Picha:
Leo, sehemu kubwa ya maudhui yote kwenye mtandao inasambazwa kwa kutumia mitandao ya CDN. Wakati huo huo, tafiti jinsi vidhibiti mbalimbali vinavyopanua ushawishi wao kwenye mitandao kama hiyo. Wanasayansi kutoka Chuo Kikuu cha Massachusetts njia zinazowezekana za kuzuia maudhui ya CDN kwa kutumia mfano wa mazoea ya mamlaka ya Kichina, na pia kutengeneza chombo cha kupitisha kuzuia vile.
Tumetayarisha nyenzo za ukaguzi na hitimisho kuu na matokeo ya jaribio hili.
Utangulizi
Udhibiti ni tishio la kimataifa kwa uhuru wa kujieleza kwenye Mtandao na ufikiaji wa habari bila malipo. Hii inawezekana kwa kiasi kikubwa kutokana na ukweli kwamba mtandao ulikopa mfano wa "mawasiliano ya mwisho hadi mwisho" kutoka kwa mitandao ya simu ya miaka ya 70 ya karne iliyopita. Hii hukuruhusu kuzuia ufikiaji wa yaliyomo au mawasiliano ya watumiaji bila juhudi kubwa au gharama kulingana na anwani ya IP. Kuna mbinu kadhaa hapa, kutoka kwa kuzuia anwani yenyewe na maudhui yaliyopigwa marufuku hadi kuzuia uwezo wa watumiaji hata kuitambua kwa kutumia udanganyifu wa DNS.
Hata hivyo, maendeleo ya mtandao pia yamesababisha kuibuka kwa njia mpya za kusambaza habari. Mojawapo ni matumizi ya maudhui yaliyohifadhiwa ili kuboresha utendaji na kuongeza kasi ya mawasiliano. Leo, watoa huduma za CDN huchakata kiasi kikubwa cha trafiki yote duniani - Akamai, kiongozi katika sehemu hii, peke yake anachangia hadi 30% ya trafiki ya mtandao tuli ya kimataifa.
Mtandao wa CDN ni mfumo unaosambazwa wa kuwasilisha maudhui ya Intaneti kwa kasi ya juu. Mtandao wa kawaida wa CDN huwa na seva katika maeneo tofauti ya kijiografia ambayo huhifadhi maudhui ili kuyahudumia kwa watumiaji walio karibu zaidi na seva hiyo. Hii inakuwezesha kuongeza kwa kiasi kikubwa kasi ya mawasiliano ya mtandaoni.
Mbali na kuboresha matumizi kwa watumiaji wa mwisho, upangishaji wa CDN huwasaidia waundaji maudhui kuongeza miradi yao kwa kupunguza mzigo kwenye miundombinu yao.
Inadhibiti maudhui ya CDN
Licha ya ukweli kwamba trafiki ya CDN tayari hufanya sehemu kubwa ya habari zote zinazopitishwa kwenye Mtandao, bado karibu hakuna utafiti kuhusu jinsi vidhibiti katika ulimwengu wa kweli vinakaribia udhibiti wake.
Waandishi wa utafiti walianza kwa kuchunguza mbinu za kukagua ambazo zinaweza kutumika kwa CDN. Kisha walisoma njia halisi zinazotumiwa na mamlaka ya Kichina.
Kwanza, hebu tuzungumze juu ya njia zinazowezekana za kudhibiti na uwezekano wa kuzitumia kudhibiti CDN.
Uchujaji wa IP
Hii ndiyo mbinu rahisi na ya bei nafuu zaidi ya kukagua Mtandao. Kwa kutumia mbinu hii, kidhibiti hutambua na kuorodhesha anwani za IP za rasilimali zinazopangisha maudhui yaliyopigwa marufuku. Kisha watoa huduma wa mtandao wanaodhibitiwa huacha kuwasilisha pakiti zilizotumwa kwa anwani kama hizo.
Kuzuia kwa msingi wa IP ni mojawapo ya njia za kawaida za kudhibiti mtandao. Vifaa vingi vya mtandao wa kibiashara vina vifaa vya kufanya kazi ili kutekeleza kuzuia vile bila jitihada kubwa za computational.
Walakini, njia hii haifai sana kwa kuzuia trafiki ya CDN kwa sababu ya mali fulani ya teknolojia yenyewe:
- Uakibishaji uliosambazwa - ili kuhakikisha upatikanaji bora wa maudhui na kuboresha utendakazi, mitandao ya CDN huhifadhi maudhui ya mtumiaji kwenye idadi kubwa ya seva za makali zilizo katika maeneo yaliyosambazwa kijiografia. Ili kuchuja maudhui kama haya kulingana na IP, kidhibiti kitahitaji kujua anwani za seva zote za makali na kuziorodhesha. Hii itadhoofisha mali kuu ya njia, kwa sababu faida yake kuu ni kwamba katika mpango wa kawaida, kuzuia seva moja inakuwezesha "kukata" upatikanaji wa maudhui yaliyokatazwa kwa idadi kubwa ya watu mara moja.
- IP zilizoshirikiwa - watoa huduma za CDN za kibiashara hushiriki miundombinu yao (yaani seva za makali, mfumo wa ramani, n.k.) kati ya wateja wengi. Kwa hivyo, maudhui ya CDN yaliyopigwa marufuku yanapakiwa kutoka kwa anwani za IP sawa na maudhui yasiyopigwa marufuku. Kwa hivyo, jaribio lolote la uchujaji wa IP litasababisha idadi kubwa ya tovuti na maudhui ambayo hayana maslahi kwa vidhibiti kuzuiwa.
- Mgawo wa IP unaobadilika sana - ili kuboresha usawazishaji wa mzigo na kuboresha ubora wa huduma, uchoraji wa ramani wa seva za makali na watumiaji wa mwisho unafanywa haraka sana na kwa nguvu. Kwa mfano, sasisho za Akamai zilirudisha anwani za IP kila dakika. Hii itafanya iwe vigumu kwa anwani kuhusishwa na maudhui yaliyopigwa marufuku.
Kuingiliwa kwa DNS
Kando na uchujaji wa IP, njia nyingine maarufu ya kudhibiti ni kuingiliwa kwa DNS. Mbinu hii inahusisha vitendo vya vidhibiti vinavyolenga kuzuia watumiaji kutambua anwani za IP za rasilimali zilizo na maudhui yaliyopigwa marufuku. Hiyo ni, uingiliaji hutokea katika ngazi ya azimio la jina la kikoa. Kuna njia kadhaa za kufanya hivyo, ikiwa ni pamoja na kuteka nyara miunganisho ya DNS, kutumia mbinu za sumu ya DNS, na kuzuia maombi ya DNS kwa tovuti zilizopigwa marufuku.
Hii ni njia nzuri sana ya kuzuia, lakini inaweza kupitishwa ikiwa unatumia njia zisizo za kawaida za utatuzi wa DNS, kwa mfano, njia za nje ya bendi. Kwa hivyo, censors kawaida huchanganya kuzuia DNS na uchujaji wa IP. Lakini, kama ilivyoelezwa hapo juu, uchujaji wa IP haufanyi kazi katika kudhibiti maudhui ya CDN.
Chuja kwa URL/Manenomsingi kwa kutumia DPI
Vifaa vya kisasa vya ufuatiliaji wa shughuli za mtandao vinaweza kutumika kuchanganua URL maalum na maneno muhimu katika pakiti za data zinazotumwa. Teknolojia hii inaitwa DPI (ukaguzi wa pakiti ya kina). Mifumo kama hiyo hupata kutajwa kwa maneno na rasilimali zilizokatazwa, baada ya hapo huingilia mawasiliano ya mtandaoni. Matokeo yake, pakiti zimeshuka tu.
Njia hii ni nzuri, lakini ngumu zaidi na inayotumia rasilimali nyingi kwa sababu inahitaji utenganishaji wa pakiti zote za data zilizotumwa ndani ya mitiririko fulani.
Maudhui ya CDN yanaweza kulindwa dhidi ya uchujaji kwa njia sawa na maudhui ya "kawaida" - katika hali zote mbili matumizi ya usimbaji fiche (yaani HTTPS) husaidia.
Mbali na kutumia DPI kupata maneno muhimu au URL za rasilimali zilizopigwa marufuku, zana hizi zinaweza kutumika kwa uchanganuzi wa kina zaidi. Mbinu hizi ni pamoja na uchanganuzi wa takwimu wa trafiki mtandaoni/nje ya mtandao na uchanganuzi wa itifaki za utambulisho. Njia hizi ni nyingi sana za rasilimali na kwa sasa hakuna ushahidi wa matumizi yao na censor kwa kiwango kikubwa cha kutosha.
Kujidhibiti kwa watoa huduma wa CDN
Ikiwa kidhibiti ni serikali, basi ina kila fursa ya kuwakataza watoa huduma hao wa CDN kufanya kazi nchini ambao hawatii sheria za ndani zinazosimamia ufikiaji wa maudhui. Kujidhibiti hakuwezi kupingwa kwa njia yoyote - kwa hivyo, ikiwa kampuni inayotoa huduma ya CDN inapenda kufanya kazi katika nchi fulani, italazimika kuzingatia sheria za eneo hilo, hata ikiwa zinazuia uhuru wa kujieleza.
Jinsi China inavyokagua maudhui ya CDN
Firewall Kuu ya Uchina inachukuliwa kuwa mfumo bora na wa hali ya juu zaidi wa kuhakikisha udhibiti wa Mtandao.
Mbinu ya utafiti
Wanasayansi walifanya majaribio kwa kutumia nodi ya Linux iliyoko ndani ya Uchina. Pia walikuwa na ufikiaji wa kompyuta kadhaa nje ya nchi. Kwanza, watafiti waliangalia kwamba nodi ilikuwa chini ya udhibiti sawa na ule unaotumika kwa watumiaji wengine wa Kichina - kufanya hivyo, walijaribu kufungua tovuti mbalimbali zilizopigwa marufuku kutoka kwa mashine hii. Kwa hivyo uwepo wa kiwango sawa cha udhibiti ulithibitishwa.
Orodha ya tovuti zinazotumia CDN zilizozuiwa nchini Uchina ilichukuliwa kutoka kwa GreatFire.org. Njia ya kuzuia katika kila kesi kisha kuchambuliwa.
Kulingana na data ya umma, mchezaji pekee mkuu katika soko la CDN na miundombinu yake mwenyewe nchini Uchina ni Akamai. Watoa huduma wengine wanaoshiriki katika utafiti: CloudFlare, Amazon CloudFront, EdgeCast, Fastly na SoftLayer.
Wakati wa majaribio, watafiti waligundua anwani za seva za makali za Akamai ndani ya nchi, na kisha kujaribu kupata yaliyoruhusiwa kupitia kwao. Haikuwezekana kufikia maudhui yaliyopigwa marufuku (Hitilafu ya HTTP 403 Iliyokatazwa ilirudishwa) - inaonekana kampuni inajidhibiti ili kudumisha uwezo wa kufanya kazi nchini. Wakati huo huo, upatikanaji wa rasilimali hizi ulibaki wazi nje ya nchi.
Watoa Huduma za Intaneti bila miundombinu nchini Uchina hawajihakiki watumiaji wa ndani.
Katika kesi ya watoa huduma wengine, njia ya kawaida ya kuzuia ilikuwa kuchuja DNS - maombi kwa tovuti zilizozuiwa yanatatuliwa kwa anwani zisizo sahihi za IP. Wakati huo huo, firewall haizuii seva za CDN zenye makali, kwani huhifadhi habari zote zilizokatazwa na zinazoruhusiwa.
Na ikiwa katika kesi ya trafiki isiyofichwa mamlaka ina uwezo wa kuzuia kurasa binafsi za tovuti kwa kutumia DPI, basi wakati wa kutumia HTTPS wanaweza tu kukataa upatikanaji wa kikoa kizima kwa ujumla. Hii pia husababisha kuzuia maudhui yanayoruhusiwa.
Kwa kuongezea, Uchina ina watoa huduma wake wa CDN, ikijumuisha mitandao kama vile ChinaCache, ChinaNetCenter na CDNetworks. Makampuni haya yote yanazingatia kikamilifu sheria za nchi na kuzuia maudhui yaliyopigwa marufuku.
CacheBrowser: Chombo cha kupitisha CDN
Kama uchanganuzi ulivyoonyesha, ni ngumu sana kwa wadhibiti kuzuia yaliyomo kwenye CDN. Kwa hiyo, watafiti waliamua kwenda zaidi na kuendeleza chombo cha kuzuia mtandaoni ambacho hakitumii teknolojia ya wakala.
Wazo la msingi la zana ni kwamba vidhibiti lazima viingiliane na DNS ili kuzuia CDN, lakini sio lazima utumie azimio la jina la kikoa kupakia yaliyomo kwenye CDN. Kwa hivyo, mtumiaji anaweza kupata maudhui anayohitaji kwa kuwasiliana moja kwa moja na seva ya makali, ambapo tayari imehifadhiwa.
Mchoro hapa chini unaonyesha muundo wa mfumo.
Programu ya mteja imewekwa kwenye kompyuta ya mtumiaji, na kivinjari cha kawaida hutumiwa kufikia maudhui.
Wakati URL au kipande cha maudhui tayari kimeombwa, kivinjari kinatuma ombi kwa mfumo wa ndani wa DNS (LocalDNS) ili kupata anwani ya IP ya upangishaji. DNS ya kawaida inaulizwa tu kwa vikoa ambavyo haviko kwenye hifadhidata ya LocalDNS. Moduli ya Scraper inaendelea kupitia URL zilizoombwa na hutafuta orodha kwa majina ya kikoa yanayoweza kuzuiwa. Scraper kisha huita moduli ya Kitatuzi ili kutatua vikoa vipya vilivyozuiwa vilivyogunduliwa, moduli hii hufanya kazi na kuongeza kiingilio kwa LocalDNS. Akiba ya DNS ya kivinjari basi inafutwa ili kuondoa rekodi zilizopo za DNS za kikoa kilichozuiwa.
Ikiwa moduli ya Kitatuzi haiwezi kubaini kikoa ni cha mtoaji gani wa CDN, itauliza moduli ya Bootstrapper kwa usaidizi.
Jinsi inavyofanya kazi katika mazoezi
Programu ya mteja ya bidhaa ilitekelezwa kwa Linux, lakini inaweza kuwekwa kwa urahisi pia kwa Windows. Mozilla ya kawaida hutumiwa kama kivinjari
Firefox. Moduli za Scraper na Resolver zimeandikwa katika Python, na hifadhidata za Mteja-kwa-CDN na CDN-toIP zimehifadhiwa kwenye faili za .txt. Hifadhidata ya LocalDNS ni faili ya kawaida /etc/hosts katika Linux.
Kama matokeo, kwa URL iliyozuiwa kama Hati itapata anwani ya IP ya seva ya ukingo kutoka kwa /etc/hosts faili na kutuma ombi la HTTP GET ili kufikia BlockedURL.html na sehemu za kichwa cha Jeshi HTTP:
blocked.com/ and User-Agent: Mozilla/5.0 (Windows
NT 5.1; rv:14.0) Gecko/20100101 Firefox/14.0.1Moduli ya Bootstrapper inatekelezwa kwa kutumia zana isiyolipishwa ya digwebinterface.com. Kitatuzi hiki cha DNS hakiwezi kuzuiwa na kinajibu hoja za DNS kwa niaba ya seva nyingi za DNS zilizosambazwa kijiografia katika maeneo tofauti ya mtandao.
Kwa kutumia zana hii, watafiti walifanikiwa kupata ufikiaji wa Facebook kutoka kwa nodi yao ya Kichina, ingawa mtandao wa kijamii umezuiwa kwa muda mrefu nchini China.
Hitimisho
Jaribio lilionyesha kuwa kuchukua faida ya matatizo ambayo hudhibiti hupata wakati wa kujaribu kuzuia maudhui ya CDN kunaweza kutumiwa kuunda mfumo wa kukwepa vizuizi. Zana hii hukuruhusu kukwepa vizuizi hata nchini Uchina, ambayo ina moja ya mifumo yenye nguvu zaidi ya udhibiti mtandaoni.
Nakala zingine juu ya mada ya matumizi kwa biashara:
Chanzo: mapenzi.com