Rasm:
Bugungi kunda Internetdagi barcha kontentning muhim qismi CDN tarmoqlari yordamida tarqatiladi. Shu bilan birga, turli tsenzuralar bunday tarmoqlarga qanday ta'sir qilishini o'rganing. Massachusets universiteti olimlari Xitoy rasmiylarining amaliyoti misolida CDN tarkibini blokirovka qilishning mumkin bo'lgan usullari, shuningdek, bunday blokirovkalarni chetlab o'tish vositasini ishlab chiqdi.
Biz ushbu tajribaning asosiy xulosalari va natijalari bilan ko'rib chiqish materialini tayyorladik.
kirish
Tsenzura Internetdagi so'z erkinligi va axborotdan erkin foydalanish uchun global tahdiddir. Bu, asosan, Internet o'tgan asrning 70-yillaridagi telefon tarmoqlaridan "uchdan-uchgacha aloqa" modelini olganligi sababli mumkin. Bu sizga IP-manzil asosida katta kuch sarflamasdan yoki xarajat qilmasdan tarkibga yoki foydalanuvchi aloqalariga kirishni blokirovka qilish imkonini beradi. Bu erda bir nechta usullar mavjud: manzilning o'zini taqiqlangan kontent bilan bloklashdan tortib DNS manipulyatsiyasi yordamida foydalanuvchilarning hatto uni tanib olish qobiliyatini blokirovka qilishgacha.
Biroq, Internetning rivojlanishi axborotni tarqatishning yangi usullarining paydo bo'lishiga ham olib keldi. Ulardan biri ish faoliyatini yaxshilash va aloqalarni tezlashtirish uchun keshlangan kontentdan foydalanishdir. Bugungi kunda CDN provayderlari dunyodagi barcha trafikning katta qismini qayta ishlaydilar - bu segmentda etakchi bo'lgan Akamai global statik veb-trafikning 30% gacha bo'lgan hissasiga to'g'ri keladi.
CDN tarmog'i - bu Internet-kontentni maksimal tezlikda etkazib berish uchun taqsimlangan tizim. Odatda CDN tarmog'i turli geografik joylarda joylashgan serverlardan iborat bo'lib, ular ushbu serverga eng yaqin foydalanuvchilarga xizmat ko'rsatish uchun tarkibni keshlaydi. Bu sizga onlayn muloqot tezligini sezilarli darajada oshirish imkonini beradi.
Yakuniy foydalanuvchilar uchun tajribani yaxshilashdan tashqari, CDN xosting kontent yaratuvchilarga infratuzilmadagi yukni kamaytirish orqali o'z loyihalarini kengaytirishga yordam beradi.
CDN tarkibini tsenzura qilish
CDN trafigi allaqachon Internet orqali uzatiladigan barcha ma'lumotlarning muhim qismini tashkil etishiga qaramay, haqiqiy dunyoda tsenzuralar uni boshqarishga qanday yondashishi haqida deyarli hech qanday tadqiqot yo'q.
Tadqiqot mualliflari CDN-larga qo'llanilishi mumkin bo'lgan tsenzura usullarini o'rganishdan boshladilar. Keyin ular Xitoy rasmiylari tomonidan qo'llaniladigan haqiqiy mexanizmlarni o'rganishdi.
Birinchidan, keling, mumkin bo'lgan tsenzura usullari va CDNni boshqarish uchun ulardan foydalanish imkoniyatlari haqida gapiraylik.
IP filtrlash
Bu Internetni tsenzura qilishning eng oddiy va eng arzon usuli. Ushbu yondashuvdan foydalanib, tsenzura taqiqlangan kontentni joylashtiradigan resurslarning IP manzillarini aniqlaydi va qora ro'yxatga oladi. Keyin boshqariladigan Internet-provayderlar bunday manzillarga yuborilgan paketlarni etkazib berishni to'xtatadilar.
IP-ga asoslangan blokirovka Internetni tsenzura qilishning eng keng tarqalgan usullaridan biridir. Aksariyat tijorat tarmoq qurilmalari bunday blokirovkani sezilarli hisoblash harakatlarisiz amalga oshirish funktsiyalari bilan jihozlangan.
Biroq, ushbu usul texnologiyaning ba'zi xususiyatlari tufayli CDN trafigini blokirovka qilish uchun juda mos kelmaydi:
- Tarqalgan keshlash - kontentning eng yaxshi mavjudligini ta'minlash va ishlashni optimallashtirish uchun CDN tarmoqlari foydalanuvchi tarkibini geografik jihatdan taqsimlangan joylarda joylashgan ko'p sonli chekka serverlarda keshlaydi. Bunday kontentni IP asosida filtrlash uchun tsenzura barcha chekka serverlarning manzillarini aniqlashi va ularni qora ro'yxatga kiritishi kerak bo'ladi. Bu usulning asosiy xususiyatlarini buzadi, chunki uning asosiy afzalligi shundaki, odatiy sxemada bitta serverni bloklash bir vaqtning o'zida ko'p sonli odamlar uchun taqiqlangan tarkibga kirishni "kesish" imkonini beradi.
- Umumiy IP - tijorat CDN provayderlari o'zlarining infratuzilmalarini (masalan, chekka serverlar, xaritalash tizimi va boshqalar) ko'plab mijozlar o'rtasida baham ko'radilar. Natijada, taqiqlangan CDN kontenti taqiqlanmagan kontent bilan bir xil IP manzillardan yuklanadi. Natijada, IP filtrlash bo'yicha har qanday urinish tsenzurani qiziqtirmaydigan juda ko'p saytlar va kontentning bloklanishiga olib keladi.
- Yuqori dinamik IP tayinlash – yuk balansini optimallashtirish va xizmat ko‘rsatish sifatini yaxshilash uchun chekka serverlar va oxirgi foydalanuvchilarni xaritalash juda tez va dinamik tarzda amalga oshiriladi. Misol uchun, Akamai yangilanishlari har daqiqada IP manzillarini qaytardi. Bu manzillarni taqiqlangan kontent bilan bog‘lashni deyarli imkonsiz qiladi.
DNS aralashuvi
IP filtrlashdan tashqari yana bir mashhur tsenzura usuli bu DNS aralashuvidir. Ushbu yondashuv foydalanuvchilarning taqiqlangan kontentga ega resurslarning IP manzillarini tanib olishiga yo'l qo'ymaslikka qaratilgan tsenzuraning harakatlarini o'z ichiga oladi. Ya'ni, aralashuv domen nomini aniqlash darajasida sodir bo'ladi. Buning bir necha yo'li mavjud, jumladan DNS ulanishlarini o'g'irlash, DNSni zaharlash usullaridan foydalanish va taqiqlangan saytlarga DNS so'rovlarini blokirovka qilish.
Bu juda samarali blokirovkalash usuli, ammo agar siz nostandart DNS-ni aniqlash usullaridan, masalan, tarmoqdan tashqari kanallardan foydalansangiz, uni chetlab o'tish mumkin. Shuning uchun tsenzura odatda DNS blokirovkasini IP filtrlash bilan birlashtiradi. Ammo, yuqorida aytib o'tilganidek, IP-filtrlash CDN tarkibini tsenzura qilishda samarali emas.
DPI yordamida URL/kalit so‘zlar bo‘yicha filtrlang
Tarmoq faolligini monitoring qilishning zamonaviy uskunalari uzatiladigan ma'lumotlar paketlaridagi muayyan URL va kalit so'zlarni tahlil qilish uchun ishlatilishi mumkin. Ushbu texnologiya DPI (chuqur paket tekshiruvi) deb ataladi. Bunday tizimlar taqiqlangan so'zlar va resurslar haqida eslatma topadi, shundan so'ng ular onlayn muloqotga xalaqit beradi. Natijada, paketlar shunchaki tashlab yuboriladi.
Bu usul samarali, ammo murakkabroq va resurslarni ko'p talab qiladi, chunki u ma'lum oqimlar ichida yuborilgan barcha ma'lumotlar paketlarini defragmentatsiya qilishni talab qiladi.
CDN tarkibini bunday filtrlashdan "oddiy" tarkib bilan bir xil tarzda himoya qilish mumkin - ikkala holatda ham shifrlashdan foydalanish (ya'ni HTTPS) yordam beradi.
Taqiqlangan manbalarning kalit so'zlari yoki URL manzillarini topish uchun DPI dan foydalanishga qo'shimcha ravishda, ushbu vositalar yanada rivojlangan tahlil uchun ishlatilishi mumkin. Ushbu usullarga onlayn/oflayn trafikning statistik tahlili va identifikatsiya protokollarining tahlili kiradi. Ushbu usullar juda ko'p resurs talab qiladi va hozirda ulardan tsenzura tomonidan etarlicha jiddiy darajada foydalanilganligi haqida hech qanday dalil yo'q.
CDN provayderlarining o'z-o'zini tsenzurasi
Agar tsenzura davlat bo'lsa, unda kontentga kirishni tartibga soluvchi mahalliy qonunlarga bo'ysunmaydigan CDN provayderlarining mamlakatda ishlashini taqiqlash uchun barcha imkoniyatlar mavjud. O'z-o'zini tsenzuraga hech qanday tarzda qarshilik ko'rsatib bo'lmaydi - shuning uchun agar CDN provayder kompaniyasi ma'lum bir mamlakatda ishlashdan manfaatdor bo'lsa, u mahalliy qonunlarga rioya qilishga majbur bo'ladi, hatto ular so'z erkinligini cheklasa ham.
Xitoy CDN tarkibini qanday tsenzura qiladi
Xitoyning Buyuk xavfsizlik devori haqli ravishda Internet tsenzurasini ta'minlashning eng samarali va ilg'or tizimi hisoblanadi.
Tadqiqot metodologiyasi
Olimlar Xitoy ichida joylashgan Linux tugunidan foydalangan holda tajriba o'tkazdilar. Shuningdek, ular mamlakatdan tashqarida bir nechta kompyuterlardan foydalanish imkoniyatiga ega edilar. Birinchidan, tadqiqotchilar tugun boshqa xitoylik foydalanuvchilarga nisbatan qo'llaniladigan tsenzuraga o'xshashligini tekshirishdi - buning uchun ular ushbu mashinadan turli xil taqiqlangan saytlarni ochishga harakat qilishdi. Shunday qilib, bir xil darajadagi tsenzura mavjudligi tasdiqlandi.
Xitoyda CDN ishlatadigan bloklangan veb-saytlar ro'yxati GreatFire.org saytidan olingan. Keyin har bir holatda blokirovka qilish usuli tahlil qilindi.
Ommaviy ma'lumotlarga ko'ra, Xitoyda o'z infratuzilmasiga ega CDN bozoridagi yagona asosiy o'yinchi Akamai hisoblanadi. Tadqiqotda ishtirok etayotgan boshqa provayderlar: CloudFlare, Amazon CloudFront, EdgeCast, Fastly va SoftLayer.
Tajribalar davomida tadqiqotchilar mamlakatdagi Akamai chekka serverlarining manzillarini aniqladilar va keyin ular orqali ruxsat etilgan kontentni keshlashga harakat qilishdi. Taqiqlangan kontentga kirishning iloji bo'lmadi (HTTP 403 Taqiqlangan xato qaytarildi) - aftidan, kompaniya mamlakatda ishlash qobiliyatini saqlab qolish uchun o'zini o'zi tsenzura qilmoqda. Shu bilan birga, ushbu resurslarga kirish mamlakat tashqarisida ochiq qoldi.
Xitoyda infratuzilmaga ega bo'lmagan provayderlar mahalliy foydalanuvchilarni o'z-o'zini senzura qilmaydi.
Boshqa provayderlar misolida, eng ko'p ishlatiladigan blokirovka usuli DNS filtrlash edi - bloklangan saytlarga so'rovlar noto'g'ri IP manzillari bilan hal qilinadi. Shu bilan birga, xavfsizlik devori CDN chekka serverlarining o'zini bloklamaydi, chunki ular taqiqlangan va ruxsat etilgan ma'lumotlarni saqlaydi.
Va agar shifrlanmagan trafik holatida rasmiylar DPI-dan foydalangan holda saytlarning alohida sahifalarini bloklash imkoniyatiga ega bo'lsa, HTTPS-dan foydalanganda ular faqat butun domenga kirishni rad etishlari mumkin. Bu shuningdek, ruxsat etilgan kontentni blokirovka qilishga olib keladi.
Bundan tashqari, Xitoyda ChinaCache, ChinaNetCenter va CDNetworks kabi tarmoqlarni o'z ichiga olgan o'z CDN provayderlari mavjud. Ushbu kompaniyalarning barchasi mamlakat qonunlariga to'liq rioya qiladi va taqiqlangan kontentni bloklaydi.
CacheBrowser: CDN chetlab o'tish vositasi
Tahlil shuni ko'rsatdiki, tsenzorlar uchun CDN tarkibini blokirovka qilish juda qiyin. Shu sababli, tadqiqotchilar oldinga borishga va proksi-server texnologiyasidan foydalanmaydigan onlayn blokni aylanib o'tish vositasini ishlab chiqishga qaror qilishdi.
Asbobning asosiy g'oyasi shundan iboratki, tsenzuralar CDN-larni blokirovka qilish uchun DNS-ga xalaqit berishi kerak, ammo CDN tarkibini yuklash uchun siz aslida domen nomi ruxsatini ishlatishingiz shart emas. Shunday qilib, foydalanuvchi o'ziga kerak bo'lgan tarkibni to'g'ridan-to'g'ri keshlangan chekka serverga murojaat qilish orqali olishi mumkin.
Quyidagi diagrammada tizim dizayni ko'rsatilgan.
Mijoz dasturiy ta'minoti foydalanuvchining kompyuteriga o'rnatiladi va tarkibga kirish uchun oddiy brauzer ishlatiladi.
URL manzili yoki kontent qismi allaqachon so'ralganda, brauzer hosting IP manzilini olish uchun mahalliy DNS tizimiga (LocalDNS) so'rov yuboradi. Oddiy DNS faqat LocalDNS ma'lumotlar bazasida bo'lmagan domenlar uchun so'raladi. Scraper moduli doimiy ravishda so'ralgan URL manzillaridan o'tadi va potentsial bloklangan domen nomlari uchun ro'yxatni qidiradi. Keyin Scraper yangi topilgan bloklangan domenlarni hal qilish uchun Resolver modulini chaqiradi, bu modul vazifani bajaradi va LocalDNS-ga yozuv qo'shadi. Keyin bloklangan domen uchun mavjud DNS yozuvlarini olib tashlash uchun brauzerning DNS keshi tozalanadi.
Agar Resolver moduli domen qaysi CDN provayderiga tegishli ekanligini aniqlay olmasa, u Bootstrapper modulidan yordam so'raydi.
Amalda qanday ishlaydi
Mahsulotning mijoz dasturi Linux uchun joriy qilingan, ammo uni Windows uchun ham osongina ko'chirish mumkin. Oddiy Mozilla brauzeri sifatida ishlatiladi
Firefox. Scraper va Resolver modullari Python-da yozilgan va Customer-to-CDN va CDN-toIP ma'lumotlar bazalari .txt fayllarida saqlanadi. LocalDNS ma'lumotlar bazasi Linuxda odatiy /etc/hosts faylidir.
Natijada, kabi bloklangan URL uchun Skript /etc/hosts faylidan chekka server IP-manzilini oladi va BlockedURL.html ga kirish uchun HTTP GET so'rovini yuboradi, host HTTP sarlavhasi maydonlari bilan:
blocked.com/ and User-Agent: Mozilla/5.0 (Windows
NT 5.1; rv:14.0) Gecko/20100101 Firefox/14.0.1Bootstrapper moduli digwebinterface.com bepul vositasi yordamida amalga oshiriladi. Ushbu DNS rezolyutsiyasini bloklab bo'lmaydi va turli tarmoq mintaqalarida bir nechta geografik taqsimlangan DNS serverlari nomidan DNS so'rovlariga javob beradi.
Ushbu vositadan foydalanib, tadqiqotchilar Xitoyda ijtimoiy tarmoq uzoq vaqtdan beri bloklangan bo'lsa-da, Facebook-ga o'zlarining xitoylik tugunidan kirishga muvaffaq bo'lishdi.
xulosa
Tajriba shuni ko'rsatdiki, CDN tarkibini blokirovka qilishga urinayotganda tsenzura duch keladigan muammolardan foydalanib, bloklarni chetlab o'tish tizimini yaratish mumkin. Ushbu vosita eng kuchli onlayn tsenzura tizimlaridan biriga ega bo'lgan Xitoyda ham bloklarni chetlab o'tish imkonini beradi.
Foydalanish mavzusidagi boshqa maqolalar biznes uchun:
Manba: www.habr.com