CacheBrowser-Experiment: Umgehen einer chinesischen Firewall ohne Proxy mithilfe von Content-Caching

Bild: Unsplash

Heute wird ein erheblicher Teil aller Internetinhalte über CDN-Netzwerke verbreitet. Dabei wird untersucht, wie verschiedene Zensoren ihren Einfluss auf solche Netzwerke ausbreiten. Wissenschaftler der University of Massachusetts analysierten mögliche Methoden zum Blockieren von CDN-Inhalten am Beispiel der Praktiken der chinesischen Behörden und entwickelten ein Tool zur Umgehung solcher Sperren.

Wir haben ein Übersichtsmaterial mit den wichtigsten Schlussfolgerungen und Ergebnissen dieses Experiments erstellt.

Einführung

Zensur ist eine globale Bedrohung für die Meinungsfreiheit im Internet und den freien Zugang zu Informationen. Dies ist in vielerlei Hinsicht möglich, weil das Internet das Modell der „End-to-End-Kommunikation“ aus den Telefonnetzen der 70er Jahre des letzten Jahrhunderts übernommen hat. Auf diese Weise können Sie den Zugriff auf Inhalte oder die Benutzerkommunikation ohne großen Aufwand oder Aufwand blockieren, einfach basierend auf der IP-Adresse. Es gibt verschiedene Möglichkeiten, die Adresse selbst mit verbotenen Inhalten zu blockieren oder die Möglichkeit für Benutzer zu blockieren, sie sogar mithilfe der DNS-Manipulation zu erkennen.

Die Entwicklung des Internet hat jedoch auch zu neuen Wegen der Verbreitung von Informationen geführt. Eine davon ist die Verwendung von zwischengespeicherten Inhalten, um die Leistung zu verbessern und die Kommunikation zu beschleunigen. Heute wickeln CDN-Anbieter einen erheblichen Teil des gesamten Datenverkehrs der Welt ab - nur Akamai, der Marktführer in diesem Segment, macht bis zu 30% des globalen statischen Webverkehrs aus.

Ein CDN-Netzwerk ist ein verteiltes System zur Bereitstellung von Internetinhalten mit maximaler Geschwindigkeit. Ein typisches CDN-Netzwerk besteht aus Servern an verschiedenen geografischen Standorten, die Inhalte zwischenspeichern, um sie den Benutzern zu "geben", die diesem Server am nächsten sind. Dies kann die Geschwindigkeit der Online-Kommunikation erheblich erhöhen.

Das CDN-Hosting verbessert nicht nur die Servicequalität für Endbenutzer, sondern hilft auch den Erstellern von Inhalten, ihre Projekte zu skalieren und die Infrastruktur zu entlasten.

Zensieren von CDN-Inhalten

Trotz der Tatsache, dass der CDN-Verkehr bereits einen erheblichen Anteil aller über das Internet übertragenen Informationen ausmacht, gibt es noch fast keine Untersuchungen darüber, wie Zensoren in der realen Welt sich ihrer Kontrolle nähern.

Die Autoren der Studie begannen mit einer Studie über Zensurtechniken, die auf CDNs angewendet werden können. Anschließend untersuchten sie die tatsächlichen Mechanismen, die die chinesischen Behörden anwenden.

Lassen Sie uns zunächst über die möglichen Zensurmethoden und die Möglichkeit ihrer Anwendung für die CDN-Kontrolle sprechen.

IP-Filterung

Dies ist die einfachste und billigste Internet-Zensurmethode. Mit diesem Ansatz erkennt und zensiert der Zensor die IP-Adressen von Ressourcen, die verbotene Inhalte hosten. Dann stellen kontrollierte Internetdienstanbieter die Zustellung von an solche Adressen gesendeten Paketen ein.

IP-basiertes Blockieren ist eine der häufigsten Methoden zur Zensur des Internets. Die meisten kommerziellen Netzwerkgeräte sind mit Funktionen ausgestattet, mit denen diese Sperren ohne nennenswerten Rechenaufwand ausgeführt werden können.

Diese Methode ist jedoch aufgrund einiger Eigenschaften der Technologie selbst nicht sehr gut zum Blockieren des CDN-Verkehrs geeignet:

• Verteiltes Caching - Um den bestmöglichen Zugriff auf Inhalte zu gewährleisten und die Leistung zu optimieren, speichern CDN-Netzwerke Benutzerinhalte auf einer großen Anzahl von Edgeservern an geografisch verteilten Standorten. Um solche IP-basierten Inhalte zu filtern, muss der Zensor die Adressen aller Edgeserver ermitteln und auf die schwarze Liste setzen. Dies wirkt sich auf die Haupteigenschaften der Methode aus, da der Hauptvorteil darin besteht, dass Sie durch das Blockieren eines Servers im üblichen Schema den Zugriff auf verbotene Inhalte für eine große Anzahl von Personen sofort abbrechen können.
• Shared IP - Kommerzielle CDN-Anbieter teilen ihre Infrastruktur (d. H. Edgeserver, Mapping-System usw.) zwischen mehreren Clients. Infolgedessen wird der verbotene CDN-Inhalt von denselben IP-Adressen heruntergeladen wie der nicht verbotene Inhalt. Infolgedessen führt jeder Versuch der IP-Filterung dazu, dass eine große Anzahl von Websites und Inhalten, die nicht an Zensoren interessiert sind, ebenfalls blockiert werden.
• Hochdynamische IP-Zuweisung - Um den Lastausgleich zu optimieren und die Servicequalität zu verbessern, ist die Zuordnung von Edgeservern und Endbenutzern sehr schnell und dynamisch. Beispielsweise aktualisiert Akamai die zurückgegebenen IP-Adressen jede Minute. Dadurch wird es fast unmöglich, Adressen mit verbotenen Inhalten zu verknüpfen.

DNS-Interferenz

Neben der IP-Filterung ist die DNS-Interferenz eine weitere beliebte Methode zur Zensur. Dieser Ansatz beinhaltet die Aktionen von Zensoren, um sicherzustellen, dass Benutzer die IP-Adressen von Ressourcen mit verbotenem Inhalt überhaupt nicht erkennen. Das heißt, der Eingriff erfolgt auf der Ebene der Auflösung von Domainnamen. Es gibt verschiedene Möglichkeiten, dies zu tun, einschließlich des Hackens von DNS-Verbindungen, der Verwendung der DNS-Vergiftungstechnik und des Blockierens von DNS-Abfragen an gesperrte Websites.

Dies ist eine sehr effektive Methode zum Blockieren. Sie kann jedoch umgangen werden, wenn Sie nicht standardmäßige Methoden zum Auflösen von DNS verwenden, z. B. Out-of-Band-Kanäle. Daher kombinieren Zensoren normalerweise DNS-Blockierung mit IP-Filterung. Wie oben erwähnt, ist die IP-Filterung jedoch nicht wirksam, um CDN-Inhalte zu zensieren.

URL- / Keyword-Filterung mit DPI

Moderne Geräte zur Überwachung der Netzwerkaktivität können verwendet werden, um bestimmte URLs und Schlüsselwörter in den übertragenen Datenpaketen zu analysieren. Diese Technologie wird als DPI (Deep Packet Inspection) bezeichnet. Solche Systeme finden Verweise auf verbotene Wörter und Ressourcen, wonach die Online-Kommunikation gestört wird. Infolgedessen werden Pakete einfach verworfen.

Diese Methode ist effektiv, aber komplexer und ressourcenintensiver, da alle in bestimmten Streams gesendeten Datenpakete defragmentiert werden müssen.

CDN-Inhalte können sowohl vor solchen Filtern als auch vor "normalen" Inhalten geschützt werden. In beiden Fällen hilft die Verwendung von Verschlüsselung (dh HTTPS).

Zusätzlich zur Verwendung von DPI zur Suche nach Schlüsselwörtern oder URLs verbotener Ressourcen können diese Tools für erweiterte Analysen verwendet werden. Solche Verfahren umfassen die statistische Analyse des Online- / Offline-Verkehrs und die Analyse von Identifikationsprotokollen. Diese Methoden sind äußerst ressourcenintensiv und es gibt derzeit einfach keine Hinweise darauf, dass Zensoren sie in ausreichendem Maße anwenden.

Selbstzensur von CDN-Anbietern

Wenn der Zensor ein Staat ist, hat er jede Möglichkeit, CDN-Anbietern, die die lokalen Gesetze zum Zugang zu Inhalten nicht einhalten, die Arbeit im Land zu verbieten. Selbstzensur kann in keiner Weise widerstanden werden. Wenn ein CDN-Anbieter an einer Arbeit in einem bestimmten Land interessiert ist, muss es die örtlichen Gesetze einhalten, auch wenn sie die Meinungsfreiheit einschränken.

Wie China CDN-Inhalte zensiert

Die große chinesische Firewall gilt nicht unangemessen als das effektivste und fortschrittlichste System zur Bereitstellung von Internet-Zensur.

Forschungsmethodik

Wissenschaftler experimentierten mit einem Linux-Knoten in China. Sie hatten auch Zugang zu mehreren Computern im Ausland. Zunächst überprüften die Forscher, ob der Knoten zensiert wurde, ähnlich wie bei anderen chinesischen Benutzern. Dazu versuchten sie, verschiedene verbotene Sites von diesem Computer aus zu öffnen. So wurde das Vorhandensein der gleichen Zensur bestätigt.

Die Liste der CDN-blockierten Websites in China wurde von GreatFire.org übernommen. Anschließend wurde jeweils eine Analyse der Blockierungsmethode durchgeführt.

Laut Open Data ist Akamai der einzige große Player auf dem CDN-Markt mit einer eigenen Infrastruktur in China. Andere an der Studie beteiligte Anbieter: CloudFlare, Amazon CloudFront, EdgeCast, Fastly und SoftLayer.

Während der Experimente fanden die Forscher die Adressen der Akamai-Edgeserver im Land heraus und versuchten dann, zwischen ihnen zwischengespeicherte zulässige Inhalte zu erhalten. Es war nicht möglich, auf verbotene Inhalte zuzugreifen (HTTP 403 Verbotener Fehler zurückgegeben) - offensichtlich führt das Unternehmen eine Selbstzensur durch, um die Möglichkeit einer Arbeit im Land aufrechtzuerhalten. Gleichzeitig blieb der Zugang zu diesen Ressourcen außerhalb des Landes offen.

Anbieter ohne Infrastruktur in China verwenden keine Selbstzensur für lokale Benutzer.

Bei anderen Anbietern war die DNS-Filterung die am häufigsten verwendete Blockierungsmethode. Anforderungen an blockierte Sites werden in ungültige IP-Adressen aufgelöst. Gleichzeitig blockiert die Firewall die Edge-CDN-Server selbst nicht, da sie sowohl verbotene als auch zulässige Informationen speichern.

Und wenn die Behörden bei unverschlüsseltem Datenverkehr die Möglichkeit haben, einzelne Seiten von Websites mithilfe von DPI zu blockieren, können sie mithilfe von HTTPS nur den Zugriff auf die gesamte Domäne als Ganzes einschränken. Dies führt unter anderem dazu, dass zulässige Inhalte blockiert werden.

Darüber hinaus verfügt China über eigene CDN-Anbieter, darunter Netzwerke wie ChinaCache, ChinaNetCenter und CDNetworks. Alle diese Unternehmen halten sich vollständig an die Gesetze des Landes und blockieren verbotene Inhalte.

CacheBrowser: CDN-Sperr-Bypass-Tool

Wie die Analyse gezeigt hat, fällt es Zensoren schwer, CDN-Inhalte zu blockieren. Daher beschlossen die Forscher, ein Online-Blocking-Bypass-Tool zu entwickeln, das keine Proxy-Technologie verwendet.

Die Hauptidee des Tools besteht darin, dass Zensoren den Betrieb von DNS zum Blockieren von CDNs stören müssen, es jedoch nicht erforderlich ist, die Auflösung von Domänennamen zum Laden von CDN-Inhalten zu verwenden. Auf diese Weise kann der Benutzer den benötigten Inhalt erhalten, indem er sich direkt an den Edgeserver wendet, auf dem er bereits zwischengespeichert ist.

Das folgende Diagramm zeigt das Systemgerät.



Die Client-Software ist auf dem Computer des Benutzers installiert. Ein normaler Browser wird verwendet, um auf den Inhalt zuzugreifen.

Wenn Sie eine URL oder einen Teil des bereits angeforderten Inhalts anfordern, sendet der Browser eine Anfrage an das lokale DNS-System (LocalDNS), um die IP-Adresse des Hostings abzurufen. Normales DNS wird nur für Domänen angefordert, die sich nicht bereits in der LocalDNS-Datenbank befinden. Das Scraper-Modul durchsucht ständig die angeforderten URLs und sucht in der Liste nach potenziell blockierten Domainnamen. Anschließend ruft Scraper das Resolver-Modul auf, um neu entdeckte blockierte Domänen aufzulösen. Dieses Modul führt die Aufgabe aus und fügt LocalDNS einen Eintrag hinzu. Anschließend wird der DNS-Cache des Browsers gelöscht, um vorhandene DNS-Einträge für die gesperrte Domäne zu entfernen.

Wenn das Resolver-Modul nicht verstehen kann, zu welchem ​​CDN-Anbieter die Domäne gehört, bittet es das Bootstrapper-Modul um Hilfe.

Wie es in der Praxis funktioniert

Die Client-Software des Produkts wurde für Linux implementiert, kann jedoch problemlos portiert werden, auch für Windows. Der Browser verwendet das übliche Mozilla
Firefox Die Scraper- und Resolver-Module sind in Python geschrieben, und die Customer-to-CDN- und CDN-toIP-Datenbanken werden in TXT-Dateien gespeichert. Die localDNS-Datenbank ist die reguläre Datei / etc / hosts unter Linux.

Infolgedessen empfängt das Skript für eine blockierte URL des Formulars block.com die IP-Adresse des Edgeservers aus der Datei / etc / hosts und sendet eine HTTP-GET-Anforderung für den Zugriff auf BlockedURL.html mit den Feldern des Host-HTTP-Headers:

blocked.com/ and User-Agent: Mozilla/5.0 (Windows NT 5.1; rv:14.0) Gecko/20100101 Firefox/14.0.1 

Das Bootstrapper-Modul wird mit dem kostenlosen Tool digwebinterface.com implementiert. Dieser DNS-Resolver kann nicht blockiert werden und beantwortet DNS-Anfragen im Namen vieler geografisch verteilter DNS-Server in verschiedenen Netzwerkregionen.

Mit diesem Tool gelang es den Forschern, von ihrem chinesischen Knoten aus auf Facebook zuzugreifen - obwohl das soziale Netzwerk in China seit langem blockiert ist.

Fazit

Das Experiment zeigte, dass die Verwendung von Problemen, die Zensoren beim Blockieren von CDN-Inhalten haben, verwendet werden kann, um ein System zum Umgehen von Sperren zu erstellen. Mit einem solchen Tool können Sie Sperren auch in China umgehen, wo eines der leistungsstärksten Online-Zensursysteme funktioniert.

Weitere Artikel zur Verwendung gebietsansässiger Stimmrechtsvertreter für Unternehmen:

• Wie gebietsansässige Proxys im Geschäftsleben helfen: Ein realer Fall der Verwendung von Infatica in Data Mining
• Parsen. Funktionsweise von SOCKS-Proxys: Vor- und Nachteile, Unterschiede zu anderen Technologien
• So wählen Sie ein Proxy-Netzwerk für Ihr Unternehmen aus: 3 praktische Tipps