DPI instelling kenmerke

Hierdie artikel dek nie die volle DPI-instelling en alles wat daarmee verband hou nie, en die wetenskaplike waarde van die teks is minimaal. Maar dit beskryf die eenvoudigste manier om DPI te omseil, wat baie maatskappye nie in ag geneem het nie.

Waarskuwing #1: Hierdie artikel is verkennend van aard en moedig niemand aan om iets te doen of te gebruik nie. Die idee is gebaseer op persoonlike ervaring en enige ooreenkoms is bloot toevallig.

Waarskuwing nommer 2: die artikel onthul nie die geheime van Atlantis, die soeke na die Heilige Graal en ander geheimenisse van die heelal nie, al die materiaal is in die publieke domein en is dalk meer as een keer op Habré beskryf. (Ek het dit nie gevind nie, ek sal 'n skakel waardeer)

Vir diegene wat die waarskuwings gelees het, kom ons begin.

Wat is DPI?

DPI of Deep Packet Inspection is 'n tegnologie om statistiese data te versamel, netwerkpakkies na te gaan en te filter deur nie net pakkieopskrifte te ontleed nie, maar ook die volle inhoud van verkeer op die vlakke van die OSI-model vanaf die tweede en hoër, wat jou toelaat om op te spoor en blokkeer virusse, filter inligting wat nie aan gespesifiseerde kriteria voldoen nie.

Daar is twee tipes DPI-verbindings wat beskryf word ValdikSS op github:

Passiewe DPI

DPI wat parallel aan die verskaffernetwerk gekoppel is (nie in 'n snit nie) óf deur 'n passiewe optiese splitser, óf deur gebruik te maak van weerspieëling van verkeer wat uitgaan vanaf gebruikers. So 'n verbinding vertraag nie die spoed van die verskaffer se netwerk in geval van onvoldoende DPI-werkverrigting nie, en daarom word dit deur groot verskaffers gebruik. DPI met hierdie tipe verbinding kan tegnies net 'n poging opspoor om verbode inhoud aan te vra, maar dit nie stop nie. Om hierdie beperking te omseil en toegang tot 'n geblokkeerde werf te blokkeer, stuur DPI 'n spesiaal vervaardigde HTTP-pakkie aan die gebruiker wat die geblokkeerde URL versoek met 'n herleiding na die verskaffer se stompbladsy, asof so 'n antwoord deur die versoekte hulpbron self gestuur is (die sender se IP-adres en TCP-volgorde is vervals). As gevolg van die feit dat die DPI fisies nader aan die gebruiker as die versoekte webwerf is, bereik die bedrieglike reaksie die gebruiker se toestel vinniger as die werklike reaksie vanaf die webwerf.

Aktiewe DPI

Aktiewe DPI - DPI wat op die gewone manier aan die verskaffer se netwerk gekoppel is, soos enige ander netwerktoestel. Die verskaffer konfigureer die roetering sodat DPI verkeer van gebruikers na geblokkeerde IP-adresse of domeine ontvang, en DPI besluit reeds of om verkeer toe te laat of te blokkeer. Aktiewe DPI kan beide uitgaande en inkomende verkeer nagaan, maar as die verskaffer DPI slegs gebruik om werwe uit die register te blokkeer, word dit meestal opgestel om slegs uitgaande verkeer na te gaan.

Nie net die doeltreffendheid van verkeersblokkering hang af van die tipe verbinding nie, maar ook die las op DPI, so dit is moontlik om nie alle verkeer na te gaan nie, maar slegs sekeres:

"Normaal" DPI

Met "gewone" DPI word bedoel 'n DPI wat 'n sekere soort verkeer net op die mees algemene poorte vir daardie tipe filter. Byvoorbeeld, die "gewone" DPI bespeur en blokkeer verbode HTTP-verkeer slegs op poort 80, HTTPS-verkeer op poort 443. Hierdie tipe DPI sal nie verbode inhoud naspoor as jy 'n versoek met 'n geblokkeerde URL na 'n ongeblokkeerde IP of nie- standaard poort.

"Volle" DPI

Anders as "gewone" DPI, klassifiseer hierdie tipe DPI verkeer ongeag die IP-adres en poort. Geblokkeerde werwe sal dus nie oopmaak nie, selfs al gebruik u 'n instaanbediener op 'n heeltemal ander poort en nie-geblokkeerde IP-adres.

DPI gebruik

Om nie die data-oordragtempo te verminder nie, is dit nodig om die "Normale" passiewe DPI te gebruik, wat jou toelaat om doeltreffend? blokkeer enige? hulpbronne, die verstekkonfigurasie lyk soos volg:

• HTTP-filter slegs op poort 80
• HTTPS slegs op poort 443
• BitTorrent slegs op poorte 6881-6889

Maar die probleme begin wanneer die hulpbron sal 'n ander poort gebruik om nie gebruikers te verloor nie, dan sal jy elke pakket moet nagaan, byvoorbeeld, jy kan gee:

• HTTP werk op 80- en 8080-poorte
• HTTPS op 443- en 8443-poort
• BitTorrent op enige ander reeks

As gevolg hiervan sal jy óf na "Aktiewe" DPI moet oorskakel, óf blokkering met 'n bykomende DNS-bediener moet gebruik.

Blokkering met DNS

Een manier om toegang tot 'n hulpbron te blokkeer, is om die DNS-navraag te onderskep deur die plaaslike DNS-bediener te gebruik en die stomp-IP-adres aan die gebruiker terug te stuur in plaas van die vereiste hulpbron. Maar dit gee nie 'n gewaarborgde resultaat nie, aangesien dit moontlik is om adresspoofing te voorkom:

Opsie 1: Redigeer die gashere-lêer (vir rekenaar)

Die gashere-lêer is 'n integrale deel van enige bedryfstelsel, wat dit altyd bruikbaar maak. Om toegang tot die hulpbron te verkry, moet die gebruiker:

1. Vind uit die IP-adres van die vereiste hulpbron
2. Maak die gashere-lêer oop vir redigering (vereis administrateurregte) geleë in:
   • Linux: /etc/hosts
   • Windows: %WinDir%System32driversetchhosts
3. Voeg 'n reël by in die formaat: <bronnaam>
4. Stoor veranderinge

Die voordeel van hierdie metode is die kompleksiteit daarvan en die vereiste om administrateurregte te hê.

Opsie 2: DoH (DNS oor HTTPS) of DoT (DNS oor TLS)

Hierdie metodes laat jou toe om die DNS-navraag te beskerm teen bedrog met behulp van enkripsie, maar die implementering word nie deur alle toepassings ondersteun nie. Oorweeg die gemak van die opstel van DoH vir Mozilla Firefox weergawe 66 vanaf die gebruikerskant:

1. Gaan na adres about: config in Firefox
2. Bevestig dat die gebruiker alle risiko's aanvaar
3. Verander parameterwaarde netwerk.trr.modus op:
   • 0 - deaktiveer TRR
   • 1 - outomatiese keuse
   • 2 - aktiveer DoH by verstek
4. Verander instelling netwerk.trr.uri die keuse van 'n DNS-bediener
   • Cloudflare DNS: mozilla.cloudflare-dns.com/dns-query
   • GoogleDNS: dns.google.com/experimental
5. Verander instelling netwerk.trr.boostrapAdres op:
   • As Cloudflare DNS gekies is: 1.1.1.1
   • As Google DNS gekies is: 8.8.8.8
6. Verander parameterwaarde netwerk.sekuriteit.esni.geaktiveer op waar
7. Kontroleer die korrekte instelling met cloudflare diens

Alhoewel hierdie metode meer ingewikkeld is, vereis dit nie dat die gebruiker administrateurregte het nie, en daar is baie ander maniere om 'n DNS-navraag te beveilig wat nie in hierdie artikel beskryf word nie.

Opsie 3 (vir mobiele toestelle):

Gebruik die toepassing vanaf Cloudflare na Android и IOS.

toets

Om die gebrek aan toegang tot hulpbronne na te gaan, is 'n domein wat op die grondgebied van die Russiese Federasie geblokkeer is tydelik gekoop:

• HTTP-kontrole + poort 80
• HTTP-kontrole + poort 8080
• HTTPS-tjek + 443-poort
• HTTPS-tjek + 8443-poort

Gevolgtrekking

Ek hoop dat hierdie artikel nuttig sal wees en nie net administrateurs sal aanmoedig om die onderwerp in meer detail te verstaan ​​nie, maar ook 'n begrip sal gee dat hulpbronne sal altyd aan die kant van die gebruiker wees, en die soeke na nuwe oplossings behoort 'n integrale deel daarvan te wees.

nuttige skakels

• Implementering van die Geënkripteerde SNI-standaard in Firefox
• Vanlyn manier om DPI te omseil

Byvoeging buite die artikelDie toets op Cloudflare kan nie op die Tele2-netwerk geslaag word nie, en 'n behoorlik gekonfigureerde DPI blokkeer toegang tot die toetswebwerf.
NS Tot dusver is dit die eerste verskaffer wat hulpbronne korrek blokkeer.

Bron: will.com