DPI parametrlərinin xüsusiyyətləri

Bu məqalə tam DPI tənzimlənməsini və bir-birinə bağlı olan hər şeyi əhatə etmir və mətnin elmi dəyəri minimaldır. Ancaq bir çox şirkətin nəzərə almadığı DPI-dən yan keçməyin ən sadə yolunu təsvir edir.

İmtina №1: Bu məqalə tədqiqat xarakteri daşıyır və heç kəsi bir şey etməyə və ya istifadə etməyə təşviq etmir. İdeya şəxsi təcrübəyə əsaslanır və hər hansı oxşarlıqlar təsadüfi olur.

Xəbərdarlıq № 2: məqalə Atlantidanın sirlərini, Müqəddəs Qrasın axtarışını və kainatın digər sirlərini açmır, bütün materiallar sərbəst mövcuddur və Habré-də bir dəfədən çox təsvir edilmiş ola bilər. (tapmadım, linkə görə minnətdar olaram)

Xəbərdarlıqları oxuyanlar üçün başlayaq.

DPI nədir?

DPI və ya Dərin Paket Təftişi, yalnız paket başlıqlarını deyil, həm də ikinci və daha yüksək OSI model səviyyələrində trafikin tam məzmununu təhlil edərək statistik məlumatların toplanması, şəbəkə paketlərinin yoxlanılması və süzülməsi texnologiyasıdır ki, bu da sizə aşkar etməyə və aşkar etməyə imkan verir. virusları bloklayın, müəyyən meyarlara cavab verməyən məlumatları süzün.

Təsvir edilən iki növ DPI bağlantısı var ValdikSS github-da:

Passiv DPI

DPI provayder şəbəkəsinə paralel olaraq (kəsikdə deyil) ya passiv optik splitter vasitəsilə və ya istifadəçilərdən gələn trafikin əks olunmasından istifadə etməklə qoşulur. Bu əlaqə kifayət qədər DPI performansı olmadıqda provayder şəbəkəsinin sürətini aşağı salmır, buna görə də böyük provayderlər tərəfindən istifadə olunur. Bu əlaqə növü ilə DPI texniki olaraq yalnız qadağan edilmiş məzmun tələb etmək cəhdini aşkar edə bilər, lakin onu dayandıra bilməz. Bu məhdudiyyəti keçmək və qadağan edilmiş sayta girişi bloklamaq üçün DPI bloklanmış URL-i tələb edən istifadəçiyə provayderin qaralama səhifəsinə yönləndirmə ilə xüsusi hazırlanmış HTTP paketini göndərir, sanki belə bir cavab sorğu edilən resursun özü tərəfindən göndərilib (göndərənin IP-si ünvan və TCP ardıcıllığı saxtadır). DPI fiziki olaraq istifadəçiyə tələb olunan saytdan daha yaxın olduğundan, saxta cavab istifadəçinin cihazına saytdan gələn real cavabdan daha tez çatır.

Aktiv DPI

Aktiv DPI - hər hansı digər şəbəkə cihazı kimi adi şəkildə provayderin şəbəkəsinə qoşulan DPI. Provayder marşrutlaşdırmanı elə konfiqurasiya edir ki, DPI istifadəçilərdən bloklanmış IP ünvanlarına və ya domenlərinə trafik qəbul etsin və DPI daha sonra trafikə icazə verib-verməməyə qərar verir. Aktiv DPI həm gedən, həm də daxil olan trafiki yoxlaya bilər, lakin provayder yalnız reyestrdən saytları bloklamaq üçün DPI istifadə edirsə, o, çox vaxt yalnız gedən trafiki yoxlamaq üçün konfiqurasiya edilir.

Yalnız trafikin bloklanmasının effektivliyi deyil, həm də DPI-dəki yük əlaqə növündən asılıdır, buna görə də bütün trafiki yox, yalnız müəyyən olanları skan etmək mümkündür:

"Normal" DPI

"Normal" DPI, müəyyən bir trafik növünü yalnız bu tip üçün ən ümumi portlarda süzgəcdən keçirən DPI-dir. Məsələn, "müntəzəm" DPI yalnız 80-ci portda qadağan edilmiş HTTP trafikini, 443-cü portda HTTPS trafikini aşkar edir və bloklayır. Bloklanmış URL ilə sorğunu blokdan çıxarılan və ya olmayan IP-yə göndərsəniz, bu növ DPI qadağan olunmuş məzmunu izləməyəcək. standart port.

"Tam" DPI

“Adi” DPI-dən fərqli olaraq, bu tip DPI IP ünvanından və portundan asılı olmayaraq trafiki təsnif edir. Bu yolla, tamamilə fərqli bir portda və blokdan çıxarılan IP ünvanında bir proxy server istifadə etsəniz belə, bloklanmış saytlar açılmayacaq.

DPI istifadə

Məlumat ötürmə sürətini azaltmamaq üçün effektiv şəkildə etməyə imkan verən "Normal" passiv DPI-dən istifadə etməlisiniz? bloklansın? ehtiyatlar üçün standart konfiqurasiya belə görünür:

• HTTP filtri yalnız 80 portunda
• HTTPS yalnız 443 portunda
• BitTorrent yalnız 6881-6889 portlarında

Amma problemlər başlayırsa resurs istifadəçiləri itirməmək üçün başqa portdan istifadə edəcək, onda siz hər bir paketi yoxlamalı olacaqsınız, məsələn, verə bilərsiniz:

• HTTP 80 və 8080 portlarında işləyir
• 443 və 8443 portlarında HTTPS
• BitTorrent hər hansı digər qrupda

Bu səbəbdən ya “Aktiv” DPI-ə keçməli, ya da əlavə DNS serverindən istifadə edərək bloklamadan istifadə etməli olacaqsınız.

DNS istifadə edərək bloklama

Mənbəyə girişin qarşısını almağın bir yolu yerli DNS serverindən istifadə edərək DNS sorğusunu ələ keçirmək və istifadəçiyə tələb olunan resurs əvəzinə “stub” IP ünvanını qaytarmaqdır. Ancaq bu zəmanətli nəticə vermir, çünki ünvan saxtakarlığının qarşısını almaq mümkündür:

Seçim 1: Host faylını redaktə etmək (masa üstü üçün)

Host faylı istənilən əməliyyat sisteminin ayrılmaz hissəsidir ki, bu da onu həmişə istifadə etməyə imkan verir. Mənbəyə daxil olmaq üçün istifadəçi aşağıdakıları etməlidir:

1. Tələb olunan resursun IP ünvanını tapın
2. Redaktə üçün host faylını açın (inzibatçı hüquqları tələb olunur), burada yerləşir:
   • Linux: /etc/hosts
   • Windows: %WinDir%System32driversetchosts
3. Formatda bir xətt əlavə edin: <resurs adı>
4. Dəyişiklikləri saxla

Bu metodun üstünlüyü onun mürəkkəbliyi və inzibatçı hüquqlarının tələbidir.

Seçim 2: DoH (HTTPS üzərindən DNS) və ya DoT (TLS üzərindən DNS)

Bu üsullar sizə şifrələmədən istifadə edərək DNS sorğunuzu saxtakarlıqdan qorumağa imkan verir, lakin həyata keçirilməsi bütün proqramlar tərəfindən dəstəklənmir. Mozilla Firefox 66 versiyası üçün DoH quraşdırmanın asanlığına istifadəçi tərəfindən baxaq:

1. Ünvana gedin Haqqında: config Firefox-da
2. İstifadəçinin bütün riskləri öz üzərinə götürdüyünü təsdiqləyin
3. Parametr dəyərini dəyişdirin şəbəkə.trr.rejimi haqqında:
   • 0 - TRR-ni söndürün
   • 1 - avtomatik seçim
   • 2 - standart olaraq DoH-ni aktivləşdirin
4. Parametri dəyişdirin network.trr.uri DNS serverinin seçilməsi
   • Cloudflare DNS: mozilla.cloudflare-dns.com/dns-query
   • GoogleDNS: dns.google.com/experimental
5. Parametri dəyişdirin network.trr.boostrapÜnvanı haqqında:
   • Cloudflare DNS seçilibsə: 1.1.1.1
   • Google DNS seçilibsə: 8.8.8.8
6. Parametr dəyərini dəyişdirin network.security.esni.enabled haqqında doğru
7. istifadə edərək parametrlərin düzgün olub olmadığını yoxlayın Cloudflare xidməti

Bu üsul daha mürəkkəb olsa da, istifadəçinin administrator hüquqlarına malik olmasını tələb etmir və bu məqalədə təsvir olunmayan DNS sorğusunu təmin etmək üçün bir çox başqa yollar var.

Seçim 3 (mobil cihazlar üçün):

Cloudflare proqramından istifadə edərək Android и IOS.

Test

Resurslara girişin olmamasını yoxlamaq üçün Rusiya Federasiyasında bloklanmış bir domen müvəqqəti olaraq satın alındı:

• HTTP yoxlaması + port 80
• HTTP yoxlaması + port 8080
• HTTPS yoxlaması + port 443
• HTTPS yoxlaması + port 8443

Nəticə

Ümid edirəm ki, bu məqalə faydalı olacaq və nəinki idarəçiləri mövzunu daha ətraflı başa düşməyə təşviq edəcək, həm də bir anlayış verəcəkdir resurslar həmişə istifadəçinin tərəfində olacaq və yeni həllərin axtarışı onlar üçün ayrılmaz hissəsi olmalıdır.

Faydalı linklər

• Firefox-da Şifrələnmiş SNI standartının tətbiqi
• Offline DPI Bypass

Məqalədən kənar əlavəCloudflare testi Tele2 operator şəbəkəsində tamamlana bilməz və düzgün konfiqurasiya edilmiş DPI test saytına girişi bloklayır.
PS İndiyə qədər bu, resursları düzgün bloklayan ilk provayderdir.

Mənbə: www.habr.com