ภาพ:
ปัจจุบัน ส่วนสำคัญของเนื้อหาทั้งหมดบนอินเทอร์เน็ตได้รับการเผยแพร่โดยใช้เครือข่าย CDN ในเวลาเดียวกัน ให้ค้นคว้าว่าเซ็นเซอร์ต่างๆ ขยายอิทธิพลเหนือเครือข่ายดังกล่าวได้อย่างไร นักวิทยาศาสตร์จากมหาวิทยาลัยแมสซาชูเซตส์ วิธีที่เป็นไปได้ในการบล็อกเนื้อหา CDN โดยใช้ตัวอย่างแนวทางปฏิบัติของทางการจีน และยังได้พัฒนาเครื่องมือสำหรับการหลีกเลี่ยงการบล็อกดังกล่าว
เราได้เตรียมเนื้อหาการทบทวนพร้อมข้อสรุปหลักและผลการทดลองนี้
การแนะนำ
การเซ็นเซอร์ถือเป็นภัยคุกคามระดับโลกต่อเสรีภาพในการพูดบนอินเทอร์เน็ตและการเข้าถึงข้อมูลอย่างเสรี สิ่งนี้เป็นไปได้อย่างมากเนื่องจากการที่อินเทอร์เน็ตยืมรูปแบบ "การสื่อสารแบบ end-to-end" จากเครือข่ายโทรศัพท์ในยุค 70 ของศตวรรษที่ผ่านมา วิธีนี้ช่วยให้คุณสามารถบล็อกการเข้าถึงเนื้อหาหรือการสื่อสารของผู้ใช้โดยไม่ต้องใช้ความพยายามหรือค่าใช้จ่ายมากนักโดยพิจารณาจากที่อยู่ IP มีหลายวิธีตั้งแต่การบล็อกที่อยู่ด้วยเนื้อหาต้องห้ามไปจนถึงการบล็อกความสามารถของผู้ใช้ในการจดจำที่อยู่โดยใช้การจัดการ DNS
อย่างไรก็ตาม การพัฒนาอินเทอร์เน็ตยังนำไปสู่การเกิดขึ้นของวิธีการใหม่ๆ ในการเผยแพร่ข้อมูล หนึ่งในนั้นคือการใช้เนื้อหาที่แคชไว้เพื่อปรับปรุงประสิทธิภาพและเพิ่มความเร็วในการสื่อสาร ปัจจุบัน ผู้ให้บริการ CDN ประมวลผลปริมาณการรับส่งข้อมูลทั้งหมดในโลกเป็นจำนวนมาก - Akamai ซึ่งเป็นผู้นำในกลุ่มนี้ เพียงอย่างเดียวคิดเป็นสัดส่วนถึง 30% ของปริมาณการรับส่งข้อมูลเว็บแบบคงที่ทั่วโลก
เครือข่าย CDN เป็นระบบกระจายสำหรับส่งเนื้อหาอินเทอร์เน็ตด้วยความเร็วสูงสุด เครือข่าย CDN ทั่วไปประกอบด้วยเซิร์ฟเวอร์ในที่ตั้งทางภูมิศาสตร์ที่แตกต่างกัน ซึ่งจะแคชเนื้อหาเพื่อให้บริการแก่ผู้ใช้ที่อยู่ใกล้กับเซิร์ฟเวอร์นั้นมากที่สุด สิ่งนี้ช่วยให้คุณเพิ่มความเร็วของการสื่อสารออนไลน์ได้อย่างมาก
นอกเหนือจากการปรับปรุงประสบการณ์สำหรับผู้ใช้แล้ว โฮสติ้ง CDN ยังช่วยให้ผู้สร้างเนื้อหาปรับขนาดโปรเจ็กต์ของตนโดยลดภาระบนโครงสร้างพื้นฐาน
การเซ็นเซอร์เนื้อหา CDN
แม้ว่าการรับส่งข้อมูล CDN จะเป็นส่วนสำคัญของข้อมูลทั้งหมดที่ส่งผ่านทางอินเทอร์เน็ตแล้ว แต่ก็ยังแทบไม่มีงานวิจัยใด ๆ เกี่ยวกับวิธีที่เซ็นเซอร์ในโลกแห่งความเป็นจริงเข้าใกล้การควบคุมของมัน
ผู้เขียนการศึกษาเริ่มต้นด้วยการสำรวจเทคนิคการเซ็นเซอร์ที่สามารถนำไปใช้กับ CDN ได้ จากนั้นพวกเขาก็ศึกษากลไกจริงที่ทางการจีนใช้
ก่อนอื่น เรามาพูดถึงวิธีการเซ็นเซอร์ที่เป็นไปได้และความเป็นไปได้ในการใช้มันเพื่อควบคุม CDN
การกรองไอพี
นี่เป็นเทคนิคที่ง่ายที่สุดและประหยัดที่สุดในการเซ็นเซอร์อินเทอร์เน็ต เมื่อใช้วิธีการนี้ เซ็นเซอร์จะระบุและขึ้นบัญชีดำที่อยู่ IP ของทรัพยากรที่โฮสต์เนื้อหาต้องห้าม จากนั้นผู้ให้บริการอินเทอร์เน็ตที่ได้รับการควบคุมจะหยุดส่งแพ็กเก็ตที่ส่งไปยังที่อยู่ดังกล่าว
การบล็อกตาม IP เป็นหนึ่งในวิธีการทั่วไปในการเซ็นเซอร์อินเทอร์เน็ต อุปกรณ์เครือข่ายเชิงพาณิชย์ส่วนใหญ่มีฟังก์ชันสำหรับดำเนินการบล็อกดังกล่าวโดยไม่ต้องใช้ความพยายามในการคำนวณมากนัก
อย่างไรก็ตาม วิธีนี้ไม่เหมาะสำหรับการบล็อกการรับส่งข้อมูล CDN เนื่องจากคุณสมบัติบางประการของเทคโนโลยี:
- แคชแบบกระจาย – เพื่อให้มั่นใจถึงความพร้อมใช้งานของเนื้อหาที่ดีที่สุดและเพิ่มประสิทธิภาพ เครือข่าย CDN จะแคชเนื้อหาของผู้ใช้บนเซิร์ฟเวอร์ Edge จำนวนมากซึ่งตั้งอยู่ในตำแหน่งที่กระจายตามภูมิศาสตร์ หากต้องการกรองเนื้อหาดังกล่าวตาม IP เซ็นเซอร์จะต้องค้นหาที่อยู่ของเซิร์ฟเวอร์ Edge ทั้งหมดและขึ้นบัญชีดำ สิ่งนี้จะบ่อนทำลายคุณสมบัติหลักของวิธีการเนื่องจากข้อได้เปรียบหลักคือในรูปแบบปกติการบล็อกเซิร์ฟเวอร์เดียวช่วยให้คุณสามารถ "ตัด" การเข้าถึงเนื้อหาต้องห้ามสำหรับคนจำนวนมากในคราวเดียว
- IP ที่ใช้ร่วมกัน – ผู้ให้บริการ CDN เชิงพาณิชย์แบ่งปันโครงสร้างพื้นฐานของตน (เช่น เซิร์ฟเวอร์ Edge ระบบแผนที่ ฯลฯ) ระหว่างไคลเอนต์จำนวนมาก ด้วยเหตุนี้ เนื้อหา CDN ที่ถูกแบนจึงถูกโหลดจากที่อยู่ IP เดียวกันกับเนื้อหาที่ไม่ถูกแบน ด้วยเหตุนี้ ความพยายามใดๆ ในการกรอง IP จะส่งผลให้ไซต์และเนื้อหาจำนวนมากที่ไม่น่าสนใจสำหรับผู้เซ็นเซอร์ถูกบล็อก
- การกำหนด IP แบบไดนามิกสูง – เพื่อปรับสมดุลโหลดให้เหมาะสมและปรับปรุงคุณภาพการบริการ การทำแผนที่เซิร์ฟเวอร์ Edge และผู้ใช้ปลายทางจะดำเนินการอย่างรวดเร็วและไดนามิก ตัวอย่างเช่น การอัปเดตของ Akamai จะส่งคืนที่อยู่ IP ทุกนาที ซึ่งจะทำให้แทบจะเป็นไปไม่ได้เลยที่ที่อยู่จะเชื่อมโยงกับเนื้อหาต้องห้าม
การรบกวน DNS
นอกจากการกรอง IP แล้ว วิธีการเซ็นเซอร์ยอดนิยมอีกวิธีหนึ่งคือการรบกวน DNS แนวทางนี้เกี่ยวข้องกับการดำเนินการของเซ็นเซอร์ที่มีจุดมุ่งหมายเพื่อป้องกันไม่ให้ผู้ใช้รับรู้ที่อยู่ IP ของทรัพยากรที่มีเนื้อหาต้องห้าม นั่นคือ การแทรกแซงเกิดขึ้นที่ระดับการแก้ไขชื่อโดเมน มีหลายวิธีในการดำเนินการนี้ รวมถึงการไฮแจ็กการเชื่อมต่อ DNS การใช้เทคนิคการวางพิษ DNS และการบล็อกคำขอ DNS ไปยังไซต์ต้องห้าม
นี่เป็นวิธีการบล็อกที่มีประสิทธิภาพมาก แต่สามารถข้ามได้หากคุณใช้วิธีการแก้ไข DNS ที่ไม่ได้มาตรฐาน เช่น ช่องสัญญาณนอกย่านความถี่ ดังนั้นเซ็นเซอร์มักจะรวมการบล็อก DNS เข้ากับการกรอง IP แต่ตามที่ระบุไว้ข้างต้น การกรอง IP ไม่มีประสิทธิผลในการเซ็นเซอร์เนื้อหา CDN
กรองตาม URL/คำสำคัญโดยใช้ DPI
อุปกรณ์ตรวจสอบกิจกรรมเครือข่ายสมัยใหม่สามารถใช้เพื่อวิเคราะห์ URL และคำสำคัญเฉพาะในแพ็กเก็ตข้อมูลที่ส่ง เทคโนโลยีนี้เรียกว่า DPI (การตรวจสอบแพ็คเก็ตเชิงลึก) ระบบดังกล่าวค้นหาการกล่าวถึงคำและทรัพยากรที่ต้องห้าม หลังจากนั้นจะรบกวนการสื่อสารออนไลน์ เป็นผลให้แพ็กเก็ตถูกทิ้งอย่างง่ายดาย
วิธีการนี้มีประสิทธิภาพ แต่ซับซ้อนกว่าและใช้ทรัพยากรมาก เนื่องจากต้องมีการจัดเรียงข้อมูลแพ็คเก็ตข้อมูลทั้งหมดที่ส่งภายในสตรีมบางสตรีม
เนื้อหา CDN สามารถป้องกันจากการกรองดังกล่าวได้ในลักษณะเดียวกับเนื้อหา “ปกติ” – ในทั้งสองกรณี การใช้การเข้ารหัส (เช่น HTTPS) ช่วยได้
นอกเหนือจากการใช้ DPI เพื่อค้นหาคำสำคัญหรือ URL ของทรัพยากรที่ถูกแบนแล้ว เครื่องมือเหล่านี้ยังสามารถใช้สำหรับการวิเคราะห์ขั้นสูงเพิ่มเติมอีกด้วย วิธีการเหล่านี้รวมถึงการวิเคราะห์ทางสถิติของการรับส่งข้อมูลออนไลน์/ออฟไลน์ และการวิเคราะห์โปรโตคอลการระบุตัวตน วิธีการเหล่านี้ใช้ทรัพยากรมาก และในขณะนี้ยังไม่มีหลักฐานว่ามีการเซ็นเซอร์นำไปใช้ในระดับที่ร้ายแรงเพียงพอ
การเซ็นเซอร์ตนเองของผู้ให้บริการ CDN
หากเซ็นเซอร์เป็นของรัฐ ก็มีโอกาสที่จะห้ามผู้ให้บริการ CDN เหล่านั้นดำเนินการในประเทศที่ไม่ปฏิบัติตามกฎหมายท้องถิ่นที่ควบคุมการเข้าถึงเนื้อหา ไม่สามารถต่อต้านการเซ็นเซอร์ตัวเองได้ไม่ว่าด้วยวิธีใดก็ตาม ดังนั้น หากบริษัทผู้ให้บริการ CDN สนใจที่จะดำเนินธุรกิจในประเทศใดประเทศหนึ่ง บริษัทจะถูกบังคับให้ปฏิบัติตามกฎหมายท้องถิ่น แม้ว่าบริษัทดังกล่าวจะจำกัดเสรีภาพในการพูดก็ตาม
จีนเซ็นเซอร์เนื้อหา CDN อย่างไร
Great Firewall of China ได้รับการพิจารณาอย่างถูกต้องว่าเป็นระบบที่มีประสิทธิภาพและล้ำหน้าที่สุดในการรับรองการเซ็นเซอร์อินเทอร์เน็ต
ระเบียบวิธีวิจัย
นักวิทยาศาสตร์ทำการทดลองโดยใช้โหนด Linux ซึ่งตั้งอยู่ในประเทศจีน พวกเขายังสามารถเข้าถึงคอมพิวเตอร์หลายเครื่องนอกประเทศอีกด้วย ขั้นแรก นักวิจัยตรวจสอบว่าโหนดนั้นถูกเซ็นเซอร์คล้ายกับที่ใช้กับผู้ใช้ชาวจีนรายอื่น - เพื่อทำเช่นนี้ พวกเขาพยายามเปิดไซต์ต้องห้ามต่างๆ จากเครื่องนี้ ดังนั้นจึงได้รับการยืนยันการเซ็นเซอร์ในระดับเดียวกัน
รายชื่อเว็บไซต์ที่ถูกบล็อกในจีนที่ใช้ CDN ถูกนำมาจาก GreatFire.org จากนั้นจึงวิเคราะห์วิธีการปิดกั้นในแต่ละกรณี
ตามข้อมูลสาธารณะ ผู้เล่นหลักเพียงรายเดียวในตลาด CDN ที่มีโครงสร้างพื้นฐานของตัวเองในจีนคือ Akamai ผู้ให้บริการรายอื่นๆ ที่เข้าร่วมในการศึกษานี้: CloudFlare, Amazon CloudFront, EdgeCast, Fastly และ SoftLayer
ในระหว่างการทดลอง นักวิจัยพบที่อยู่ของเซิร์ฟเวอร์ Edge ของ Akamai ภายในประเทศ จากนั้นจึงพยายามแคชเนื้อหาที่ได้รับอนุญาตผ่านที่อยู่เหล่านั้น ไม่สามารถเข้าถึงเนื้อหาต้องห้ามได้ (ส่งคืนข้อผิดพลาด HTTP 403 Forbidden) - เห็นได้ชัดว่าบริษัทกำลังเซ็นเซอร์ตัวเองเพื่อรักษาความสามารถในการดำเนินงานในประเทศ ในเวลาเดียวกัน การเข้าถึงทรัพยากรเหล่านี้ยังคงเปิดอยู่นอกประเทศ
ISP ที่ไม่มีโครงสร้างพื้นฐานในประเทศจีนจะไม่เซ็นเซอร์ผู้ใช้ในท้องถิ่นด้วยตนเอง
ในกรณีของผู้ให้บริการรายอื่น วิธีการบล็อกที่ใช้บ่อยที่สุดคือการกรอง DNS - คำขอไปยังไซต์ที่ถูกบล็อกได้รับการแก้ไขเป็นที่อยู่ IP ที่ไม่ถูกต้อง ในเวลาเดียวกัน ไฟร์วอลล์ไม่ได้บล็อกเซิร์ฟเวอร์ Edge CDN ด้วยตนเอง เนื่องจากเซิร์ฟเวอร์ดังกล่าวเก็บทั้งข้อมูลที่ต้องห้ามและได้รับอนุญาต
และหากในกรณีของการรับส่งข้อมูลที่ไม่ได้เข้ารหัส เจ้าหน้าที่มีความสามารถในการบล็อกแต่ละหน้าของไซต์โดยใช้ DPI ดังนั้นเมื่อใช้ HTTPS พวกเขาจะปฏิเสธการเข้าถึงทั้งโดเมนโดยรวมเท่านั้น นอกจากนี้ยังนำไปสู่การบล็อกเนื้อหาที่ได้รับอนุญาตอีกด้วย
นอกจากนี้ จีนยังมีผู้ให้บริการ CDN ของตนเอง รวมถึงเครือข่าย เช่น ChinaCache, ChinaNetCenter และ CDNetworks บริษัทเหล่านี้ทั้งหมดปฏิบัติตามกฎหมายของประเทศอย่างเต็มที่และบล็อกเนื้อหาต้องห้าม
CacheBrowser: เครื่องมือบายพาส CDN
ตามการวิเคราะห์แสดงให้เห็นว่า เป็นเรื่องยากสำหรับผู้เซ็นเซอร์ที่จะบล็อกเนื้อหา CDN ดังนั้น นักวิจัยจึงตัดสินใจพัฒนาต่อไปและพัฒนาเครื่องมือบล็อกบายพาสออนไลน์ที่ไม่ใช้เทคโนโลยีพร็อกซี
แนวคิดพื้นฐานของเครื่องมือนี้คือเซ็นเซอร์ต้องรบกวน DNS เพื่อบล็อก CDN แต่คุณไม่จำเป็นต้องใช้การแก้ไขชื่อโดเมนเพื่อโหลดเนื้อหา CDN ดังนั้นผู้ใช้สามารถรับเนื้อหาที่ต้องการได้โดยติดต่อกับ Edge Server โดยตรง ซึ่งเนื้อหานั้นถูกแคชไว้อยู่แล้ว
แผนภาพด้านล่างแสดงการออกแบบระบบ
ซอฟต์แวร์ไคลเอนต์ได้รับการติดตั้งบนคอมพิวเตอร์ของผู้ใช้ และใช้เบราว์เซอร์ปกติเพื่อเข้าถึงเนื้อหา
เมื่อมีการร้องขอ URL หรือเนื้อหาแล้ว เบราว์เซอร์จะส่งคำขอไปยังระบบ DNS ในเครื่อง (LocalDNS) เพื่อรับที่อยู่ IP ของโฮสต์ DNS ปกติจะถูกสอบถามเฉพาะโดเมนที่ไม่ได้อยู่ในฐานข้อมูล LocalDNS เท่านั้น โมดูล Scraper ดำเนินการผ่าน URL ที่ร้องขออย่างต่อเนื่อง และค้นหารายการชื่อโดเมนที่อาจถูกบล็อก จากนั้น Scraper จะเรียกโมดูล Resolver เพื่อแก้ไขโดเมนที่ถูกบล็อกที่เพิ่งค้นพบ โมดูลนี้จะดำเนินการและเพิ่มรายการลงใน LocalDNS จากนั้นแคช DNS ของเบราว์เซอร์จะถูกล้างเพื่อลบระเบียน DNS ที่มีอยู่สำหรับโดเมนที่ถูกบล็อก
หากโมดูล Resolver ไม่สามารถระบุได้ว่าโดเมนเป็นของผู้ให้บริการ CDN รายใด โมดูลจะขอความช่วยเหลือจากโมดูล Bootstrapper
มันทำงานอย่างไรในทางปฏิบัติ
ซอฟต์แวร์ไคลเอนต์ของผลิตภัณฑ์ถูกนำมาใช้สำหรับ Linux แต่สามารถย้ายไปยัง Windows ได้อย่างง่ายดาย Mozilla ปกติใช้เป็นเบราว์เซอร์
ไฟร์ฟอกซ์ โมดูล Scraper และ Resolver เขียนด้วยภาษา Python และฐานข้อมูล Customer-to-CDN และ CDN-toIP จะถูกจัดเก็บไว้ในไฟล์ .txt ฐานข้อมูล LocalDNS เป็นไฟล์ /etc/hosts ปกติใน Linux
เป็นผลให้สำหรับ URL ที่ถูกบล็อกเช่น สคริปต์จะได้รับที่อยู่ IP ของเซิร์ฟเวอร์ Edge จากไฟล์ /etc/hosts และส่งคำขอ HTTP GET เพื่อเข้าถึง BlockedURL.html ด้วยฟิลด์ส่วนหัวของโฮสต์ HTTP:
blocked.com/ and User-Agent: Mozilla/5.0 (Windows
NT 5.1; rv:14.0) Gecko/20100101 Firefox/14.0.1โมดูล Bootstrapper ถูกนำมาใช้โดยใช้เครื่องมือฟรี digwebinterface.com ตัวแก้ไข DNS นี้ไม่สามารถบล็อกและตอบแบบสอบถาม DNS ในนามของเซิร์ฟเวอร์ DNS ที่กระจายทางภูมิศาสตร์หลายแห่งในภูมิภาคเครือข่ายที่แตกต่างกัน
การใช้เครื่องมือนี้ นักวิจัยสามารถเข้าถึง Facebook จากโหนดจีนได้ แม้ว่าเครือข่ายโซเชียลจะถูกบล็อกในจีนมานานแล้วก็ตาม
ข้อสรุป
การทดลองแสดงให้เห็นว่าการใช้ประโยชน์จากปัญหาที่เซ็นเซอร์ประสบเมื่อพยายามบล็อกเนื้อหา CDN สามารถใช้เพื่อสร้างระบบสำหรับการเลี่ยงผ่านการบล็อกได้ เครื่องมือนี้ช่วยให้คุณสามารถหลีกเลี่ยงการบล็อกได้แม้กระทั่งในประเทศจีนซึ่งมีระบบเซ็นเซอร์ออนไลน์ที่ทรงพลังที่สุดระบบหนึ่ง
บทความอื่น ๆ เกี่ยวกับหัวข้อการใช้งาน สำหรับธุรกิจ:
ที่มา: will.com