Bu məqalə tam DPI tənzimlənməsini və bir-birinə bağlı olan hər şeyi əhatə etmir və mətnin elmi dəyəri minimaldır. Ancaq bir çox şirkətin nəzərə almadığı DPI-dən yan keçməyin ən sadə yolunu təsvir edir.
İmtina №1: Bu məqalə tədqiqat xarakteri daşıyır və heç kəsi bir şey etməyə və ya istifadə etməyə təşviq etmir. İdeya şəxsi təcrübəyə əsaslanır və hər hansı oxşarlıqlar təsadüfi olur.
Xəbərdarlıq № 2: məqalə Atlantidanın sirlərini, Müqəddəs Qrasın axtarışını və kainatın digər sirlərini açmır, bütün materiallar sərbəst mövcuddur və Habré-də bir dəfədən çox təsvir edilmiş ola bilər. (tapmadım, linkə görə minnətdar olaram)
Xəbərdarlıqları oxuyanlar üçün başlayaq.
DPI nədir?
DPI və ya Dərin Paket Təftişi, yalnız paket başlıqlarını deyil, həm də ikinci və daha yüksək OSI model səviyyələrində trafikin tam məzmununu təhlil edərək statistik məlumatların toplanması, şəbəkə paketlərinin yoxlanılması və süzülməsi texnologiyasıdır ki, bu da sizə aşkar etməyə və aşkar etməyə imkan verir. virusları bloklayın, müəyyən meyarlara cavab verməyən məlumatları süzün.
DPI provayder şəbəkəsinə paralel olaraq (kəsikdə deyil) ya passiv optik splitter vasitəsilə və ya istifadəçilərdən gələn trafikin əks olunmasından istifadə etməklə qoşulur. Bu əlaqə kifayət qədər DPI performansı olmadıqda provayder şəbəkəsinin sürətini aşağı salmır, buna görə də böyük provayderlər tərəfindən istifadə olunur. Bu əlaqə növü ilə DPI texniki olaraq yalnız qadağan edilmiş məzmun tələb etmək cəhdini aşkar edə bilər, lakin onu dayandıra bilməz. Bu məhdudiyyəti keçmək və qadağan edilmiş sayta girişi bloklamaq üçün DPI bloklanmış URL-i tələb edən istifadəçiyə provayderin qaralama səhifəsinə yönləndirmə ilə xüsusi hazırlanmış HTTP paketini göndərir, sanki belə bir cavab sorğu edilən resursun özü tərəfindən göndərilib (göndərənin IP-si ünvan və TCP ardıcıllığı saxtadır). DPI fiziki olaraq istifadəçiyə tələb olunan saytdan daha yaxın olduğundan, saxta cavab istifadəçinin cihazına saytdan gələn real cavabdan daha tez çatır.
Aktiv DPI
Aktiv DPI - hər hansı digər şəbəkə cihazı kimi adi şəkildə provayderin şəbəkəsinə qoşulan DPI. Provayder marşrutlaşdırmanı elə konfiqurasiya edir ki, DPI istifadəçilərdən bloklanmış IP ünvanlarına və ya domenlərinə trafik qəbul etsin və DPI daha sonra trafikə icazə verib-verməməyə qərar verir. Aktiv DPI həm gedən, həm də daxil olan trafiki yoxlaya bilər, lakin provayder yalnız reyestrdən saytları bloklamaq üçün DPI istifadə edirsə, o, çox vaxt yalnız gedən trafiki yoxlamaq üçün konfiqurasiya edilir.
Yalnız trafikin bloklanmasının effektivliyi deyil, həm də DPI-dəki yük əlaqə növündən asılıdır, buna görə də bütün trafiki yox, yalnız müəyyən olanları skan etmək mümkündür:
"Normal" DPI
"Normal" DPI, müəyyən bir trafik növünü yalnız bu tip üçün ən ümumi portlarda süzgəcdən keçirən DPI-dir. Məsələn, "müntəzəm" DPI yalnız 80-ci portda qadağan edilmiş HTTP trafikini, 443-cü portda HTTPS trafikini aşkar edir və bloklayır. Bloklanmış URL ilə sorğunu blokdan çıxarılan və ya olmayan IP-yə göndərsəniz, bu növ DPI qadağan olunmuş məzmunu izləməyəcək. standart port.
"Tam" DPI
“Adi” DPI-dən fərqli olaraq, bu tip DPI IP ünvanından və portundan asılı olmayaraq trafiki təsnif edir. Bu yolla, tamamilə fərqli bir portda və blokdan çıxarılan IP ünvanında bir proxy server istifadə etsəniz belə, bloklanmış saytlar açılmayacaq.
DPI istifadə
Məlumat ötürmə sürətini azaltmamaq üçün effektiv şəkildə etməyə imkan verən "Normal" passiv DPI-dən istifadə etməlisiniz? bloklansın? ehtiyatlar üçün standart konfiqurasiya belə görünür:
HTTP filtri yalnız 80 portunda
HTTPS yalnız 443 portunda
BitTorrent yalnız 6881-6889 portlarında
Amma problemlər başlayırsa resurs istifadəçiləri itirməmək üçün başqa portdan istifadə edəcək, onda siz hər bir paketi yoxlamalı olacaqsınız, məsələn, verə bilərsiniz:
HTTP 80 və 8080 portlarında işləyir
443 və 8443 portlarında HTTPS
BitTorrent hər hansı digər qrupda
Bu səbəbdən ya “Aktiv” DPI-ə keçməli, ya da əlavə DNS serverindən istifadə edərək bloklamadan istifadə etməli olacaqsınız.
DNS istifadə edərək bloklama
Mənbəyə girişin qarşısını almağın bir yolu yerli DNS serverindən istifadə edərək DNS sorğusunu ələ keçirmək və istifadəçiyə tələb olunan resurs əvəzinə “stub” IP ünvanını qaytarmaqdır. Ancaq bu zəmanətli nəticə vermir, çünki ünvan saxtakarlığının qarşısını almaq mümkündür:
Seçim 1: Host faylını redaktə etmək (masa üstü üçün)
Host faylı istənilən əməliyyat sisteminin ayrılmaz hissəsidir ki, bu da onu həmişə istifadə etməyə imkan verir. Mənbəyə daxil olmaq üçün istifadəçi aşağıdakıları etməlidir:
Tələb olunan resursun IP ünvanını tapın
Redaktə üçün host faylını açın (inzibatçı hüquqları tələb olunur), burada yerləşir:
Linux: /etc/hosts
Windows: %WinDir%System32driversetchosts
Formatda bir xətt əlavə edin: <resurs adı>
Dəyişiklikləri saxla
Bu metodun üstünlüyü onun mürəkkəbliyi və inzibatçı hüquqlarının tələbidir.
Seçim 2: DoH (HTTPS üzərindən DNS) və ya DoT (TLS üzərindən DNS)
Bu üsullar sizə şifrələmədən istifadə edərək DNS sorğunuzu saxtakarlıqdan qorumağa imkan verir, lakin həyata keçirilməsi bütün proqramlar tərəfindən dəstəklənmir. Mozilla Firefox 66 versiyası üçün DoH quraşdırmanın asanlığına istifadəçi tərəfindən baxaq:
Parametr dəyərini dəyişdirin network.security.esni.enabled haqqında doğru
istifadə edərək parametrlərin düzgün olub olmadığını yoxlayın Cloudflare xidməti
Bu üsul daha mürəkkəb olsa da, istifadəçinin administrator hüquqlarına malik olmasını tələb etmir və bu məqalədə təsvir olunmayan DNS sorğusunu təmin etmək üçün bir çox başqa yollar var.
Seçim 3 (mobil cihazlar üçün):
Cloudflare proqramından istifadə edərək Android и IOS.
Test
Resurslara girişin olmamasını yoxlamaq üçün Rusiya Federasiyasında bloklanmış bir domen müvəqqəti olaraq satın alındı:
Ümid edirəm ki, bu məqalə faydalı olacaq və nəinki idarəçiləri mövzunu daha ətraflı başa düşməyə təşviq edəcək, həm də bir anlayış verəcəkdir resurslar həmişə istifadəçinin tərəfində olacaq və yeni həllərin axtarışı onlar üçün ayrılmaz hissəsi olmalıdır.
Məqalədən kənar əlavəCloudflare testi Tele2 operator şəbəkəsində tamamlana bilməz və düzgün konfiqurasiya edilmiş DPI test saytına girişi bloklayır.
PS İndiyə qədər bu, resursları düzgün bloklayan ilk provayderdir.