Expérience CacheBrowser: Contournement d'un pare-feu chinois sans proxy à l'aide de la mise en cache de contenu

Image: Unsplash

Aujourd'hui, une partie importante de tout le contenu Internet est distribuée à l'aide des réseaux CDN. Ce faisant, des recherches sur la façon dont les différents censeurs étendent leur influence sur ces réseaux. Les scientifiques de l'Université du Massachusetts ont analysé les méthodes possibles de blocage du contenu CDN en utilisant l'exemple des pratiques des autorités chinoises, et ont également développé un outil pour contourner ces verrous.

Nous avons préparé un matériel de revue avec les principales conclusions et résultats de cette expérience.

Présentation

La censure est une menace mondiale à la liberté d'expression sur Internet et au libre accès à l'information. À bien des égards, cela est possible du fait qu'Internet a emprunté le modèle de «communication de bout en bout» aux réseaux téléphoniques des années 70 du siècle dernier. Cela vous permet de bloquer l'accès au contenu ou à la communication utilisateur sans effort ni frais sérieux, simplement en fonction de l'adresse IP. Il existe plusieurs façons de bloquer l'adresse elle-même avec un contenu interdit à bloquer la possibilité pour les utilisateurs de même la reconnaître à l'aide de la manipulation DNS.

Cependant, le développement d'Internet a également conduit à l'émergence de nouveaux modes de diffusion de l'information. L'un d'eux est l'utilisation de contenu mis en cache pour améliorer les performances et accélérer les communications. Aujourd'hui, les fournisseurs de CDN gèrent une quantité importante de tout le trafic dans le monde - seul Akamai, le leader de ce segment, représente jusqu'à 30% du trafic Web statique mondial.

Un réseau CDN est un système distribué pour fournir du contenu Internet à une vitesse maximale. Un réseau CDN typique se compose de serveurs situés dans différents emplacements géographiques qui mettent en cache le contenu afin de le «donner» aux utilisateurs les plus proches de ce serveur. Cela peut augmenter considérablement la vitesse de communication en ligne.

En plus d'améliorer la qualité de service pour les utilisateurs finaux, l'hébergement CDN aide les créateurs de contenu à faire évoluer leurs projets, réduisant ainsi la charge sur l'infrastructure.

Censurer le contenu CDN

Malgré le fait que le trafic CDN représente déjà une part importante de toutes les informations transmises via Internet, il n'y a presque toujours pas de recherche sur la façon dont les censeurs dans le monde réel abordent son contrôle.

Les auteurs de l'étude ont commencé par une étude des techniques de censure applicables aux CDN. Ils ont ensuite examiné les véritables mécanismes utilisés par les autorités chinoises.

Tout d'abord, parlons des méthodes de censure possibles et de la possibilité de leur application pour le contrôle CDN.

Filtrage IP

Il s'agit de la technique de censure Internet la plus simple et la moins chère. En utilisant cette approche, la censure détecte et met en liste noire les adresses IP des ressources hébergeant du contenu interdit. Les fournisseurs de services Internet contrôlés cessent alors de livrer les paquets envoyés à ces adresses.

Le blocage basé sur IP est l'une des méthodes les plus courantes de censure d'Internet. La plupart des périphériques réseau commerciaux sont équipés de fonctionnalités permettant d'effectuer ces verrous sans coût de calcul important.

Cependant, cette méthode n'est pas très appropriée pour bloquer le trafic CDN en raison de certaines propriétés de la technologie elle-même:

• Mise en cache distribuée - pour garantir la meilleure accessibilité du contenu et optimiser les performances, les réseaux CDN mettent en cache le contenu utilisateur sur un grand nombre de serveurs périphériques situés dans des emplacements géographiquement distribués. Pour filtrer ce contenu basé sur IP, le censeur devra trouver les adresses de tous les serveurs de périphérie et les mettre sur liste noire. Cela affectera les principales propriétés de la méthode, car son principal avantage est que, dans le schéma habituel, le blocage d'un serveur vous permet de «couper» immédiatement l'accès au contenu interdit pour un grand nombre de personnes.
• IP partagée - les fournisseurs commerciaux de CDN partagent leur infrastructure (c.-à-d. Serveurs périphériques, système de mappage, etc.) entre plusieurs clients. Par conséquent, le contenu CDN interdit est téléchargé à partir des mêmes adresses IP que le contenu non interdit. En conséquence, toute tentative de filtrage IP entraînera le blocage d'un grand nombre de sites et de contenus qui ne sont pas intéressés par les censeurs.
• Affectation IP hautement dynamique - pour optimiser l'équilibrage de charge et améliorer la qualité de service, le mappage des serveurs de périphérie et des utilisateurs finaux est très rapide et dynamique. Par exemple, Akamai met à jour les adresses IP retournées toutes les minutes. Cela rendra presque impossible d'associer des adresses à un contenu interdit.

Interférence DNS

En plus du filtrage IP, une autre façon populaire de censurer est l'interférence DNS. Cette approche implique les actions des censeurs pour garantir que les utilisateurs ne reconnaissent pas du tout les adresses IP des ressources au contenu interdit. Autrement dit, l'intervention se situe au niveau de la résolution des noms de domaine. Il existe plusieurs façons de procéder, notamment le piratage des connexions DNS, l'utilisation de la technique d'empoisonnement DNS et le blocage des requêtes DNS vers des sites interdits.

C'est un moyen très efficace de bloquer, mais il peut être contourné si vous utilisez des méthodes non standard de résolution DNS, par exemple, des canaux hors bande. Par conséquent, les censeurs combinent généralement le blocage DNS avec le filtrage IP. Mais, comme indiqué ci-dessus, le filtrage IP n'est pas efficace pour censurer le contenu CDN.

Filtrage d'URL / mots clés avec DPI

Un équipement moderne pour surveiller l'activité du réseau peut être utilisé pour analyser des URL et des mots clés spécifiques dans les paquets de données transmis. Cette technologie est appelée DPI (inspection approfondie des paquets). De tels systèmes trouvent des références à des mots et des ressources interdits, après quoi il y a une interférence avec la communication en ligne. En conséquence, les paquets sont simplement abandonnés.

Cette méthode est efficace, mais plus complexe et gourmande en ressources, car elle nécessite une défragmentation de tous les paquets de données envoyés dans certains flux.

Le contenu CDN peut être protégé de ce filtrage ainsi que du contenu «normal» - dans les deux cas, l'utilisation du chiffrement (c'est-à-dire HTTPS) est utile.

En plus d'utiliser DPI pour rechercher des mots clés ou des URL de ressources interdites, ces outils peuvent être utilisés pour une analyse plus avancée. Ces méthodes comprennent l'analyse statistique du trafic en ligne / hors ligne et l'analyse des protocoles d'identification. Ces méthodes sont extrêmement gourmandes en ressources et, pour le moment, rien ne prouve que les censeurs les utilisent suffisamment.

Autocensure des fournisseurs CDN

Si le censeur est un État, il a toutes les chances d'interdire aux fournisseurs de CDN qui ne respectent pas les lois locales régissant l'accès au contenu de travailler dans le pays. L'autocensure ne peut être combattue en aucune façon - par conséquent, si une entreprise de fourniture de CDN souhaite travailler dans un pays, elle sera obligée de se conformer aux lois locales, même si elles restreignent la liberté d'expression.

Comment la Chine censure le contenu CDN

Le grand pare-feu chinois n'est pas déraisonnablement considéré comme le système le plus efficace et le plus avancé pour fournir une censure sur Internet.

Méthodologie de recherche

Les scientifiques ont expérimenté un nœud Linux situé en Chine. Ils avaient également accès à plusieurs ordinateurs à l'étranger. Dans un premier temps, les chercheurs ont vérifié que le nœud était censuré, similaire à celui appliqué aux autres utilisateurs chinois - pour cela, ils ont essayé d'ouvrir divers sites interdits à partir de cette machine. La présence du même niveau de censure a donc été confirmée.

La liste des sites bloqués par CDN en Chine provient de GreatFire.org. Ensuite, une analyse de la méthode de blocage dans chaque cas a été effectuée.

Selon les données ouvertes, Akamai est le seul acteur majeur du marché CDN à disposer de sa propre infrastructure en Chine. Autres fournisseurs impliqués dans l'étude: CloudFlare, Amazon CloudFront, EdgeCast, Fastly et SoftLayer.

Au cours des expériences, les chercheurs ont découvert les adresses des serveurs de périphérie Akamai à l'intérieur du pays, puis ont tenté d'obtenir le contenu autorisé mis en cache à travers eux. Il n'a pas été possible d'accéder à des contenus interdits (HTTP 403 erreur interdite renvoyée) - évidemment, l'entreprise procède à l'autocensure afin de maintenir la possibilité de travailler dans le pays. Parallèlement, l'accès à ces ressources est resté ouvert à l'extérieur du pays.

Les fournisseurs sans infrastructure en Chine n'utilisent pas l'autocensure pour les utilisateurs locaux.

Dans le cas d'autres fournisseurs, la méthode de blocage la plus utilisée était le filtrage DNS - les demandes adressées aux sites bloqués sont résolues en adresses IP non valides. Dans le même temps, le pare-feu ne bloque pas les serveurs CDN périphériques eux-mêmes, car ils stockent à la fois les informations interdites et autorisées.

Et si dans le cas d'un trafic non chiffré, les autorités ont la possibilité de bloquer des pages individuelles de sites en utilisant DPI, alors en utilisant HTTPS, elles ne peuvent que restreindre l'accès à l'ensemble du domaine dans son ensemble. Cela conduit, entre autres, à bloquer le contenu autorisé.

En outre, la Chine a ses propres fournisseurs CDN, y compris des réseaux tels que ChinaCache, ChinaNetCenter et CDNetworks. Toutes ces sociétés respectent pleinement les lois du pays et bloquent les contenus interdits.

CacheBrowser: outil de contournement de verrouillage CDN

Comme l'analyse l'a montré, les censeurs ont du mal à bloquer le contenu CDN. Par conséquent, les chercheurs ont décidé d'aller plus loin et de développer un outil de contournement de blocage en ligne qui n'utiliserait pas la technologie proxy.

L'idée principale de l'outil est que les censeurs doivent interférer avec le fonctionnement du DNS pour bloquer les CDN, mais il n'est pas nécessaire d'utiliser la résolution des noms de domaine pour charger le contenu CDN. Ainsi, l'utilisateur peut obtenir le contenu dont il a besoin en contactant directement le serveur Edge sur lequel il est déjà mis en cache.

Le schéma ci-dessous montre le périphérique système.



Le logiciel client est installé sur l'ordinateur de l'utilisateur; un navigateur standard est utilisé pour accéder au contenu.

Lorsque vous demandez une URL ou une partie du contenu déjà demandé, le navigateur envoie une demande au système DNS local (LocalDNS) pour obtenir l'adresse IP de l'hébergement. Le DNS normal n'est demandé que pour les domaines qui ne figurent pas déjà dans la base de données LocalDNS. Le module Scraper passe constamment par les URL demandées et recherche les noms de domaine potentiellement bloqués dans la liste. Scraper appelle ensuite le module Resolver pour résoudre les domaines bloqués récemment découverts, ce module effectue la tâche et ajoute une entrée à LocalDNS. Ensuite, le cache DNS du navigateur est effacé pour supprimer les enregistrements DNS existants pour le domaine verrouillé.

Si le module Resolver ne peut pas comprendre à quel fournisseur CDN le domaine appartient, il demandera de l'aide au module Bootstrapper.

Comment ça marche dans la pratique

Le logiciel client du produit a été implémenté pour Linux, mais il peut être facilement porté, y compris pour Windows. Le navigateur utilise le Mozilla habituel
Firefox Les modules Scraper et Resolver sont écrits en Python et les bases de données Customer-to-CDN et CDN-toIP sont stockées dans des fichiers .txt. La base de données localDNS est le fichier / etc / hosts standard sous Linux.

Par conséquent, pour une URL bloquée du formulaire bloquée.com, le script recevra l'adresse IP du serveur de périphérie du fichier / etc / hosts et enverra une demande HTTP GET pour accéder à BlockedURL.html avec les champs de l'en-tête HTTP de l'hôte:

blocked.com/ and User-Agent: Mozilla/5.0 (Windows NT 5.1; rv:14.0) Gecko/20100101 Firefox/14.0.1 

Le module Bootstrapper est implémenté à l'aide de l'outil gratuit digwebinterface.com. Ce résolveur DNS ne peut pas être bloqué et il répond aux requêtes DNS au nom de nombreux serveurs DNS répartis géographiquement dans diverses régions du réseau.

Grâce à cet outil, les chercheurs ont réussi à accéder à Facebook à partir de leur nœud chinois - bien que le réseau social soit longtemps bloqué en Chine.

Conclusion

L'expérience a montré que l'utilisation de problèmes rencontrés par les censeurs lors de la tentative de blocage du contenu CDN peut être utilisée pour créer un système de contournement des verrous. Un tel outil vous permet de contourner les verrous même en Chine, où l'un des systèmes de censure en ligne les plus puissants fonctionne.

Autres articles sur l'utilisation des procurations des résidents pour les entreprises:

• Comment les mandataires résidents aident-ils dans les affaires: un cas réel d'utilisation d'Infatica dans l'exploration de données
• Analyse. Fonctionnement des proxys SOCKS: avantages, inconvénients, différences par rapport aux autres technologies
• Comment choisir un réseau proxy pour votre entreprise: 3 conseils pratiques