Karakteristike DPI postavki

Ovaj članak ne pokriva potpuno podešavanje DPI i sve što je povezano, a naučna vrijednost teksta je minimalna. Ali opisuje najjednostavniji način da se zaobiđe DPI, koji mnoge kompanije nisu uzele u obzir.

Odricanje od odgovornosti #1: Ovaj članak je istraživačke prirode i ne potiče nikoga da bilo šta radi ili koristi. Ideja je zasnovana na ličnom iskustvu, a sve sličnosti su nasumične.

Upozorenje br. 2: članak ne otkriva tajne Atlantide, potrage za Svetim gralom i druge misterije svemira; sav materijal je besplatno dostupan i možda je više puta opisan na Hub-u. (nisam ga našao, bio bih zahvalan na linku)

Za one koji su pročitali upozorenja, počnimo.

Šta je DPI?

DPI ili Deep Packet Inspection je tehnologija za prikupljanje statističkih podataka, provjeru i filtriranje mrežnih paketa analizom ne samo zaglavlja paketa, već i punog sadržaja prometa na nivoima OSI modela od drugog i višeg, što vam omogućava da otkrijete i blokiraju viruse, filtriraju informacije koje ne zadovoljavaju specificirane kriterije.

Postoje dvije vrste DPI veze koje su opisane ValdikSS na github-u:

Pasivni DPI

DPI povezan na mrežu provajdera paralelno (ne u rezu) bilo preko pasivnog optičkog razdelnika, bilo korišćenjem preslikavanja saobraćaja koji potiče od korisnika. Ova veza ne usporava brzinu mreže provajdera u slučaju nedovoljnih DPI performansi, zbog čega je koriste veliki provajderi. DPI sa ovom vrstom veze tehnički može samo otkriti pokušaj traženja zabranjenog sadržaja, ali ne i zaustaviti ga. Da bi zaobišao ovo ograničenje i blokirao pristup zabranjenoj stranici, DPI šalje posebno kreiran HTTP paket korisniku koji traži blokirani URL s preusmjeravanjem na stub stranicu provajdera, kao da je takav odgovor poslao sam traženi resurs (pošiljateljeva IP adresa i TCP sekvenca su falsifikovani). Budući da je DPI fizički bliži korisniku od tražene stranice, lažni odgovor stiže do uređaja korisnika brže od stvarnog odgovora sa stranice.

Active DPI

Aktivni DPI - DPI povezan na mrežu provajdera na uobičajen način, kao i svaki drugi mrežni uređaj. Provajder konfiguriše usmjeravanje tako da DPI prima promet od korisnika do blokiranih IP adresa ili domena, a DPI zatim odlučuje hoće li dozvoliti ili blokirati promet. Aktivni DPI može pregledati i odlazni i dolazni promet, međutim, ako provajder koristi DPI samo za blokiranje lokacija iz registra, najčešće je konfiguriran da pregleda samo odlazni promet.

Ne samo efikasnost blokiranja prometa, već i opterećenje na DPI-u ovisi o vrsti veze, pa je moguće skenirati ne sav promet, već samo određene:

"Normalni" DPI

“Obični” DPI je DPI koji filtrira određenu vrstu prometa samo na najčešćim portovima za taj tip. Na primjer, "običan" DPI otkriva i blokira zabranjeni HTTP promet samo na portu 80, HTTPS promet na portu 443. Ova vrsta DPI neće pratiti zabranjeni sadržaj ako pošaljete zahtjev sa blokiranim URL-om na deblokirani IP ili ne- standardni port.

"Puni" DPI

Za razliku od "običnog" DPI-a, ovaj tip DPI klasifikuje saobraćaj bez obzira na IP adresu i port. Na ovaj način se blokirane stranice neće otvarati čak i ako koristite proxy server na potpuno drugom portu i deblokiranoj IP adresi.

Koristeći DPI

Kako ne biste smanjili brzinu prijenosa podataka, trebate koristiti “Normal” pasivni DPI, koji vam omogućava da efikasno? blokirati bilo koji? resurse, zadana konfiguracija izgleda ovako:

• HTTP filter samo na portu 80
• HTTPS samo na portu 443
• BitTorrent samo na portovima 6881-6889

Ali problemi počinju ako resurs će koristiti drugi port kako ne bi izgubio korisnike, tada ćete morati provjeriti svaki paket, na primjer možete dati:

• HTTP radi na portu 80 i 8080
• HTTPS na portovima 443 i 8443
• BitTorrent na bilo kojem drugom bendu

Zbog toga ćete se morati ili prebaciti na „Aktivni“ DPI ili koristiti blokiranje pomoću dodatnog DNS servera.

Blokiranje pomoću DNS-a

Jedan od načina da se blokira pristup resursu je presretanje DNS zahtjeva pomoću lokalnog DNS servera i vraćanje korisniku "stub" IP adrese umjesto potrebnog resursa. Ali to ne daje zajamčeni rezultat, jer je moguće spriječiti lažiranje adrese:

Opcija 1: Uređivanje hosts fajla (za desktop)

Datoteka hosts je sastavni dio svakog operativnog sistema, što vam omogućava da je uvijek koristite. Da bi pristupio resursu, korisnik mora:

1. Saznajte IP adresu potrebnog resursa
2. Otvorite hosts fajl za uređivanje (potrebna su administratorska prava), koji se nalazi u:
   • Linux: /etc/hosts
   • Windows: %WinDir%System32driversetchosts
3. Dodajte red u formatu: <ime resursa>
4. Spremite promjene

Prednost ove metode je njena složenost i zahtjevi za administratorskim pravima.

Opcija 2: DoH (DNS preko HTTPS-a) ili DoT (DNS preko TLS-a)

Ove metode vam omogućavaju da zaštitite svoj DNS zahtjev od lažiranja korištenjem enkripcije, ali implementaciju ne podržavaju sve aplikacije. Pogledajmo jednostavnost podešavanja DoH-a za Mozilla Firefox verziju 66 sa strane korisnika:

1. Idi na adresu o: konfiguraciji u Firefoxu
2. Potvrdite da korisnik preuzima sav rizik
3. Mijenja vrijednost parametra network.trr.mode na:
   • 0 - onemogući TRR
   • 1 - automatski odabir
   • 2 - podrazumevano omogući DoH
4. Promjena parametra network.trr.uri odabirom DNS servera
   • Cloudflare DNS: mozilla.cloudflare-dns.com/dns-query
   • GoogleDNS: dns.google.com/experimental
5. Promjena parametra network.trr.boostrapAddress na:
   • Ako je odabran Cloudflare DNS: 1.1.1.1
   • Ako je odabran Google DNS: 8.8.8.8
6. Mijenja vrijednost parametra network.security.esni.enabled na istinski
7. Provjerite da li su postavke ispravne pomoću Cloudflare usluga

Iako je ova metoda složenija, ne zahtijeva od korisnika da ima administratorska prava, a postoji mnogo drugih načina za osiguranje DNS zahtjeva koji nisu opisani u ovom članku.

Opcija 3 (za mobilne uređaje):

Korištenje aplikacije Cloudflare za android и IOS.

Testiranje

Da bi se provjerio nedostatak pristupa resursima, privremeno je kupljena domena blokirana u Ruskoj Federaciji:

• HTTP provjera + port 80
• HTTP provjera + port 8080
• HTTPS provjera + port 443
• HTTPS provjera + port 8443

zaključak

Nadam se da će ovaj članak biti koristan i da će potaknuti ne samo administratore da detaljnije razumiju temu, već će i dati razumijevanje da resursi će uvijek biti na strani korisnika, a potraga za novim rješenjima trebala bi biti njihov sastavni dio.

korisni linkovi

• Implementacija Encrypted SNI standarda u Firefoxu
• Offline DPI Bypass

Dodatak izvan člankaCloudflare test se ne može završiti na mreži operatera Tele2, a ispravno konfigurisan DPI blokira pristup testnoj lokaciji.
PS Za sada je ovo prvi provajder koji ispravno blokira resurse.

izvor: www.habr.com