Gambar:
Kiwari, sabagéan ageung eusi dina Internét disebarkeun nganggo jaringan CDN. Dina waktos anu sami, panalungtikan kumaha rupa sénsor manjangkeun pangaruhna kana jaringan sapertos kitu. Élmuwan ti Universitas Massachusetts métode mungkin pikeun meungpeuk eusi CDN ngagunakeun conto prakték otoritas Cina, sarta ogé dimekarkeun alat pikeun bypassing blocking misalna.
Kami parantos nyiapkeun bahan ulasan sareng kacindekan utama sareng hasil percobaan ieu.
perkenalan
Sensor mangrupikeun ancaman global pikeun kabébasan nyarios dina Internét sareng aksés gratis kana inpormasi. Ieu sabagéan ageung mungkin kusabab kanyataan yén Internét nginjeum modél "komunikasi tungtung-ka-tungtung" tina jaringan telepon taun 70an abad ka tukang. Ieu ngidinan Anjeun pikeun meungpeuk aksés ka eusi atawa komunikasi pamaké tanpa usaha signifikan atawa ongkos saukur dumasar kana alamat IP. Aya sababaraha metode di dieu, ti ngablokir alamatna sorangan sareng eusi anu dilarang dugi ka ngahalangan kamampuan pangguna pikeun ngenalkeunana nganggo manipulasi DNS.
Sanajan kitu, ngembangkeun Internet ogé geus ngarah ka mecenghulna cara anyar disseminating informasi. Salah sahijina nyaéta ngagunakeun eusi sindangan pikeun ningkatkeun kinerja sareng nyepetkeun komunikasi. Kiwari, panyadia CDN ngolah sajumlah ageung sadaya lalu lintas di dunya - Akamai, pamimpin di bagean ieu, nyalira nyalira dugi ka 30% tina lalu lintas wéb statik global.
Jaringan CDN nyaéta sistem anu disebarkeun pikeun nganteurkeun eusi Internét dina laju anu maksimal. Hiji jaringan CDN has diwangun ku server di lokasi geografis béda nu cache eusi pikeun ngalayanan ka pamaké nu pangdeukeutna ka server éta. Hal ieu ngamungkinkeun anjeun sacara signifikan ningkatkeun laju komunikasi online.
Salian ngaronjatkeun pangalaman pikeun pamaké tungtung, CDN hosting mantuan panyipta kontén skala proyék maranéhanana ku cara ngurangan beban dina infrastruktur maranéhanana.
Censoring eusi CDN
Sanaos kanyataan yén lalu lintas CDN parantos nyayogikeun bagian anu penting tina sadaya inpormasi anu dikirimkeun dina Internét, ampir henteu aya panalungtikan ngeunaan kumaha sénsor di dunya nyata ngadeukeutan kontrolana.
Pangarang ulikan urang dimimitian ku Ngalanglang téhnik censoring nu bisa dilarapkeun ka CDNs. Lajeng aranjeunna nalungtik mékanisme sabenerna dipaké ku otoritas Cina.
Anu mimiti, hayu urang ngobrol ngeunaan kamungkinan metode censoring sareng kamungkinan ngagunakeunana pikeun ngontrol CDN.
nyaring IP
Ieu mangrupikeun téknik pangbasajanna sareng paling murah pikeun nyensor Internét. Ngagunakeun pendekatan ieu, sénsor ngaidentipikasi sareng daptar hideung alamat IP sumber-sumber anu nyayogikeun eusi anu dilarang. Teras panyadia Internét anu dikontrol ngeureunkeun ngirimkeun pakét anu dikirim ka alamat sapertos kitu.
Meungpeuk basis IP mangrupikeun salah sahiji metodeu anu paling umum pikeun nyensor Internét. Kalolobaan alat jaringan komérsial dilengkepan fungsi pikeun nerapkeun blocking misalna tanpa usaha komputasi signifikan.
Nanging, metode ieu henteu cocog pisan pikeun ngahalangan lalu lintas CDN kusabab sababaraha sipat téknologi éta sorangan:
- Caching disebarkeun - pikeun mastikeun kasadiaan eusi anu pangsaéna sareng ngaoptimalkeun kinerja, jaringan CDN nyéépkeun eusi pangguna dina sajumlah ageung pangladén tepi anu aya di lokasi anu disebarkeun sacara geografis. Pikeun nyaring eusi sapertos dumasar kana IP, sénsor kedah milarian alamat sadaya pangladén tepi sareng daptar hideung. Ieu bakal ngaruksak sipat utama metoda, sabab kaunggulan utamina nyaeta dina skéma biasa blocking hiji server ngidinan Anjeun pikeun "neukteuk off" aksés ka eusi dilarang pikeun sajumlah badag jalma sakaligus.
- IP dibagikeun - panyadia CDN komérsial babagi infrastruktur maranéhanana (ie server ujung, sistem pemetaan, jsb) antara loba klien. Hasilna, eusi CDN anu dilarang dimuat tina alamat IP anu sami sareng eusi anu henteu dilarang. Hasilna, naon waé usaha pikeun nyaring IP bakal nyababkeun sajumlah ageung situs sareng kontén anu henteu dipikaresep ku sénsor anu diblokir.
- Tugas IP anu dinamis pisan - pikeun ngaoptimalkeun kasaimbangan beban sareng ningkatkeun kualitas palayanan, pemetaan pangladén tepi sareng pangguna akhir dilaksanakeun gancang pisan sareng dinamis. Contona, Akamai ngamutahirkeun alamat IP unggal menit. Ieu bakal ngajantenkeun alamat ampir teu mungkin aya hubunganana sareng eusi anu dilarang.
gangguan DNS
Di sagigireun panyaring IP, metodeu sénsor anu populér sanésna nyaéta gangguan DNS. Pendekatan ieu ngalibatkeun tindakan ku sénsor anu ditujukeun pikeun nyegah pangguna ngakuan alamat IP sumber-sumber anu aya eusi anu dilarang. Hartina, campur lumangsung dina tingkat resolusi ngaran domain. Aya sababaraha cara pikeun ngalakukeun ieu, kalebet ngabajak sambungan DNS, ngagunakeun téknik karacunan DNS, sareng meungpeuk pamundut DNS ka situs anu dilarang.
Ieu mangrupikeun metode meungpeuk anu efektif, tapi tiasa dileungitkeun upami anjeun nganggo metode résolusi DNS anu henteu standar, contona, saluran kaluar-band. Ku alatan éta, sénsor biasana ngagabungkeun pameungpeuk DNS sareng panyaring IP. Tapi, sakumaha disebutkeun di luhur, IP nyaring teu éféktif dina censoring eusi CDN.
Nyaring dumasar URL / Konci ngagunakeun DPI
Alat ngawaskeun kagiatan jaringan modern tiasa dianggo pikeun nganalisis URL sareng kecap konci khusus dina pakét data anu dikirimkeun. Téknologi ieu disebut DPI (deep packet inspection). Sistem sapertos mendakan nyebatkeun kecap sareng sumber anu dilarang, saatos éta ngaganggu komunikasi online. Balukarna, pakét-pakétna ngan saukur diturunkeun.
Metoda ieu éféktif, tapi leuwih kompleks jeung sumberdaya-intensif sabab merlukeun defragmentasi sadaya pakét data dikirim dina aliran tangtu.
Eusi CDN tiasa ditangtayungan tina panyaring sapertos kitu sareng eusi "biasa" - dina dua kasus panggunaan enkripsi (nyaéta HTTPS) ngabantosan.
Salian ngagunakeun DPI pikeun milarian kecap konci atanapi URL sumber anu dilarang, alat ieu tiasa dianggo pikeun analisis anu langkung maju. Métode ieu kalebet analisis statistik lalu lintas online/offline sareng analisis protokol idéntifikasi. Métode-métode ieu pisan-intensif sumberdaya sareng ayeuna ngan saukur teu aya bukti pamakeanna ku sénsor ka tingkat anu cukup serius.
Self-censorship panyadia CDN
Upami sénsor nyaéta nagara, maka éta ngagaduhan kasempetan pikeun ngalarang panyadia CDN éta beroperasi di nagara anu henteu taat kana hukum lokal anu ngatur aksés kana kontén. Sensor diri teu tiasa dilawan ku cara naon waé - janten, upami perusahaan panyadia CDN kabetot pikeun beroperasi di nagara anu tangtu, éta bakal kapaksa matuh kana hukum lokal, sanaos aranjeunna ngawatesan kabébasan nyarios.
Kumaha Cina censors eusi CDN
The Great Firewall of China leres-leres dianggap sistem anu paling efektif sareng canggih pikeun mastikeun sénsor Internét.
Métodologi panilitian
Élmuwan ngalaksanakeun ékspérimén nganggo titik Linux anu aya di jero Cina. Éta ogé ngagaduhan aksés ka sababaraha komputer di luar nagara. Kahiji, panalungtik dipariksa yén titik éta tunduk kana sénsor sarupa anu dilarapkeun ka pamaké Cina lianna - pikeun ngalakukeun ieu, aranjeunna diusahakeun muka rupa situs dilarang tina mesin ieu. Janten ayana tingkat sénsor anu sami dikonfirmasi.
Daptar situs web anu diblokir di Cina anu nganggo CDN dicandak tina GreatFire.org. Métode meungpeuk dina unggal kasus teras dianalisis.
Numutkeun data umum, hiji-hijina pamaén utama di pasar CDN kalayan infrastruktur sorangan di Cina nyaéta Akamai. Panyadia séjén anu milu dina pangajaran: CloudFlare, Amazon CloudFront, EdgeCast, Fastly and SoftLayer.
Salila ékspérimén, para panalungtik mendakan alamat-alamat pangladén tepi Akamai di jero nagara, teras nyobian kéngingkeun eusi anu diidinan sindangan ngalangkunganana. Teu mungkin pikeun ngakses eusi dilarang (HTTP 403 Dilarang kasalahan ieu balik) - tétéla parusahaan timer censoring guna ngajaga kamampuhan pikeun beroperasi di nagara éta. Dina waktos anu sami, aksés ka sumber daya ieu tetep kabuka di luar nagara.
ISP tanpa infrastruktur di Cina henteu nyensor sorangan pikeun pangguna lokal.
Dina kasus panyadia séjén, métode blocking paling ilahar dipake nya éta DNS nyaring - requests ka situs diblokir direngsekeun pikeun alamat IP lepat. Dina waktos anu sami, firewall henteu meungpeuk server tepi CDN sorangan, sabab nyimpen inpormasi anu dilarang sareng diidinan.
Sareng upami dina kasus lalu lintas anu teu énkripsi, otoritas gaduh kamampuan pikeun meungpeuk halaman situs anu nganggo DPI, teras nalika nganggo HTTPS aranjeunna ngan ukur tiasa nampik aksés ka sadayana domain sacara gembleng. Ieu ogé nyababkeun ngablokir eusi anu diidinan.
Salaku tambahan, Cina gaduh panyadia CDN sorangan, kalebet jaringan sapertos ChinaCache, ChinaNetCenter sareng CDNetworks. Sadaya pausahaan ieu pinuh sasuai jeung hukum nagara jeung blok eusi dilarang.
CacheBrowser: alat bypass CDN
Salaku analisa nunjukkeun, rada hese pikeun sénsor pikeun meungpeuk eusi CDN. Ku alatan éta, panalungtik mutuskeun pikeun indit salajengna jeung ngamekarkeun hiji block online alat bypass nu teu ngagunakeun téhnologi proxy.
Gagasan dasar alat nyaéta yén sénsor kedah ngaganggu DNS pikeun meungpeuk CDN, tapi anjeun saleresna henteu kedah nganggo résolusi nami domain pikeun ngaunduh eusi CDN. Janten, pangguna tiasa kéngingkeun kontén anu diperyogikeun ku langsung ngahubungi pangladén tepi, dimana éta parantos disimpen.
Diagram di handap nembongkeun desain sistem.
Parangkat lunak klien dipasang dina komputer pangguna, sareng browser biasa dianggo pikeun ngaksés eusi.
Nalika URL atanapi sapotong eusi parantos dipénta, browser naroskeun ka sistem DNS lokal (LocalDNS) pikeun kéngingkeun alamat IP hosting. DNS biasa ngan ukur ditaroskeun pikeun domain anu teu acan aya dina database LocalDNS. Modul Scraper terus-terusan ngalangkungan URL anu dipénta sareng milarian daptar nami domain anu berpotensi diblokir. Scraper lajeng nelepon modul Resolver pikeun ngabéréskeun domain diblokir karek kapanggih, modul ieu ngalakukeun tugas jeung nambahkeun entri ka LocalDNS. Cache DNS browser teras dibersihkeun pikeun ngahapus rékaman DNS anu aya pikeun domain anu diblokir.
Lamun modul Resolver teu bisa angka kaluar nu panyadia CDN domain milik, eta bakal nanya modul Bootstrapper pikeun pitulung.
Kumaha gawéna dina prakna
Parangkat lunak klien produk ieu dilaksanakeun pikeun Linux, tapi tiasa gampang ditransfer ogé pikeun Windows. Mozilla biasa dianggo salaku browser
Firefox. Scraper na Resolver modul ditulis dina Python, jeung Palanggan-to-CDN na CDN-toIP basis data disimpen dina file .txt. Database LocalDNS mangrupikeun file /etc/hosts biasa di Linux.
Hasilna, pikeun URL diblokir kawas Skrip bakal kéngingkeun alamat IP pangladén tepi tina file /etc/hosts sareng ngirim pamundut HTTP GET pikeun ngaksés BlockURL.html sareng widang lulugu Host HTTP:
blocked.com/ and User-Agent: Mozilla/5.0 (Windows
NT 5.1; rv:14.0) Gecko/20100101 Firefox/14.0.1Modul Bootstrapper dilaksanakeun nganggo alat gratis digwebinterface.com. Resolver DNS ieu teu tiasa diblokir sareng ngajawab patarosan DNS atas nama sababaraha server DNS anu disebarkeun sacara geografi di daérah jaringan anu béda.
Ngagunakeun alat ieu, peneliti junun meunang aksés ka Facebook ti titik Cina maranéhanana, sanajan jaringan sosial geus lila diblokir di Cina.
kacindekan
Ékspérimén nunjukkeun yén ngamangpaatkeun masalah anu ngalaman sénsor nalika nyobian meungpeuk eusi CDN tiasa dianggo pikeun nyiptakeun sistem pikeun ngalangkungan blok. Alat ieu ngamungkinkeun anjeun ngaliwat blok bahkan di Cina, anu ngagaduhan salah sahiji sistem sénsor online anu paling kuat.
Artikel sejenna dina topik pamakéan pikeun bisnis:
sumber: www.habr.com