Resim:
Günümüzde internetteki tüm içeriğin önemli bir kısmı CDN ağları kullanılarak dağıtılmaktadır. Aynı zamanda, çeşitli sansürcülerin bu tür ağlar üzerindeki etkilerini nasıl genişlettiklerini araştırın. Massachusetts Üniversitesi'nden bilim adamları Çinli yetkililerin uygulamalarını örnek alarak CDN içeriğini engellemenin olası yöntemlerini ve ayrıca bu tür engellemeleri atlamak için bir araç geliştirdi.
Bu deneyin ana sonuçlarını ve sonuçlarını içeren bir inceleme materyali hazırladık.
Giriş
Sansür, internette ifade özgürlüğüne ve bilgiye özgür erişime yönelik küresel bir tehdittir. Bu, büyük ölçüde İnternet'in "uçtan uca iletişim" modelini geçen yüzyılın 70'li yıllarının telefon ağlarından ödünç alması nedeniyle mümkündür. Bu, yalnızca IP adresine dayalı olarak önemli bir çaba veya maliyet gerektirmeden içeriğe veya kullanıcı iletişimlerine erişimi engellemenize olanak tanır. Burada, adresin kendisini yasaklanmış içerikle engellemekten, kullanıcıların DNS manipülasyonu kullanarak adresi tanıma yeteneğini bile engellemeye kadar çeşitli yöntemler vardır.
Ancak internetin gelişmesi aynı zamanda bilgiyi yaymanın yeni yollarının ortaya çıkmasına da yol açmıştır. Bunlardan biri, performansı artırmak ve iletişimi hızlandırmak için önbelleğe alınmış içeriğin kullanılmasıdır. Bugün CDN sağlayıcıları dünyadaki tüm trafiğin önemli bir kısmını işliyor; bu segmentte lider olan Akamai, tek başına küresel statik web trafiğinin %30'unu oluşturuyor.
CDN ağı, İnternet içeriğini maksimum hızda sunmaya yönelik dağıtılmış bir sistemdir. Tipik bir CDN ağı, farklı coğrafi konumlarda bulunan ve içeriği o sunucuya en yakın kullanıcılara sunmak üzere önbelleğe alan sunuculardan oluşur. Bu, çevrimiçi iletişimin hızını önemli ölçüde artırmanıza olanak tanır.
CDN barındırma, son kullanıcıların deneyimini geliştirmenin yanı sıra, içerik oluşturucuların altyapılarındaki yükü azaltarak projelerini ölçeklendirmelerine yardımcı olur.
CDN içeriğini sansürleme
CDN trafiğinin zaten İnternet üzerinden iletilen tüm bilgilerin önemli bir bölümünü oluşturmasına rağmen, gerçek dünyadaki sansürcülerin kontrole nasıl yaklaştığına dair neredeyse hiçbir araştırma yok.
Çalışmanın yazarları CDN'lere uygulanabilecek sansürleme tekniklerini keşfederek işe başladılar. Daha sonra Çinli yetkililerin kullandığı gerçek mekanizmaları incelediler.
Öncelikle olası sansürleme yöntemlerinden ve bunları CDN'yi kontrol etmek için kullanma olasılığından bahsedelim.
IP filtreleme
Bu, İnternet'i sansürlemenin en basit ve en ucuz tekniğidir. Bu yaklaşımı kullanarak sansürcü, yasaklı içeriği barındıran kaynakların IP adreslerini belirler ve kara listeye alır. Daha sonra kontrollü İnternet sağlayıcıları bu adreslere gönderilen paketleri teslim etmeyi durdurur.
IP tabanlı engelleme, İnternet'i sansürlemenin en yaygın yöntemlerinden biridir. Çoğu ticari ağ cihazı, bu tür engellemeleri önemli bir hesaplama çabası gerektirmeden uygulayacak işlevlerle donatılmıştır.
Ancak bu yöntem, teknolojinin bazı özelliklerinden dolayı CDN trafiğini engellemek için pek uygun değildir:
- Dağıtılmış Önbelleğe Alma – içeriğin en iyi şekilde kullanılabilirliğini sağlamak ve performansı optimize etmek için CDN ağları, kullanıcı içeriğini coğrafi olarak dağıtılmış konumlarda bulunan çok sayıda uç sunucuda önbelleğe alır. Bu tür içeriği IP'ye göre filtrelemek için sansürün tüm uç sunucuların adreslerini bulması ve bunları kara listeye alması gerekir. Bu, yöntemin ana özelliklerini baltalayacaktır, çünkü ana avantajı, olağan şemada, bir sunucunun engellenmesinin, çok sayıda insanın yasaklanmış içeriğe erişimini aynı anda "kesmenize" izin vermesidir.
- Paylaşılan IP'ler – ticari CDN sağlayıcıları altyapılarını (yani uç sunucular, haritalama sistemi vb.) birçok istemci arasında paylaşır. Sonuç olarak yasaklı CDN içeriği, yasaklanmamış içerikle aynı IP adreslerinden yüklenir. Sonuç olarak, IP filtrelemeye yönelik herhangi bir girişim, sansürcülerin ilgisini çekmeyen çok sayıda sitenin ve içeriğin engellenmesiyle sonuçlanacaktır.
- Son derece dinamik IP ataması – yük dengelemeyi optimize etmek ve hizmet kalitesini artırmak için uç sunucuların ve son kullanıcıların eşlenmesi çok hızlı ve dinamik bir şekilde gerçekleştirilir. Örneğin Akamai güncellemeleri her dakika IP adreslerini döndürüyordu. Bu, adreslerin yasak içerikle ilişkilendirilmesini neredeyse imkansız hale getirecektir.
DNS girişimi
IP filtrelemenin yanı sıra bir diğer popüler sansürleme yöntemi de DNS müdahalesidir. Bu yaklaşım, sansürcülerin, kullanıcıların yasak içerikli kaynakların IP adreslerini tanımasını engellemeyi amaçlayan eylemlerini içerir. Yani müdahale alan adı çözümleme düzeyinde gerçekleşir. Bunu yapmanın, DNS bağlantılarını ele geçirmek, DNS zehirleme tekniklerini kullanmak ve yasaklı sitelere yönelik DNS isteklerini engellemek dahil olmak üzere çeşitli yolları vardır.
Bu çok etkili bir engelleme yöntemidir ancak bant dışı kanallar gibi standart olmayan DNS çözümleme yöntemleri kullanırsanız bu yöntem atlanabilir. Bu nedenle sansürcüler genellikle DNS engellemeyi IP filtrelemeyle birleştirir. Ancak yukarıda da belirtildiği gibi IP filtreleme, CDN içeriğinin sansürlenmesinde etkili değildir.
DPI kullanarak URL'ye/Anahtar Kelimelere göre filtreleyin
İletilen veri paketlerindeki belirli URL'leri ve anahtar kelimeleri analiz etmek için modern ağ etkinliği izleme ekipmanı kullanılabilir. Bu teknolojiye DPI (derin paket incelemesi) denir. Bu tür sistemler yasaklı kelime ve kaynaklardan bahsedildiğini tespit eder ve ardından çevrimiçi iletişime müdahale eder. Sonuç olarak paketler basitçe bırakılır.
Bu yöntem etkilidir ancak daha karmaşıktır ve kaynak yoğundur çünkü belirli akışlar içinde gönderilen tüm veri paketlerinin birleştirilmesini gerektirir.
CDN içeriği, "normal" içerikle aynı şekilde bu tür filtrelemelerden korunabilir; her iki durumda da şifrelemenin (yani HTTPS) kullanılması yardımcı olur.
Yasaklanan kaynakların anahtar kelimelerini veya URL'lerini bulmak için DPI kullanmanın yanı sıra, bu araçlar daha gelişmiş analizler için de kullanılabilir. Bu yöntemler çevrimiçi/çevrimdışı trafiğin istatistiksel analizini ve tanımlama protokollerinin analizini içerir. Bu yöntemler son derece kaynak yoğundur ve şu anda bunların sansürcüler tarafından yeterince ciddi düzeyde kullanıldığına dair hiçbir kanıt yoktur.
CDN sağlayıcılarının otosansürü
Eğer sansürcü devletse, içeriğe erişimi düzenleyen yerel yasalara uymayan CDN sağlayıcılarının ülkede faaliyet göstermesini yasaklamak için her türlü fırsata sahiptir. Otosansüre hiçbir şekilde karşı çıkılamaz; bu nedenle, bir CDN sağlayıcı şirket belirli bir ülkede faaliyet göstermekle ilgileniyorsa, ifade özgürlüğünü kısıtlasa bile yerel yasalara uymak zorunda kalacaktır.
Çin, CDN içeriğini nasıl sansürlüyor?
Çin'in Büyük Güvenlik Duvarı, İnternet sansürünü sağlamak için haklı olarak en etkili ve gelişmiş sistem olarak kabul edilmektedir.
Araştırma metodolojisi
Bilim insanları Çin'de bulunan bir Linux düğümünü kullanarak deneyler gerçekleştirdi. Ayrıca ülke dışındaki birçok bilgisayara da erişimleri vardı. İlk olarak araştırmacılar, düğümün diğer Çinli kullanıcılara uygulanan sansüre benzer şekilde sansüre tabi olup olmadığını kontrol ettiler; bunu yapmak için bu makineden çeşitli yasaklı siteleri açmaya çalıştılar. Böylece aynı düzeyde sansürün varlığı doğrulandı.
Çin'de engellenen ve CDN kullanan web sitelerinin listesi GreatFire.org'dan alınmıştır. Daha sonra her durumdaki engelleme yöntemi analiz edildi.
Kamuya açık verilere göre Çin'de CDN pazarının kendi altyapısına sahip tek büyük oyuncusu Akamai'dir. Araştırmaya katılan diğer sağlayıcılar: CloudFlare, Amazon CloudFront, EdgeCast, Fastly ve SoftLayer.
Deneyler sırasında araştırmacılar, ülke içindeki Akamai uç sunucularının adreslerini buldular ve ardından bunlar aracılığıyla önbelleğe alınan izin verilen içeriği almaya çalıştılar. Yasaklanan içeriğe erişim mümkün olmadı (HTTP 403 Yasak hatası döndürüldü) - görünüşe göre şirket, ülkede faaliyet gösterme yeteneğini sürdürmek için kendi kendini sansürlüyor. Aynı zamanda bu kaynaklara erişim ülke dışında da açık kaldı.
Çin'de altyapısı olmayan İSS'ler yerel kullanıcılara otosansür uygulamıyor.
Diğer sağlayıcılar söz konusu olduğunda en yaygın kullanılan engelleme yöntemi DNS filtrelemeydi; engellenen sitelere yapılan istekler yanlış IP adreslerine çözümleniyor. Aynı zamanda güvenlik duvarı, hem yasaklanmış hem de izin verilen bilgileri sakladıkları için CDN uç sunucularını kendileri engellemez.
Ve şifrelenmemiş trafik durumunda yetkililer, DPI kullanan sitelerin ayrı ayrı sayfalarını engelleme olanağına sahipse, o zaman HTTPS kullanırken yalnızca etki alanının tamamına erişimi bir bütün olarak reddedebilirler. Bu aynı zamanda izin verilen içeriğin engellenmesine de yol açar.
Ayrıca Çin'in ChinaCache, ChinaNetCenter ve CDNetworks gibi ağlar da dahil olmak üzere kendi CDN sağlayıcıları vardır. Bu şirketlerin tamamı ülke yasalarına tam olarak uymakta ve yasaklı içerikleri engellemektedir.
CacheBrowser: CDN atlama aracı
Analizin gösterdiği gibi sansürcülerin CDN içeriğini engellemesi oldukça zordur. Bu nedenle araştırmacılar daha da ileri giderek proxy teknolojisini kullanmayan bir çevrimiçi blok atlama aracı geliştirmeye karar verdiler.
Aracın temel fikri, sansürcülerin CDN'leri engellemek için DNS'ye müdahale etmesi gerektiği, ancak aslında CDN içeriğini indirmek için alan adı çözümlemesini kullanmanıza gerek olmamasıdır. Böylece kullanıcı, ihtiyaç duyduğu içeriği, zaten önbelleğe alınmış olan uç sunucuyla doğrudan iletişime geçerek alabilir.
Aşağıdaki şema sistem tasarımını göstermektedir.
İstemci yazılımı kullanıcının bilgisayarına kurulur ve içeriğe erişmek için normal bir tarayıcı kullanılır.
Bir URL veya içerik parçası zaten istendiğinde, tarayıcı, barındırma IP adresini almak için yerel DNS sistemine (LocalDNS) bir istekte bulunur. Normal DNS yalnızca halihazırda LocalDNS veritabanında bulunmayan etki alanları için sorgulanır. Kazıyıcı modülü sürekli olarak istenen URL'leri inceler ve listede potansiyel olarak engellenmiş alan adlarını arar. Scraper daha sonra yeni keşfedilen engellenen etki alanlarını çözmek için Çözümleyici modülünü çağırır, bu modül görevi gerçekleştirir ve LocalDNS'ye bir giriş ekler. Ardından, engellenen etki alanı için mevcut DNS kayıtlarını kaldırmak üzere tarayıcının DNS önbelleği temizlenir.
Resolver modülü, alan adının hangi CDN sağlayıcısına ait olduğunu çözemezse Bootstrapper modülünden yardım isteyecektir.
Pratikte nasıl çalışır?
Ürünün istemci yazılımı Linux için uygulanmıştır ancak Windows için de kolaylıkla taşınabilir. Tarayıcı olarak normal Mozilla kullanılıyor
Firefox. Kazıyıcı ve Çözücü modülleri Python'da yazılmıştır ve Müşteriden CDN'ye ve CDN'den IP'ye veritabanları .txt dosyalarında depolanır. LocalDNS veritabanı, Linux'taki normal /etc/hosts dosyasıdır.
Sonuç olarak, aşağıdaki gibi engellenen bir URL için Komut dosyası, uç sunucunun IP adresini /etc/hosts dosyasından alacak ve Host HTTP başlık alanlarıyla BlockedURL.html'ye erişmek için bir HTTP GET isteği gönderecektir:
blocked.com/ and User-Agent: Mozilla/5.0 (Windows
NT 5.1; rv:14.0) Gecko/20100101 Firefox/14.0.1Bootstrapper modülü digwebinterface.com ücretsiz aracı kullanılarak uygulanır. Bu DNS çözümleyici engellenemez ve farklı ağ bölgelerinde coğrafi olarak dağıtılmış birden çok DNS sunucusu adına DNS sorgularını yanıtlar.
Bu aracı kullanarak araştırmacılar, sosyal ağ Çin'de uzun süredir engellenmiş olmasına rağmen, Çin düğümlerinden Facebook'a erişim sağlamayı başardılar.
Sonuç
Deney, sansürcülerin CDN içeriğini engellemeye çalışırken yaşadığı sorunlardan yararlanmanın, engellemeleri atlayacak bir sistem oluşturmak için kullanılabileceğini gösterdi. Bu araç, en güçlü çevrimiçi sansür sistemlerinden birine sahip olan Çin'de bile engellemeleri atlamanıza olanak tanır.
Kullanım konusuyla ilgili diğer makaleler iş için:
Kaynak: habr.com