CDN'nin arkasındaki bir sitenin İran'da barındırıldığını doğrulamak için 'Boobs check' tekniği

 (twitter.com/hkashfi)
1 puan yazan GN⁺ 2025-12-02 | 1 yorum | WhatsApp'ta paylaş
  • CDN arkasındaki bir sitenin İran içi bir sunucuda barındırılıp barındırılmadığını doğrulamanın basit bir istek yöntemi olarak curl -i https://domain/boobs.jpg isteği kullanılır
  • İstek sonucu 403 Forbidden olup gövdede 10.10.34.x aralığındaki IP görülüyorsa, bu durum trafiğin İran içi filtreleme sisteminden geçerek yanıtlandığını gösterir
  • Bu, İran'daki temel sansür filtrelemesi uygulandığında meydana gelen tipik bir yanıt paterni olarak açıklanır
  • Hedef site için bir CDN yapılsa bile, sitenin fiziksel olarak İran içinde olması durumunda bu desenin yüksek olasılıkla görülür

İlgili okumalar

1 yorum

 
GN⁺ 2025-12-02
Hacker News görüşü

  • Bu davranış yalnızca reverse proxy veya CDN şu şekilde yapılandırıldığında çalışır
    Proxy/CDN: HTTPS(443) → kaynak sunucu: HTTP(80)
    Örneğin Cloudflare'ın Flexible modu bu şekilde çalışır
    Kaynak sunucu doğru bir TLS yapılandırması kullanıyorsa (hatta self-signed sertifika olsa bile) bu yöntem çalışmaz
    Yani yalnızca upstream bağlantı şifrelenmemişse başarılı olur
    Test etmek için şu komutla kontrol edilebilir
    curl [http://www.digiboy.ir/boobs.jpg](http://www.digiboy.ir/boobs.jpg) -v

    • Ah, Cloudflare. Dünyadaki en yaygın dağıtılmış şifre çözücü gibi
    • DigiNotar olayında olduğu gibi, İran'ın National Information Network tarafından onaylanan tek root CA kullanıldığında da çalışır
    • Bu pek doğru görünmüyor. Reverse proxy veya CDN, kaynak sunucu TLS kullansa bile tüm istek URL'sini görebilir (mTLS değilse)
      Filtrelemenin proxy/CDN tarafında mı yoksa kaynakta mı yapıldığı net değil. İkisi de mümkün
    • Ben de benzer bir kurulum yaptım
      client → LB(nginx) → LB'de TLS sonlandırma → proxy_pass ile backend nginx'e iletme
      Yapılandırması şaşırtıcı derecede basitti. Neden hâlâ HTTP kullanıldığını merak ediyorum
      Evde bile tüm lokal domainlerime Let's Encrypt sertifikaları uyguladım
      Bu arada nginx, HTTPS load balancing'de HTTP/2 desteklemediği için haproxy'ye geçmeyi düşünüyorum
    • Digiboy, kurumsal yazılımlar için bir hazine sandığı. Oradan korsan bir HPE iLO lisansı aldım

  • HTTPS'de bunun nasıl çalıştığını merak ediyorum
    Ara atlamaların yolu görememesi gerekmez mi, bu İran sınırında TLS sonlandırılıp proxy'lendiği anlamına mı geliyor?
    Öyleyse bu, İran'daki tüm sitelerin yalnızca HTTP ile barındırıldığı anlamına gelir ki bu çok daha büyük bir anlama sahip olur
    Acaba sertifika otoritelerinin İranlı kuruluşlara özel sertifika vermesi engelleniyor mu? Let's Encrypt dahil?

    • Burada söylenen şey başka. Mesele backend sunucunun İran içinde mi dışında mı olduğunu tespit etmek
      TLS, backend ağının URL'yi okumasını engellemez
    • Cloudflare upstream'lerinin önemli bir kısmı eskiden plaintext idi
      Bu yüzden CF'nin yalnızca istemci–CF arasını TLS ile kapatıp CF–sunucu arasını düz metin bırakması eleştiriliyordu
    • Evet. İran'ın National Information Network (NIN) içinde yasal siteler ya I.R.Iran CA kullanıyor ya da doğrudan HTTP kullanıyor
      NIN kaydında anonimlik neredeyse hiç olmadığı için xkcd 538 oldukça yerinde bir benzetme

  • Birinin neden bir sitenin İran'da barındırıldığını bilmek isteyeceğini merak ediyorum

    • Muhtemelen yabancı propaganda sitelerini ayırt etmek içindir
      Sosyal medyada dolaşan az bilinen haber sitelerinin büyük kısmı aslında yabancı psikolojik operasyon (psy-op) siteleri
      Haberdeki yöntemle İran tabanlı siteler kara listeye alınabilir
    • ABD şirketleri için İran ile iş yapmak yasadışı
    • Ben de şahsen onlarla iş yapmak istemem
    • Belki de protestolarla ilgili eylemler yüzündendir ama tam olarak bilmiyorum

  • Böyle bir yanıt döndüren bir örnek site olup olmadığını merak ediyorum

    • İsteğin başarıyla işlendiği bir örnek siteyi ben de merak ediyorum ;)
    • Örnek olarak tehranpich.com var. Cloudflare arkasında
    • Yoksa internette boobs fotoğrafı olup olmadığını mı soruyorsun? (şaka yollu tepki)

  • O zaman İran tüm HTTP trafiğinin önüne bir reverse proxy mi koyuyor?
    iframe içindeki web sayfasında ne olduğuna da şaşırdım

    • Standart bir DPI firewall ise bu gayet mümkün. Hiç sorun değil

  • Eskiden arkadaşlarla İngilizce ve Arapçanın karıştığı bir “uyarı” görseli görmüştük
    İran hükümetinin sansür birimi uyarısı gibi görünüyordu, biz de eğlencesine forum isteklerinin %1'inde o görselin çıkmasını ayarlamıştık :)

  • Yazıyı okudum ama ne olduğunu pek anlamadım. Biri açıklayabilir mi?

    • Muhtemelen şöyle oluyordur
      GET [https://somedomain.com/boobs.jpg](https://somedomain.com/boobs.jpg) isteği gönderildiğinde
      İran dışındaki sunucu 404 (Not Found) döndürürken
      İran içindeki sunucuda firewall “boobs” kelimesini algılayıp isteği engelliyor ve 403 (Forbidden) döndürüyor
      Yani istek web sunucusuna ulaşmadan firewall'da filtreleniyor

  • Acaba burada Scunthorpe sorunu ortaya çıkmıyor mu?
    Kuş gözlemcileri 'boobies' adlı kuşları aradığında bu da boobs.jpg gibi engelleniyor mu diye merak ediyorum

  • O zaman 10.x.x.x aralığı İran içinde genel yönlendirme için mi kullanılıyor?
    Hükümetin neden kendi IP alanını kullanmadığını da merak ediyorum

    • IP adresleri, ABD değilsen pahalıdır.
      Muhtemelen sıradan kurumsal filtreleme ürünlerinin yeniden kullanılması söz konusu.
      Sonuçta İran interneti devasa bir özel ağ gibi çalışıyor
    • Ben de birkaç İran sitesini test ettim ama ne 403 ne de iframe gördüm

  • Bu fikri genişletip, sansürcü rejimlerde engellenme ihtimali yüksek insani içerikler içeren bir Wikipedia bağlantı listesi oluşturmayı düşündüm
    Örn: Tiananmen olayları, Wen Jiabao yolsuzluk olayı, Epstein email vb.
    Netflix'in Fast.com'u gibi, böyle bir proje sansür rejimlerini kendi silahlarıyla vurmak anlamına gelebilir