Imagem: UnsplashHoje, uma parte significativa de todo o conteúdo da Internet é distribuída usando redes CDN. Ao fazer isso, pesquise sobre como vários censores espalham sua influência nessas redes. Cientistas da Universidade de Massachusetts
analisaram possíveis métodos de bloqueio do conteúdo de CDN usando o exemplo das práticas das autoridades chinesas e também desenvolveram uma ferramenta para contornar tais bloqueios.
Preparamos um material de revisão com as principais conclusões e resultados deste experimento.
1. Introdução
A censura é uma ameaça global à liberdade de expressão na Internet e ao livre acesso à informação. De várias maneiras, isso é possível devido ao fato de a Internet ter emprestado o modelo de "comunicação de ponta a ponta" das redes telefônicas da década de 70 do século passado. Isso permite bloquear o acesso ao conteúdo ou à comunicação do usuário sem grandes esforços ou despesas, simplesmente com base no endereço IP. Existem várias maneiras de bloquear o endereço em si com conteúdo proibido e bloquear a capacidade dos usuários de reconhecê-lo usando a manipulação de DNS.
No entanto, o desenvolvimento da Internet também levou ao surgimento de novas maneiras de disseminar informações. Um deles é o uso de conteúdo em cache para melhorar o desempenho e acelerar as comunicações. Hoje, os fornecedores de CDN lidam com uma quantidade significativa de todo o tráfego no mundo - apenas a Akamai, líder nesse segmento, responde por até 30% do tráfego estático da Web global.
Uma rede CDN é um sistema distribuído para fornecer conteúdo da Internet na velocidade máxima. Uma rede CDN típica consiste em servidores em várias localizações geográficas que armazenam em cache o conteúdo para "fornecê-lo" aos usuários mais próximos desse servidor. Isso pode aumentar significativamente a velocidade da comunicação online.
Além de melhorar a qualidade do serviço para os usuários finais, a hospedagem CDN ajuda os criadores de conteúdo a escalar seus projetos, reduzindo a carga na infraestrutura.
Censurando o conteúdo da CDN
Apesar do fato de o tráfego da CDN já representar uma parcela significativa de todas as informações transmitidas pela Internet, quase não há pesquisas sobre como os censores no mundo real abordam seu controle.
Os autores do estudo começaram com um estudo de técnicas de censura que podem ser aplicadas às CDNs. Eles então examinaram os mecanismos reais que as autoridades chinesas estão usando.
Primeiro, vamos falar sobre os possíveis métodos de censura e a possibilidade de sua aplicação para o controle da CDN.
Filtragem IP
Essa é a técnica de censura na Internet mais fácil e barata. Usando essa abordagem, o censor detecta e coloca na lista negra os endereços IP de recursos que hospedam conteúdo proibido. Os provedores de serviços de Internet controlados param de entregar os pacotes enviados para esses endereços.
O bloqueio baseado em IP é um dos métodos mais comuns de censura à Internet. A maioria dos dispositivos de rede comercial é equipada com recursos para executar esses bloqueios sem custo computacional significativo.
No entanto, esse método não é muito adequado para bloquear o tráfego de CDN devido a algumas propriedades da própria tecnologia:
- Armazenamento em cache distribuído - para garantir a melhor acessibilidade do conteúdo e otimizar o desempenho, as redes CDN armazenam em cache o conteúdo do usuário em um grande número de servidores de borda localizados em locais geograficamente distribuídos. Para filtrar esse conteúdo baseado em IP, o censor precisará descobrir os endereços de todos os servidores de borda e colocá-los na lista negra. Isso atingirá as principais propriedades do método, porque sua principal vantagem é que, no esquema usual, o bloqueio de um servidor permite "interromper" o acesso ao conteúdo proibido imediatamente para um grande número de pessoas.
- IP compartilhado - os provedores comerciais de CDN compartilham sua infraestrutura (ou seja, servidores de borda, sistema de mapeamento etc.) entre vários clientes. Como resultado, o conteúdo da CDN proibido é baixado dos mesmos endereços IP do conteúdo não proibido. Como resultado, qualquer tentativa de filtragem de IP levará ao fato de que um grande número de sites e conteúdos que não estão interessados em censores também serão bloqueados.
- Atribuição de IP altamente dinâmica - para otimizar o balanceamento de carga e melhorar a qualidade do serviço, o mapeamento de servidores de borda e usuários finais é muito rápido e dinâmico. Por exemplo, a Akamai atualiza os endereços IP retornados a cada minuto. Isso tornará quase impossível associar endereços a conteúdo proibido.
Interferência DNS
Além da filtragem de IP, outra maneira popular de censurar é a interferência no DNS. Essa abordagem envolve as ações dos censores para garantir que os usuários não reconheçam os endereços IP de recursos com conteúdo proibido. Ou seja, a intervenção está no nível da resolução de nomes de domínio. Existem várias maneiras de fazer isso, incluindo invadir conexões DNS, usar a técnica de envenenamento por DNS e bloquear consultas DNS em sites proibidos.
Essa é uma maneira muito eficaz de bloquear, mas pode ser contornada se você usar métodos não padrão de resolução de DNS, por exemplo, canais fora de banda. Portanto, os censores normalmente combinam o bloqueio de DNS com a filtragem de IP. Mas, como mencionado acima, a filtragem de IP não é eficaz para censurar o conteúdo da CDN.
Filtragem de URL / palavra-chave com DPI
Equipamentos modernos para monitorar a atividade da rede podem ser usados para analisar URLs e palavras-chave específicas nos pacotes de dados transmitidos. Essa tecnologia é chamada DPI (inspeção profunda de pacotes). Esses sistemas encontram referências a palavras e recursos proibidos, após o que há uma interferência na comunicação online. Como resultado, os pacotes são simplesmente descartados.
Esse método é eficaz, mas mais complexo e consome muitos recursos, pois requer a desfragmentação de todos os pacotes de dados enviados em determinados fluxos.
O conteúdo da CDN pode ser protegido contra essa filtragem e também o conteúdo "regular" - nos dois casos, o uso da criptografia (ou seja, HTTPS) ajuda.
Além de usar o DPI para pesquisar palavras-chave ou URLs de recursos proibidos, essas ferramentas podem ser usadas para análises mais avançadas. Tais métodos incluem análise estatística de tráfego online / offline e análise de protocolos de identificação. Esses métodos são extremamente intensivos em recursos e, no momento, simplesmente não há evidências de que os censores os usem em uma quantidade suficientemente séria.
Autocensura dos provedores de CDN
Se o censor for um estado, ele terá toda a oportunidade de proibir que os provedores de CDN que não cumpram as leis locais que regem o acesso ao conteúdo trabalhem no país. A autocensura não pode ser resistida de forma alguma - portanto, se uma empresa provedora de CDN estiver interessada em trabalhar em um país, será forçada a cumprir as leis locais, mesmo que restrinjam a liberdade de expressão.
Como o conteúdo da CDN da China Censors
O grande firewall chinês não é considerado irracionalmente o sistema mais eficaz e avançado para fornecer censura na Internet.
Metodologia de pesquisa
Os cientistas experimentaram um nó Linux localizado na China. Eles também tiveram acesso a vários computadores no exterior. Inicialmente, os pesquisadores verificaram que o nó estava censurado, semelhante ao aplicado a outros usuários chineses - para isso, tentaram abrir vários sites proibidos a partir desta máquina. Portanto, a presença do mesmo nível de censura foi confirmada.
A lista de sites bloqueados por CDN na China foi retirada do GreatFire.org. Em seguida, foi realizada uma análise do método de bloqueio em cada caso.
Segundo dados abertos, a Akamai é o único grande player no mercado de CDN com infraestrutura própria na China. Outros provedores envolvidos no estudo: CloudFlare, Amazon CloudFront, EdgeCast, Fastly e SoftLayer.
Durante os experimentos, os pesquisadores descobriram os endereços dos servidores de borda da Akamai dentro do país e tentaram obter o conteúdo permitido em cache por meio deles. Não foi possível acessar o conteúdo proibido (erro HTTP 403 Proibido retornado) - obviamente, a empresa realiza autocensura para manter a possibilidade de trabalhar no país. Ao mesmo tempo, o acesso a esses recursos permaneceu aberto fora do país.
Fornecedores sem infraestrutura na China não usam autocensura para usuários locais.
No caso de outros provedores, o método mais comum de bloqueio era a filtragem de DNS - as solicitações para sites bloqueados são resolvidas para endereços IP inválidos. Ao mesmo tempo, o firewall não bloqueia os servidores CDN de ponta, pois eles armazenam informações proibidas e permitidas.
E se no caso de tráfego não criptografado, as autoridades tiverem a oportunidade de bloquear páginas individuais de sites usando DPI, usando HTTPS, elas poderão restringir o acesso a todo o domínio como um todo. Isso leva, entre outras coisas, ao bloqueio de conteúdo permitido.
Além disso, a China possui seus próprios provedores de CDN, incluindo redes como ChinaCache, ChinaNetCenter e CDNetworks. Todas essas empresas cumprem totalmente as leis do país e bloqueiam conteúdo proibido.
CacheBrowser: ferramenta de desvio de bloqueio CDN
Como a análise mostrou, os censores acham difícil bloquear o conteúdo da CDN. Portanto, os pesquisadores decidiram ir além e desenvolver uma ferramenta de desvio de bloqueio on-line que não usaria a tecnologia proxy.
A idéia principal da ferramenta é que os censores precisam interferir na operação do DNS para bloquear as CDNs, mas não é necessário usar a resolução de nomes de domínio para carregar o conteúdo da CDN. Assim, o usuário pode obter o conteúdo necessário entrando em contato diretamente com o servidor de borda no qual ele já está armazenado em cache.
O diagrama abaixo mostra o dispositivo do sistema.
O software cliente está instalado no computador do usuário e um navegador comum é usado para acessar o conteúdo.
Ao solicitar uma URL ou parte do conteúdo já solicitado, o navegador envia uma solicitação ao sistema DNS local (LocalDNS) para obter o endereço IP da hospedagem. O DNS normal é solicitado apenas para domínios que ainda não estão no banco de dados LocalDNS. O módulo Raspador passa constantemente pelos URLs solicitados e procura por nomes de domínio potencialmente bloqueados na lista. Em seguida, o Scraper chama o módulo Resolver para resolver domínios bloqueados descobertos recentemente, esse módulo executa a tarefa e adiciona uma entrada ao LocalDNS. Em seguida, o cache DNS do navegador é limpo para remover os registros DNS existentes do domínio bloqueado.
Se o módulo Resolver não conseguir entender a qual provedor de CDN o domínio pertence, ele solicitará ajuda ao módulo Bootstrapper.
Como funciona na prática
O software cliente do produto foi implementado para Linux, mas pode ser facilmente portado, inclusive para Windows. O navegador usa o Mozilla usual
Firefox Os módulos Scraper e Resolver são gravados em Python, e os bancos de dados Customer-to-CDN e CDN-toIP são armazenados em arquivos .txt. O banco de dados localDNS é o arquivo / etc / hosts normal no Linux.
Como resultado, para um URL bloqueado do formulário
locked.com, o script receberá o endereço IP do servidor de borda do arquivo / etc / hosts e enviará uma solicitação HTTP GET para acessar BlockedURL.html com os campos do cabeçalho HTTP do host:
blocked.com/ and User-Agent: Mozilla/5.0 (Windows NT 5.1; rv:14.0) Gecko/20100101 Firefox/14.0.1
O módulo Bootstrapper é implementado usando a ferramenta digwebinterface.com gratuita. Esse resolvedor de DNS não pode ser bloqueado e responde a consultas de DNS em nome de muitos servidores DNS distribuídos geograficamente em várias regiões da rede.
Usando essa ferramenta, os pesquisadores conseguiram acessar o Facebook a partir de seu nó chinês - embora a rede social esteja bloqueada na China há muito tempo.
Conclusão
O experimento mostrou que o uso de problemas que os censores experimentam ao tentar bloquear o conteúdo da CDN pode ser usado para criar um sistema para contornar bloqueios. Essa ferramenta permite ignorar bloqueios, mesmo na China, onde um dos mais poderosos sistemas de censura online opera.
Outros artigos sobre o uso de proxies residentes para negócios: