عصر روز ۲۵ شهریور ماه، کاربران اینترنت در ایران شروع به گزارش کردند که بدون استفاده از ابزارهای دور زدن فیلترینگ، به فیسبوک و توییتر دسترسی دارند. هر چند که در گذشته هم سیستم فیلترینگ ایران (که به فیلترنت معروف است) بارها دچار مشکلاتی شده است و کاربران به راحتی امکان دسترسی به وبسایتها و وبلاگهای مختلف را داشتهاند، اما این بار، این مورد همراه با گشایش فضای سیاسی- اجتماعی در ایران همراه بود به گونهای که احساس کاهش محدودیتها در میان کاربران اینترنت در ایران افزایش پیدا کرده بود.
این دیدگاه مثبت نسبت به بهبود وضعیت اینترنت در ایران دلایل مختلفی داشت که یکی از آنها تغییر حکم اعدام «سعیدملکپور»، برنامهنویس ایرانی- کانادایی به حبس ابد بود.
افزون بر این، نشانههای دیگری نیز برای خوشبینی کاربران ایرانی به بهبود وضع اینترنت وجود داشته است؛ برای نمونه، در ماه گذشته وبسایت «تامبلر» رفع فیلتر شد. هر چند که در ابتدا این احتمال وجود دارد که در دسترس بودن وبسایت «تامبلر» اتفاقی غیرعمدی بوده است چون بیشتر سرورهای میزبان محتوای چندرسانهای مسدود بودند و امکان دسترسی به آنها از داخل کشور وجود نداشت.
در هفتههای پس از این اتفاق هم تمام آدرسهای مربوط به این سرورها در دسترس قرار گرفتند و حساب نیمه رسمی از رهبر ایران، آیتالله سیدعلی خامنهای بر روی «تامبلر» ایجاد شد. اگرچه «تامبلر» به فاصلهای کوتاه، دوباره فیلتر شد. با افزایش استفاده از شبکههای اجتماعی از سوی بخش بزرگی از دولت حسن روحانی (مانند فعالیت بیسابقه وزیر امور خارجه ایران، محمد جواد ظریف بر روی فیسبوک و توییتر) و رفع فیلتر یکباره فیسبوک و توییتر، بسیاری از دیپلماتها و روزنامهنگاران خارجی در توییتهای اولیه خود خبر از مدرن شدن فیلترنت در ایران دادند. هر چند تنها شمار کمی از صاحبنظران بودند که تا صبح روز بعد در مورد وضعیت فیلترنت سخن نگفتند و به جای آن صبر کردند.
سکوت این صاحبنظران درست بود؛ با آمدن صبح، وضعیت فیلترنت به حالت همیشگی و عادی خود بازگشت و ابزارهای دور زدن فیلترینگ برای دسترسی به وبسایتهای مختلف دوباره مورد استفاده قرار گرفت. آزادی ناگهانی اینترنت در ایران بیش از آن که به دلیل باز شدن دیدگاه مسوولان کشور باشد، به این نکته بازمیگردد که ساختار فیلترینگ اینترنت در ایران به چه میزان شکننده است. اگرچه بازگشت وضعیت فیلترنت به حالت سابق به معنی باقی ماندن کاربران ایرانی اینترنت در حالت انزوا است، اما اتفاقی که در ۲۵ شهریور ماه افتاد، دستکم سبب شد تا به درک بهتری از ساختار نامشخص فیلترینگ در ایران برسیم.
برای آسانتر درک این وضعیت، تلاش کردهایم اتفاق رخ داده را با استفاده از دلایل فنی توضیح دهیم که در نقطه مقابل مواردی است که از سوی رسانههای مختلف در ایران ادعا شده است. با این وجود، ما در واکنشهای اولیه دولت به این نکته پی بردهایم که تصمیم رفع فیلترینگ شبکههای اجتماعی از سوی شورای عالی فضای مجازی گرفته میشود.
افزون بر این، در ماه گذشته شاهد تغییر چشمگیری در سیاستها و موضعگیریهای مقامات دولت ایران مانند وزیر ارتباطات و فناوری اطلاعات بودهایم که سبب افزایش چشمگیر خواستههای کاربران اینترنت از دولت روحانی شده است.
یک روز همراه با اینترنت آزاد: چگونگی از کار افتادن فیلترنت
سیستم فیلترینگ در ایران مخلوطی از قوانین قضایی، کنترل فیزیکی بر روی مسیرهایی که ترافیک اینترنت از راه آنها از ایران خارج میشود و جایگاه نه چندان خوب بخش ارتباطات ایران در نگاه فروشندگان بینالمللی تجهیزات مخابراتی است. نکته روشن این است که در طی سالهای گذشته، بارها ثابت شده که چگونه با روشهایی بسیار ساده، امکان دسترسی به محتوایی که در ایران مسدود بوده، وجود داشته است. البته باید این نکته را در نظر داشت که سانسور اینترنت برای جلوگیری از دسترسی کاربران حرفهای به محتوای مسدود شده نیست زیرا هدف اصلی آن ایجاد مشکلاتی برای کاربرانی است که نه فنی هستند و نه آنقدرها باانگیزه که از فیلترنت عبور کنند. به همین دلیل، افسانه فیلترنت، ساختاری ساده از مجموعهای از ابزارهای استاندارد شبکه است تا آن چیزی که در مورد آن گفته و ادعا میشود.
فیلترینگ روزانه محتوای وب در ایران از راه یکی از سه روش و یا مجموعهای از آنها انجام میشود که میتواند از سوی شرکتهای ارایه دهنده خدمات اینترنتی (ISP- آیاسپی) و یا شرکت مخابرات ایران که کنترل زیرساختهای شبکه در کشور را برعهده دارد، باشد.
چگونگی کارکرد اینترنت در حالت عادی
چگونگی فیلتر شدن اینترنت در ایران
اختلال در دیاناس |
مسدود کردن آدرس یا پورت |
فیلتر کردن محتوای وب |
در حالت عادی، زمانی که کاربر تلاش میکند تا به یک وبسایت متصل شود، یک درخواست به دیاناس آن وبسایت ارسال میشود. دیاناسها دایرالمعارفهای سادهای هستند که آدرس آیپی وبسایتهای مختلف را به یک آدرس خوانا و راحت تبدیل میکنند. مثلا با وارد کردن facebook.com، در حقیقت درخواست آدرس آیپی۱۷۳.۲۵۲.۱۱۰.۲۷ ارسال میشود. در روش اختلال در دیاناس، فیلترنت تمامی این درخواستها را میگیرد و پاسخهایی جعلی بدون آن که کاربر متوجه شود، ارسال میکند. |
در روش مسدود کردن آدرس یا پورت، کاربر درخواست دسترسی به یک دامنه را میدهد و پاسخ واقعی را نیز دریافت میکند. اما یک دستگاه بین کاربر و مقصد قرار میگیرد و امکان دریافت تمامی ترافیکی که به یک آدرس خاص ارسال شود را از بین میبرد. برای نمونه، آدرس ۱۷۳.۲۵۲.۱۱۰.۲۷ برای وبسایت فیسبوک. در حالت دقیقتر، این دستگاهها ممکن است تنها ترافیک از یک آدرس یا پورت خاص، کانال مجازی بر روی یک رایانه که برای برخی از برنامهها به کار میرود- در این مورد، پورت ۸۰- را مسدود کنند. مسدود کردن پورت این اجازه را به فیلترنت میدهد که تنها اجازه عبور ترافیک غیررمزگذاری شده را بدهد، اما ترافیک رمزگذاری شده را مسدود کند. |
در این روش کاربر درخواست دسترسی به یک دامنه را میدهد و پاسخ واقعی را نیز دریافت میکند. به دلیل آن که هیچ آدرس یا پورتی مسدود نشده است، دو رایانه برای تبادل اولیه اطلاعات آماده میشوند. هر چند که یک دستگاه میان دو نقطه انتهایی، هر درخواست رد و بدل شده را برای دریافت محتوای وب مورد بررسی قرار میدهد که آیا آن وبسایت یا محتوای وب در لیست سیاه محتوای سانسور شده قرار دارد یا خیر. زمانی که کاربر درخواستی را برای یک دامنه فیلتر مانند facebook.com میفرستد، ابزار مانیتورینگ، نام آن دامنه را در لیست پیدا میکند و پاسخی جعلی بازمیگرداند که شامل پیام مسدود بودن وبسایت است. |
در بیشتر مواقع، «فیلتر کردن محتوای وب» آسانترین و معمولیترین روش برای جلوگیری از دسترسی به محتوای حساسیت برانگیز است. ایجاد اختلال در ترافیک یک آدرس خاص اینترنتی و یا هدایت بازدیدکنندگان به سرورهای دیگر با استفاده از اختلال در دیاناس سخت است چون سبب میشود دسترسی به تمام محتوای آدرس مقصد مسدود شود بدون آن که محتوای موجود اهانتآمیز باشد یا.
فیلتر کردن محتوای وب این اجازه را به مسوولان شبکه میدهد تا با دقت بالایی تنها صفحههای خاصی را مسدود کنند، یا آن که دسترسی به کل یک وبسایت را از بین ببرند. معادل فیلتر کردن محتوای وب را میتوان شنود تماسهای تلفنی از سوی شخص ثالث دانست به گونهای که در تماسهای تلفنی، هر زمان که اسامی یا واژههای ممنوعهای بیان شود، آن تماس تلفنی قطع میشود. شما ممکن است بتوانید با یک شخص مظنون تماس تلفنی برقرار کنید اما زمانی که نام وی را به لب آورید، تماس تلفنی قطع میشود. رمزگذاری- «صحبت کردن به صورت کد» در تماس تلفنی- میتواند سیستم مانیتورینگ را دچار اختلال و سانسور کردن را سختتر کند. افزایش درخواست برای رمزگذاری ترافیک وب (HTTPS)، مانیتور کردن اینترنت را مشکل میکند، به ویژه زمانی که سیستم مانیتورینگ بخواهد درخواستهای ارسال شده را با لیست سیاه وبسایتها چک کند؛ برای نمونه، اگر فیسبوک از رمزگذاری استفاده نمیکرد، دولتها میتوانستند تمام ترافیک درخواست شده به facebook.com و یا یک صفحه خاص بر روی فیسبوک را مشاهده و بررسی کنند. با فعال بودن HTTPS، سیستم سانسور تنها اتصالی را میبیندکه ترافیک آن میان رایانهها و اینترنت نامفهوم است. در نتیجه، سیستم سانسور در بیشتر وقتها کل ترافیک به آدرسهای اینترنتی یا دامنههای شامل محتوای ممنوعه را مسدود میکند؛ مانند آن که خط تلفن فرد مظنون به شکل کامل قطع یا یک شماره تلفن جعلی جایگزین شماره تلفن واقعی او شود.
ایران غالبا هر سه مورد را برای سایتهایی مانند فیسبوک و توییتر پیادهسازی میکند، هر چند که کمی تفاوت در آیاسپیهای مختلف در این زمینه وجود دارد. ما تستهای متفاوتی را بر روی آیاسپیهای مختلف در زمان در دسترس بودن فیسبوک و توییتر انجام دادیم تا در دسترس بودن و تفاوت در شبکههای مختلف مشخص شوند. براساس این تستها، به نظر میرسد که روش فیلتر شدن محتوای وب بر روی فیسبوک و توییتر در روز دوشنبه از کار نیفتاده و درخواستهای معمولی مانند گذشته، کاربر را به صفحه فیلترینگ هدایت میکردهاند. بسیاری از سایتها مانند بیشتر شبکههای اجتماعی، برای حفظ حریم خصوصی کاربران خود، استفاده از اتصال رمزگذاری شده را به شکل پیش فرض بر روی سرویسهای خود فعال کردهاند. به همین دلیل، اگر پیش از این یک کاربر، چه به صورت مستقیم و چه از راه فیلترشکن وارد فیسبوک یا توییتر شده باشد، مرورگر او بدون آن که کاربر متوجه شود، چگونگی اتصال به این وبسایتها را به شکل HTTPS ذخیره میکند. این بدان معناست که ابزارهای مانیتورینگ قادر به مسدود کردن درخواست نخواهند بود. برای مقابله با این مشکل، استفاده از اختلال در دیاناس افزایش پیدا کرده است. برای سانسور کردن اینترنت، اختلال دیاناس یکی از روشهای قابل قبول برای مسدود کردن آدرسهاست هر چند که مشکل هم هست.
اگر یک وبسایت آدرس اینترنتی خود را تغییر دهد، سیستم فیلترینگ باید آن آدرس را به روز کند تا آن وبسایت همچنان مسدود باقی بماند. سایتها در بیشتر وقتها آیپیهای خود را تغییر میدهند و کمتر آدرسهای دامنه را عوض میکنند.
در زمان در دسترس بودن فیسبوک و توییتر، سیستم فیلترینگ برای وبسایتهایی که پیشتر فیلتر بودهاند، شروع به فرستادن مجموعهای از پاسخهای عجیب و غریب کرد (تصویر بالا).
زمانی که یک کاربر، درخواستی برای آدرس اینترنتی فیسبوک میفرستاد، این درخواست نه تنها اختلال در دیاناس را فعال نکرد، بلکه پاسخ فیلترینگ محتوای اینترنت را نیز دریافت کرد (یک پیام HTML).
مورد دوم از سوی رایانه کاربر قابل درک نیست و احتمالا آن را پیش از آن که وی را به آدرس جعلی بفرستد، دریافت میکرده است. این احتمال وجود دارد که این پاسخهای اشتباه از سوی رایانه کاربر نادیده گرفته شوند. با این وضعیت، اخلال دیاناس به درستی کار نخواهد کرد مگر این که آیاسپیها به صورت ویژه، آدرس وبسایتهایی که در لیست سیاه هستند را مسدود کنند. در نتیجه، با نبود اختلال دیاناس، احتمال دارد که اتصالهای HTTPS بدون هیچ مشکلی برقرار شوند. تفاوت میان گزارشهای مختلف در مورد در دسترس بودن سایتها، میتواند ناشی از این نکته باشد که برخی از آیاسپیها به جای آن که کاملا بر روی سیستم سانسور دولتی حساب باز کنند، سیستم پیشتیبانی خود را برای فیلتر کردن محتوا و اخلال دیاناس دارند. این مورد قابل تعجب نیست زیرا براساس قانون جرایم رایانهای و دیگر قوانین، اجرای سیستم فیلترینگ از سوی آیاسپیها اجباری است.
در حالی که در گذشته شرکت مخابرات هیچ آدرس و پورت مسدود شدهای را برای تمام شبکه، در لیست سیاه قرار نمیداده است، در صبح فردای روزی که فیسبوک و توییتر در دسترس بودند، این اتفاق افتاد و تمام ترافیک امنی که به وبسایتهای فیسبوک، توییتر و بالاترین ختم میشدند، بر روی تمام آیاسپیها مسدود شدند. در مدت زمان باز بودن این وبسایتها، تستهای انجام شده برای پیدا کردن این نکته که آیا دسترسی به فیسبوک و توییتر از راه آیاسپیهای مختلف امکانپذیر است یا خیر و آیا از راه اتصال مستقیم به آدرس واقعی وبسایتها بوده است یا خیر، نشان میدهند که در بیشتر موارد، این وبسایتها به شکل مستقیم در دسترس بودهاند. در نیمی از نمونه تستهای انجام شده نیز هیچ دستکاری در دیاناس که بر روی دسترسی کاربر تاثیرگذار بگذارد، مشاهده نشده است. افزون بر این، در بررسیهای انجام شده بر روی دیاناسهای متعلق به شرکت مخابرات نیز تماما آدرس واقعی فیسبوک و توییتر بازگردانده شده است.
در حال حاضر، ترافیک متعلق به آدرسهای شبکههای اجتماعی بر روی برخی مکانها در شبکه شرکت مخابرات ایران میان آدرسهای ۷۸.۳۸.۲۵۵.۱۰۰ و ۱۰.۱۰.۵۳.۲۰۹ (درگاه بینالمللی ایران بر روی آدرس شبکه خصوصی خود) مسدود هستند. این محدودیت کلیه درخواستها بر روی پورت امن برای تمام مجموعه آدرسهای ۱۷۳.۲۵۲.۹۶.۰/۱۹ فیسبوک را پوشش میدهند، اما تنها برای قسمت محدودی از مجموعه آدرسهای توییتر فعال است. آدرسهای متعلق به بالاترین نیز با از بین بردن دسترسی HTTPS به شبکه PageSpeed گوگل، که از سوی بسیاری از وبسایتها به جز بالاترین، برای محافظت خود در برابر حملههای DDoS مورد استفاده قرار میگیرند، مسدود شدهاند.
Traceroute for Twitter Web Server (HTTPS) |
Traceroute for an Address in Same Network |
Tracing 199.16.156.6 on TCP port 443, 30 hops max 1 [hop-1] 0.761 ms 2 [hop-2] 0.560 ms 3 [hop-3] 4.163 ms 4 78.154.32.177 3.591 ms (TCI) 5 78.38.255.100 1.972 ms 6 * * * 7 * * * ... 26 * * * 27 * * * 28 * * * 29 * * * 30 * * * Destination not reached |
Tracing 199.16.155.4 on TCP port 443 , 30 hops max 1 [hop-1] 0.636 ms 2 [hop-2] 22.000 ms 3 [hop-3] 2.963 ms 4 78.154.32.177 2.873 ms 5 78.38.255.100 1.984 ms 6 10.10.53.209 2.261 ms 7 213.155.129.33 201.030 ms (International) ... 17 38.113.166.18 265.772 ms 18 76.74.210.109 280.205 ms 19 199.16.155.4 276.617 ms (Twitter)
|
اطلاعات موجود در صفحه فیلترینگ به ما علت مسدود شدن را توضیح میدهند به گونهای که چه کلمه یا وبسایت خاصی موجب ارسال پیام فیلترینگ شده است. نام یکی از تنظیمات مورد استفاده، policy است که بیشتر وقتها به صورت MainPolicy تنظیم شده است. هماکنون، در پاسخ به یک وبسایت فیلتر شده، مقدار policy به صورت dns-blockty تنظیم میشود. افزون بر این، در حالی که پیش از این ما فکر میکردیم تنها برای چند وبسایتی که بیشترین حساسیتها در مورد آنها وجود دارد، از اختلال در دیاناس استفاده میشود، به دنبال تغییرات اخیر، حدود نیمی از ۱۰۰ وبسایت برتر «آلکسا» دچار مشکل شدهاند.
این تشابه میزان محتوای فیلتر شده از سوی ایران، این نکته را یادآوری میکند که ابزار مشابه و لیست سیاه برای هر دو روش مسدودسازی مورد استفاده قرار میگیرد. این امکان وجود دارد که مدیر شبکه به راحتی تنظیمات لیست سیاه را کپی کرده و ناخواسته، آن را بر روی تنظیمات فیلترینگ وب اجرا کرده باشد که در نتیجه منجر به از کار افتادن فیلترینگ اینترنت شده است.
صرف نظر از قصد واقعی پشت این داستان، این تغییر نوید یک تغییر بسیار بزرگ در سیاست فیلترینگ اینترنت در ایران طی چند سال اخیر را میدهد.
ترافیک در اینترنت از چندین نقطه مختلف رد میشود. بستههای اطلاعاتی از یک نقطه به نقطه دیگر پاس داده میشوند تا از مبدا به مقصد برسند. با استفاده از ابزارهای سادهای مانند Traceroute میتوان تعداد این نقطههای ارتباطی را سنجید. بررسی تعداد نقطههای ارتباطی در سیستم فیلترینگ محتوای وب و اختلال دیاناس، این تئوری را تایید میکند که هر دوی این نوع فیلترینگها با استفاده از یک ابزار اعمال میشوند. هر دو مورد از درجه بالای خطا برای تشخیص و مسدود کردن وبسایتها، حتی در ساختارهای استاندارد برخورد هستند؛ برای نمونه، اگر درخواست برای دسترسی به محتوای فیلتر شده با یک فاصله غیرضروری در آدرس ارسال شود، آن درخواست قابل پیگیری نیست. به شکل مشابه، اگر یک درخواست دیاناس شامل موارد غیرمعمول باشد (مانند No Recursion)، این مورد نیز میتواند فیلترنت را دور بزند.
دوباره باید بر روی این نکته تاکید شود که نقش دستگاه سانسور در ایران ایجاد اختلال برای کاربران متوسط است نه کاربران حرفهای. با توجه به شواهد موجود، روشن است که مرکز ساختار فیلترینگ اینترنت در ایران به صورت شوکهکنندهای غیرهوشمند است و به شکل ابتدایی اجرا میشود.
Content Filter Response from DNS Query |
TCI DNS DNS Query (217.218.155.155) for Facebook |
HTTP/1.1 403 Forbidden Connection:close <html><head><meta http-equiv="Content-Type" content="text/html; charset=windows-1256"><title>M6-5 </title></head><body><iframe src="http://10.10.34.34?type=Invalid Site&policy=dns-blockty) " style="width: 100%; height: 100%" scrolling="no" marginwidth="0" marginheight="0" frameborder="0" vspace="0" hspace="0"></iframe></body></html> |
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 2, ADDITIONAL: 2
;; QUESTION SECTION: ;facebook.com. IN A
;; ANSWER SECTION: facebook.com. 724 IN A 173.252.110.27
;; AUTHORITY SECTION: facebook.com. 28163 IN NS a.ns.facebook.com. facebook.com. 28163 IN NS b.ns.facebook.com.
;; ADDITIONAL SECTION: a.ns.facebook.com. 129483 IN A 69.171.239.12 b.ns.facebook.com. 90143 IN A 69.171.255.12 |
خبرگزاری «تسنیم» و صدا و سیما جمهوری اسلامی ایران علت در دسترس بودن فیسبوک را ناشی از دامنه جدیدی از آدرسهای اینترنت برای این وبسایت اعلام کردهاند. اگر این مورد درست باشد، سوالی که پیش میآید آن است که چرا درخواست مستقیم به فیسبوک مسدود نبوده است. هر چند اطلاعات به دست آمده از سرویس Domain Tools، نشان میدهد که آدرس بازگشته از سوی فیسبوک در زمان نوشتن این گزارش، ۱۷۳.۲۵۲.۱۱۰.۲۷ بوده که دستکم از حدود یک سال پیش از سوی فیسبوک مورد استفاده قرار گرفته است. افزون بر این، این مورد نمیتواند دسترسی همزمان به توییتر، بالاترین و دیگر وبسایتهایی که از SSL پشتیبانی میکنند را توجیه کند. در ضمن، اگر اختلال دیاناس به خوبی کار میکرد، تغییر آدرس استفاده شده از سوی فیسبوک تاثیری بر روی فیلترینگ این وبسایت نمیگذاشت. در پایان باید این نکته را یادآوری کنیم که این رخداد در شامگاه روز دوشنبه به وقت ایران رخ داده است که از نگاه نویسندگان این گزارش، زمانی است که بیشترین تغییرات در زیرساختهای شبکه، از جمله فیلترنت در ایران رخ میدهد.
آدرسهای اینترنتی فیسبوک |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
از بخش پاسخگویی دیدن کنید
در این بخش ایران وایر میتوانید با مسوولان تماس بگیرید و کارزار خود را برای مشکلات مختلف راهاندازی کنید
ثبت نظر