ميزات إعدادات DPI

لا تغطي هذه المقالة ضبط DPI الكامل وكل شيء متصل ببعضه البعض، والقيمة العلمية للنص ضئيلة. لكنه يصف أبسط طريقة لتجاوز DPI، والتي لم تأخذها العديد من الشركات في الاعتبار.

إخلاء المسؤولية رقم 1: هذه المقالة ذات طبيعة بحثية ولا تشجع أي شخص على فعل أو استخدام أي شيء. الفكرة مبنية على تجربة شخصية، وأي تشابه يكون عشوائياً.

التحذير رقم 2: المقال لا يكشف أسرار أتلانتس والبحث عن الكأس المقدسة وأسرار الكون الأخرى، جميع المواد متاحة مجانًا وربما تم وصفها أكثر من مرة على حبري. (لم أجده، وأتمنى أن يكون الرابط)

بالنسبة لأولئك الذين قرأوا التحذيرات، فلنبدأ.

ما هي إدارة شؤون الإعلام؟

DPI أو Deep Packet Inspection هي تقنية لتجميع البيانات الإحصائية وفحص وتصفية حزم الشبكة من خلال تحليل ليس فقط رؤوس الحزم، ولكن أيضًا المحتوى الكامل لحركة المرور على مستويات نموذج OSI من الثاني والأعلى، مما يسمح لك باكتشاف و حظر الفيروسات وتصفية المعلومات التي لا تستوفي المعايير المحددة.

هناك نوعان من اتصال DPI، تم وصفهما فالديكس على جيثب:

نقطة لكل بوصة سلبية

يتم توصيل DPI بشبكة الموفر بالتوازي (وليس بشكل مقطوع) إما من خلال جهاز تقسيم بصري سلبي، أو باستخدام النسخ المتطابق لحركة المرور الصادرة من المستخدمين. لا يؤدي هذا الاتصال إلى إبطاء سرعة شبكة المزود في حالة عدم كفاية أداء DPI، ولهذا السبب يتم استخدامه من قبل كبار المزودين. يمكن لـ DPI مع هذا النوع من الاتصال من الناحية الفنية اكتشاف محاولة طلب محتوى محظور فقط، ولكن لا يمكنها إيقافها. لتجاوز هذا التقييد وحظر الوصول إلى موقع محظور، ترسل DPI للمستخدم الذي يطلب عنوان URL محظورًا حزمة HTTP مصممة خصيصًا مع إعادة توجيه إلى صفحة كعب روتين الموفر، كما لو تم إرسال هذه الاستجابة بواسطة المورد المطلوب نفسه (عنوان IP الخاص بالمرسل تم تزوير العنوان وتسلسل TCP). نظرًا لأن DPI أقرب فعليًا إلى المستخدم من الموقع المطلوب، فإن الاستجابة المخادعة تصل إلى جهاز المستخدم بشكل أسرع من الاستجابة الحقيقية من الموقع.

نقطة لكل بوصة نشطة

Active DPI - DPI متصل بشبكة الموفر بالطريقة المعتادة، مثل أي جهاز شبكة آخر. يقوم الموفر بتكوين التوجيه بحيث تتلقى DPI حركة المرور من المستخدمين إلى عناوين IP أو المجالات المحظورة، ثم تقرر DPI ما إذا كانت ستسمح بحركة المرور أو تمنعها. يمكن لـ DPI النشط فحص كل من حركة المرور الصادرة والواردة، ومع ذلك، إذا كان الموفر يستخدم DPI فقط لحظر المواقع من السجل، فغالبًا ما يتم تكوينه لفحص حركة المرور الصادرة فقط.

لا تعتمد فعالية حظر حركة المرور فحسب، بل يعتمد أيضًا الحمل على DPI على نوع الاتصال، لذلك من الممكن عدم فحص كل حركة المرور، ولكن فقط حركة مرور معينة:

نقطة في البوصة "العادية".

DPI "العادية" هي DPI التي تقوم بتصفية نوع معين من حركة المرور فقط على المنافذ الأكثر شيوعًا لهذا النوع. على سبيل المثال، تكتشف DPI "العادية" حركة مرور HTTP المحظورة وتحظرها فقط على المنفذ 80، وحركة مرور HTTPS على المنفذ 443. لن يتتبع هذا النوع من DPI المحتوى المحظور إذا أرسلت طلبًا بعنوان URL محظور إلى عنوان IP غير محظور أو غير محظور. منفذ قياسي.

نقطة لكل بوصة "كاملة".

على عكس DPI "العادية"، يقوم هذا النوع من DPI بتصنيف حركة المرور بغض النظر عن عنوان IP والمنفذ. بهذه الطريقة، لن يتم فتح المواقع المحجوبة حتى إذا كنت تستخدم خادمًا وكيلاً على منفذ مختلف تمامًا وعنوان IP غير محظور.

باستخدام دي بي اي

لكي لا تقلل من معدل نقل البيانات، تحتاج إلى استخدام DPI السلبي "العادي"، والذي يسمح لك بذلك بشكل فعال؟ منع أي؟ الموارد، يبدو التكوين الافتراضي كما يلي:

• مرشح HTTP فقط على المنفذ 80
• HTTPS فقط على المنفذ 443
• BitTorrent فقط على المنافذ 6881-6889

لكن المشاكل تبدأ إذا سيستخدم المورد منفذًا مختلفًا حتى لا يفقد المستخدمين، فسيتعين عليك التحقق من كل حزمة، على سبيل المثال يمكنك تقديم:

• يعمل HTTP على المنفذ 80 و8080
• HTTPS على المنفذ 443 و8443
• BitTorrent على أي نطاق آخر

ولهذا السبب، سيتعين عليك إما التبديل إلى DPI "نشط" أو استخدام الحظر باستخدام خادم DNS إضافي.

الحظر باستخدام DNS

تتمثل إحدى طرق منع الوصول إلى أحد الموارد في اعتراض طلب DNS باستخدام خادم DNS محلي وإرجاع عنوان IP "كعب الروتين" للمستخدم بدلاً من المورد المطلوب. ولكن هذا لا يعطي نتيجة مضمونة، لأنه من الممكن منع انتحال العنوان:

الخيار 1: تحرير ملف المضيفين (لسطح المكتب)

يعد ملف المضيفين جزءًا لا يتجزأ من أي نظام تشغيل، مما يسمح لك باستخدامه دائمًا. للوصول إلى المورد، يجب على المستخدم:

1. تعرف على عنوان IP الخاص بالمورد المطلوب
2. افتح ملف المضيفين للتحرير (حقوق المسؤول مطلوبة)، الموجود في:
   • لينكس: / الخ / المضيفين
   • ويندوز: %WinDir%System32driversetchosts
3. أضف سطرًا بالتنسيق: <اسم المورد>
4. حفظ التغييرات

ميزة هذه الطريقة هي تعقيدها ومتطلبات حقوق المسؤول.

الخيار 2: DoH (DNS عبر HTTPS) أو DoT (DNS عبر TLS)

تسمح لك هذه الطرق بحماية طلب DNS الخاص بك من الانتحال باستخدام التشفير، ولكن التنفيذ غير مدعوم من قبل جميع التطبيقات. دعونا نلقي نظرة على سهولة إعداد DoH لـ Mozilla Firefox الإصدار 66 من جانب المستخدم:

1. اذهب إلى العنوان حول: التكوين في فايرفوكس
2. التأكد من أن المستخدم يتحمل كافة المخاطر
3. تغيير قيمة المعلمة net.trr.mode على:
   • 0 - تعطيل TRR
   • 1- الاختيار التلقائي
   • 2 - تمكين DoH بشكل افتراضي
4. تغيير المعلمة net.trr.uri اختيار خادم DNS
   • كلاودفلير DNS: mozilla.cloudflare-dns.com/dns-query
   • GoogleDNS: dns.google.com/experimental
5. تغيير المعلمة Network.trr.boostrapAddress على:
   • إذا تم تحديد Cloudflare DNS: 1.1.1.1
   • إذا تم تحديد Google DNS: 8.8.8.8
6. تغيير قيمة المعلمة Network.security.esni.enabled في صحيح
7. تأكد من صحة الإعدادات باستخدام خدمة كلاود فلير

على الرغم من أن هذه الطريقة أكثر تعقيدًا، إلا أنها لا تتطلب أن يكون لدى المستخدم حقوق المسؤول، كما توجد طرق أخرى عديدة لتأمين طلب DNS لم يتم وصفها في هذه المقالة.

الخيار 3 (للأجهزة المحمولة):

باستخدام تطبيق Cloudflare أندرويد и IOS.

تجريب

للتحقق من عدم إمكانية الوصول إلى الموارد، تم شراء النطاق المحظور في الاتحاد الروسي مؤقتًا:

• فحص HTTP + المنفذ 80
• فحص HTTP + المنفذ 8080
• فحص HTTPS + المنفذ 443
• فحص HTTPS + المنفذ 8443

اختتام

آمل أن تكون هذه المقالة مفيدة ولن تشجع المسؤولين فقط على فهم الموضوع بمزيد من التفصيل، بل ستوفر أيضًا فهمًا لذلك ستكون الموارد دائمًا في جانب المستخدم، ويجب أن يكون البحث عن حلول جديدة جزءًا لا يتجزأ منه.

وصلات مفيدة

• تنفيذ معيار SNI المشفر في Firefox
• تجاوز DPI دون اتصال

إضافة خارج المقاللا يمكن إكمال اختبار Cloudflare على شبكة مشغل Tele2، كما أن DPI التي تم تكوينها بشكل صحيح تمنع الوصول إلى موقع الاختبار.
ملاحظة: حتى الآن هذا هو المزود الأول الذي يمنع الموارد بشكل صحيح.

المصدر: www.habr.com