
Metodologji Kërkimi
Shkencëtarët kryen eksperimente duke përdorur një nyje Linux të vendosur brenda Kinës. Ata gjithashtu kishin akses në disa kompjuterë jashtë vendit. Së pari, studiuesit kontrolluan që nyja t'i nënshtrohej censurës së ngjashme me atë të aplikuar për përdoruesit e tjerë kinezë - për ta bërë këtë, ata u përpoqën të hapnin faqe të ndryshme të ndaluara nga kjo makinë. Pra, u konfirmua prania e të njëjtit nivel censurimi.
Lista e faqeve të internetit të bllokuara në Kinë që përdorin CDN është marrë nga GreatFire.org. Më pas u analizua metoda e bllokimit në secilin rast.
Sipas të dhënave publike, i vetmi lojtar kryesor në tregun CDN me infrastrukturën e vet në Kinë është Akamai. Ofruesit e tjerë që marrin pjesë në studim: CloudFlare, Amazon CloudFront, EdgeCast, Fastly dhe SoftLayer.
Gjatë eksperimenteve, studiuesit zbuluan adresat e serverëve Akamai edge brenda vendit, dhe më pas u përpoqën të merrnin përmbajtjen e lejuar në memorie përmes tyre. Nuk ishte e mundur të hyni në përmbajtje të ndaluar (HTTP 403 u kthye gabimi i ndaluar) - me sa duket kompania po vetëcensurohet për të ruajtur aftësinë për të operuar në vend. Në të njëjtën kohë, aksesi në këto burime mbeti i hapur jashtë vendit.
ISP-të pa infrastrukturë në Kinë nuk vetëcensurojnë përdoruesit lokalë.
Në rastin e ofruesve të tjerë, metoda më e përdorur e bllokimit ishte filtrimi DNS - kërkesat për faqet e bllokuara zgjidhen në adresat IP të pasakta. Në të njëjtën kohë, muri i zjarrit nuk bllokon vetë serverët e skajit CDN, pasi ato ruajnë informacione të ndaluara dhe të lejuara.
Dhe nëse në rastin e trafikut të pakriptuar autoritetet kanë aftësinë të bllokojnë faqet individuale të faqeve duke përdorur DPI, atëherë kur përdorin HTTPS ata mund të mohojnë vetëm hyrjen në të gjithë domenin në tërësi. Kjo gjithashtu çon në bllokimin e përmbajtjes së lejuar.
Përveç kësaj, Kina ka ofruesit e saj CDN, duke përfshirë rrjete të tilla si ChinaCache, ChinaNetCenter dhe CDNetworks. Të gjitha këto kompani respektojnë plotësisht ligjet e vendit dhe bllokojnë përmbajtjen e ndaluar.
CacheBrowser: mjet anashkalues CDN
Siç tregoi analiza, është mjaft e vështirë për censuruesit të bllokojnë përmbajtjen e CDN. Prandaj, studiuesit vendosën të shkojnë më tej dhe të zhvillojnë një mjet të anashkalimit të bllokut në internet që nuk përdor teknologjinë proxy.
Ideja themelore e mjetit është që censorët duhet të ndërhyjnë në DNS për të bllokuar CDN-të, por në fakt nuk duhet të përdorni rezolucionin e emrit të domenit për të shkarkuar përmbajtjen CDN. Kështu, përdoruesi mund të marrë përmbajtjen që i nevojitet duke kontaktuar drejtpërdrejt serverin edge, ku ajo tashmë është e ruajtur në memorie.
Diagrami më poshtë tregon dizajnin e sistemit.
Softueri i klientit është instaluar në kompjuterin e përdoruesit dhe një shfletues i rregullt përdoret për të hyrë në përmbajtje.
Kur një URL ose pjesë e përmbajtjes është kërkuar tashmë, shfletuesi i bën një kërkesë sistemit lokal DNS (LocalDNS) për të marrë adresën IP të pritjes. DNS i rregullt kërkohet vetëm për domenet që nuk janë tashmë në bazën e të dhënave LocalDNS. Moduli Scraper kalon vazhdimisht nëpër URL-të e kërkuara dhe kërkon listën për emra domenesh të bllokuar potencialisht. Scraper më pas thërret modulin Resolver për të zgjidhur domenet e bllokuara të sapo zbuluara, ky modul kryen detyrën dhe shton një hyrje në LocalDNS. Memoria e memories DNS e shfletuesit pastrohet më pas për të hequr të dhënat ekzistuese DNS për domenin e bllokuar.
Nëse moduli Resolver nuk mund të kuptojë se cilit ofrues CDN i përket domeni, ai do të kërkojë ndihmë nga moduli Bootstrapper.
Si funksionon në praktikë
Softueri i klientit të produktit është implementuar për Linux, por ai mund të transportohet lehtësisht edhe për Windows. Mozilla i rregullt përdoret si shfletues
Firefox. Modulet Scraper dhe Resolver janë shkruar në Python dhe bazat e të dhënave Customer-to-CDN dhe CDN-toIP ruhen në skedarë .txt. Baza e të dhënave LocalDNS është skedari i rregullt /etc/hosts në Linux.
Si rezultat, për një URL të bllokuar si Skripti do të marrë adresën IP të serverit skajor nga skedari /etc/hosts dhe do të dërgojë një kërkesë HTTP GET për të hyrë në BlockedURL.html me fushat e kokës së Host HTTP:
blocked.com/ and User-Agent: Mozilla/5.0 (Windows
NT 5.1; rv:14.0) Gecko/20100101 Firefox/14.0.1Moduli Bootstrapper zbatohet duke përdorur mjetin falas digwebinterface.com. Ky zgjidhës DNS nuk mund të bllokohet dhe u përgjigjet pyetjeve DNS në emër të shumë serverëve DNS të shpërndarë gjeografikisht në rajone të ndryshme të rrjetit.
Duke përdorur këtë mjet, studiuesit arritën të fitojnë akses në Facebook nga nyja e tyre kineze, megjithëse rrjeti social ka qenë prej kohësh i bllokuar në Kinë.
Përfundim
Eksperimenti tregoi se duke përfituar nga problemet që përjetojnë censuruesit kur përpiqen të bllokojnë përmbajtjen CDN mund të përdoret për të krijuar një sistem për anashkalimin e blloqeve. Ky mjet ju lejon të anashkaloni blloqet edhe në Kinë, e cila ka një nga sistemet më të fuqishme të censurës në internet.
Artikuj të tjerë mbi temën e përdorimit për biznes:
Burimi: www.habr.com