Kini nga artikulo wala maglangkob sa hingpit nga pag-adjust sa DPI ug tanan nga konektado, ug ang siyentipikanhong bili sa teksto gamay ra. Apan gihulagway niini ang pinakasimple nga paagi sa pag-bypass sa DPI, nga wala gikonsiderar sa daghang mga kompanya.
Disclaimer #1: Kini nga artikulo kay usa ka research nga kinaiya ug wala nag-awhag ni bisan kinsa sa pagbuhat o paggamit sa bisan unsa. Ang ideya gibase sa personal nga kasinatian, ug ang bisan unsang pagkaparehas random.
Pahimangno Num. 2: ang artikulo wala magpadayag sa mga sekreto sa Atlantis, ang pagpangita sa Holy Grail ug uban pang misteryo sa uniberso; ang tanan nga materyal kay libre nga magamit ug mahimong gihulagway labaw sa kausa sa HabrΓ©. (Wala nako nakit-an, mapasalamaton ko sa link)
Sa mga nakabasa sa mga pahimangno, sugdan na nato.
Unsa ang DPI?
Ang DPI o Deep Packet Inspection usa ka teknolohiya alang sa pagtipon sa istatistikal nga datos, pagsusi ug pagsala sa mga packet sa network pinaagi sa pag-analisar dili lamang sa mga packet header, apan usab ang tibuuk nga sulud sa trapiko sa lebel sa modelo sa OSI gikan sa ikaduha ug mas taas, nga nagtugot kanimo nga makit-an ug pag-block sa mga virus, pagsala sa impormasyon nga wala makaabot sa espesipikong sukdanan .
Adunay duha ka matang sa koneksyon sa DPI, nga gihulagway :
Passive DPI
Ang DPI konektado sa network sa provider nga managsama (dili sa usa ka cut) pinaagi sa usa ka passive optical splitter, o gamit ang pagsalamin sa trapiko nga naggikan sa mga tiggamit. Kini nga koneksyon dili makapahinay sa gikusgon sa network sa provider sa kaso sa dili igo nga performance sa DPI, mao nga kini gigamit sa dagkong mga providers. Ang DPI nga adunay kini nga tipo sa koneksyon mahimo nga teknikal nga makit-an ang pagsulay sa paghangyo sa gidili nga sulud, apan dili kini mapahunong. Aron malaktawan kini nga pagdili ug babagan ang pag-access sa usa ka gidili nga site, ang DPI nagpadala sa tiggamit nga naghangyo sa usa ka gibabagan nga URL usa ka espesyal nga gihimo nga HTTP packet nga adunay usa ka pag-redirect sa panid sa stub sa provider, ingon nga ang ingon nga tubag gipadala sa gihangyo nga kapanguhaan mismo (ang IP sa nagpadala. address ug TCP sequence kay peke). Tungod kay ang DPI pisikal nga mas duol sa user kaysa sa gihangyo nga site, ang spoofed nga tubag makaabot sa device sa user nga mas paspas kay sa tinuod nga tubag gikan sa site.
Aktibo nga DPI
Aktibo nga DPI - DPI nga konektado sa network sa provider sa naandan nga paagi, sama sa bisan unsang ubang network device. Gi-configure sa provider ang pag-ruta aron ang DPI makadawat og trapiko gikan sa mga tiggamit ngadto sa gibabagan nga mga IP address o mga domain, ug ang DPI dayon ang modesisyon kon tugutan ba o babagan ang trapiko. Ang aktibo nga DPI mahimo nga mag-inspeksyon sa paggawas ug umaabot nga trapiko, bisan pa, kung ang taghatag mogamit lamang sa DPI aron babagan ang mga site gikan sa rehistro, kasagaran nga gi-configure aron ma-inspeksyon lamang ang paggawas nga trapiko.
Dili lamang ang pagka-epektibo sa pag-block sa trapiko, apan usab ang pagkarga sa DPI nagdepende sa tipo sa koneksyon, mao nga posible nga dili ma-scan ang tanan nga trapiko, apan pipila ra:
"Normal" nga DPI
Ang "regular" nga DPI usa ka DPI nga nagsala sa usa ka matang sa trapiko lamang sa labing komon nga mga pantalan alang sa maong matang. Pananglitan, ang usa ka "regular" nga DPI nakamatikod ug nag-block sa gidili nga trapiko sa HTTP sa port 80 lamang, ang trapiko sa HTTPS sa port 443. Kini nga matang sa DPI dili magsubay sa gidili nga sulod kon magpadala ka og hangyo nga adunay gibabagan nga URL ngadto sa usa ka unblocked IP o dili- standard nga pantalan.
"Tibuok" nga DPI
Dili sama sa "regular" nga DPI, kini nga matang sa DPI nagklasipikar sa trapiko bisan unsa pa ang IP address ug pantalan. Niining paagiha, ang mga gibabagan nga mga site dili maablihan bisan kung naggamit ka usa ka proxy server sa usa ka hingpit nga lahi nga pantalan ug wala gi-block nga IP address.
Paggamit sa DPI
Aron dili makunhuran ang rate sa pagbalhin sa data, kinahanglan nimo nga gamiton ang "Normal" passive DPI, nga nagtugot kanimo nga epektibo? block bisan unsa? mga kapanguhaan, ang default nga pag-configure ingon niini:
- Ang HTTP filter lamang sa port 80
- HTTPS lamang sa port 443
- BitTorrent lamang sa mga port 6881-6889
Apan ang mga problema magsugod kung ang kapanguhaan mogamit ug lahi nga pantalan aron dili mawala ang mga tiggamit, unya kinahanglan nimong susihon ang matag pakete, pananglitan mahimo nimong ihatag:
- Ang HTTP nagtrabaho sa port 80 ug 8080
- HTTPS sa port 443 ug 8443
- BitTorrent sa bisan unsang ubang banda
Tungod niini, kinahanglan ka nga mobalhin sa "Aktibo" nga DPI o mogamit sa pag-block gamit ang dugang nga DNS server.
Pag-block gamit ang DNS
Usa ka paagi sa pagbabag sa pag-access sa usa ka kapanguhaan mao ang pag-intercept sa hangyo sa DNS gamit ang usa ka lokal nga DNS server ug ibalik ang user sa usa ka "stub" IP address kaysa sa gikinahanglan nga kapanguhaan. Apan wala kini maghatag usa ka garantiya nga resulta, tungod kay posible nga mapugngan ang pagpanglimbong sa address:
Opsyon 1: Pag-edit sa mga host file (alang sa desktop)
Ang file sa host usa ka hinungdanon nga bahin sa bisan unsang operating system, nga nagtugot kanimo nga gamiton kini kanunay. Aron ma-access ang kapanguhaan, ang tiggamit kinahanglan:
- Hibal-i ang IP address sa gikinahanglan nga kapanguhaan
- Ablihi ang mga host file para sa pag-edit (gikinahanglan ang mga katungod sa tigdumala), nga nahimutang sa:
- Linux: /etc/hosts
- Windows: %WinDir%System32driversthosts
- Pagdugang og linya sa pormat: <pangalan sa kapanguhaan>
- Tipigi ang mga kausaban
Ang bentaha sa kini nga pamaagi mao ang pagkakomplikado niini ug ang kinahanglanon alang sa mga katungod sa tagdumala.
Opsyon 2: DoH (DNS sa HTTPS) o DoT (DNS sa TLS)
Kini nga mga pamaagi nagtugot kanimo sa pagpanalipod sa imong DNS nga hangyo gikan sa spoofing gamit ang encryption, apan ang pagpatuman dili suportado sa tanan nga mga aplikasyon. Atong tan-awon ang kasayon ββsa pag-set up sa DoH para sa Mozilla Firefox nga bersyon 66 gikan sa bahin sa user:
- Adto sa adres sa Firefox
- Kumpirma nga ang tiggamit nag-angkon sa tanan nga risgo
- Usba ang bili sa parameter network.trr.mode sa:
- 0 β i-disable ang TRR
- 1 - awtomatikong pagpili
- 2 - mahimo ang DoH sa default
- Usba ang parameter network.trr.uri pagpili sa DNS server
- Cloudflare DNS:
- GoogleDNS:
- Usba ang parameter network.trr.boostrapAddress sa:
- Kung gipili ang Cloudflare DNS: 1.1.1.1
- Kung gipili ang Google DNS: 8.8.8.8
- Usba ang bili sa parameter network.security.esni.enabled sa tinuod nga
- Susiha nga ang mga setting husto sa paggamit
Bisan kung kini nga pamaagi labi ka komplikado, wala kini magkinahanglan sa tiggamit nga adunay mga katungod sa tagdumala, ug adunay daghang uban pang mga paagi aron masiguro ang usa ka hangyo sa DNS nga wala gihulagway sa kini nga artikulo.
Opsyon 3 (para sa mga mobile device):
Gamit ang Cloudflare app sa ΠΈ .
Pagsulay
Aron masusi ang kakulang sa pag-access sa mga kapanguhaan, usa ka domain nga gibabagan sa Russian Federation temporaryo nga gipalit:
konklusyon
Nanghinaut ko nga kini nga artikulo mahimong mapuslanon ug makadasig dili lamang sa mga administrador nga masabtan ang hilisgutan sa mas detalyado, apan maghatag usab og pagsabot nga ang mga kahinguhaan anaa kanunay sa kiliran sa tiggamit, ug ang pagpangita alang sa bag-ong mga solusyon kinahanglan nga usa ka importante nga bahin alang kanila.
Mapuslanon nga mga link
Dugang sa gawas sa artikuloAng pagsulay sa Cloudflare dili makompleto sa network sa operator sa Tele2, ug ang usa ka husto nga gi-configure nga DPI nagpugong sa pag-access sa site sa pagsulay.
PS Sa pagkakaron kini ang una nga tighatag nga husto nga nagbabag sa mga kapanguhaan.
Source: www.habr.com