Funzioni di i paràmetri DPI

Questu articulu ùn copre micca l'ajustamentu DPI cumpletu è tuttu ciò chì hè cunnessu, è u valore scientificu di u testu hè minimu. Ma descrive u modu più simplice per bypassà DPI, chì parechje cumpagnie ùn anu micca pigliatu in contu.

Disclaimer #1: Questu articulu hè di natura di ricerca è ùn incuraghjenu nimu à fà o aduprà nunda. L'idea hè basatu annantu à l'esperienza persunale, è ogni similarità hè casuale.

Avvisu n ° 2: l'articulu ùn palesa micca i sicreti di l'Atlantis, a ricerca di u Santu Graal è altri misteri di l'universu, tuttu u materiale hè dispunibule liberamente è pò esse scrittu più di una volta nantu à Habré. (Ùn l'aghju micca trovu, aghju da ringrazià per u ligame)

Per quelli chì anu lettu l'avvirtimenti, cuminciamu.

Cosa hè DPI?

DPI o Deep Packet Inspection hè una tecnulugia per accumulà dati statistichi, cuntrollà è filtrà i pacchetti di rete analizendu micca solu l'intestazione di pacchetti, ma ancu u cuntenutu sanu di u trafficu à i livelli di u mudellu OSI da u sicondu è più altu, chì permette di detect è bluccà i virus, filtra l'infurmazioni chì ùn risponde micca à i criteri specificati.

Ci sò dui tipi di cunnessione DPI, chì sò descritti ValdikSS nantu à github:

DPI passivu

DPI cunnessu à a reta di u fornitore in parallelu (micca in un tagliu) sia attraversu un splitter otticu passiu, sia cù mirroring di u trafficu originatu da l'utilizatori. Sta cunnessione ùn rallenta a velocità di a reta di u fornitore in casu di prestazione DPI insufficiente, per quessa hè aduprata da i grandi fornituri. DPI cù stu tipu di cunnessione pò tecnicamente solu detectà un tentativu di dumandà u cuntenutu pruibitu, ma ùn impedisce micca. Per scaccià sta restrizzione è bluccà l'accessu à un situ pruibitu, DPI manda à l'utilizatore chì dumanda un URL bluccatu un pacchettu HTTP apposta cun un redirect à a pagina stub di u fornitore, cum'è se una risposta hè stata mandata da a risorsa dumandata stessu (l'IP di u mittente). l'indirizzu è a sequenza TCP sò falsificate). Perchè u DPI hè fisicamente più vicinu à l'utilizatore chì u situ dumandatu, a risposta spoofed ghjunghje à u dispositivu di l'utilizatore più veloce da a risposta vera da u situ.

DPI attivu

Active DPI - DPI cunnessu à a reta di u fornitore in u modu di solitu, cum'è qualsiasi altru dispositivu di rete. U fornitore cunfigurà u routing in modu chì DPI riceve u trafficu da l'utilizatori à l'indirizzi IP o domini bluccati, è DPI poi decide se permette o bluccà u trafficu. DPI attivu pò inspeccionà u trafficu in uscita è in entrata, però, se u fornitore usa DPI solu per bluccà siti da u registru, hè più spessu cunfiguratu per inspeccionà solu u trafficu in uscita.

Micca solu l'efficacità di u bloccu di u trafficu, ma ancu a carica di DPI dipende da u tipu di cunnessione, per quessa hè pussibule micca scansà tuttu u trafficu, ma solu certi:

DPI "Normale".

Un DPI "regular" hè un DPI chì filtra un certu tipu di trafficu solu nantu à i porti più cumuni per quellu tipu. Per esempiu, un DPI "regular" detecta è bluccà u trafficu HTTP pruibitu solu in u portu 80, u trafficu HTTPS in u portu 443. Stu tipu di DPI ùn seguitarà micca u cuntenutu pruibitu si mandate una dumanda cù un URL bluccatu à un IP unblocked o non- portu standard.

DPI "full".

A cuntrariu di "regular" DPI, stu tipu di DPI classificà u trafficu indipendendu l'indirizzu IP è u portu. In questu modu, i siti bluccati ùn anu micca apertu ancu s'è vo avete aduprà un servitore proxy in un portu completamente diversu è l'indirizzu IP sbloccatu.

Utilizà DPI

Per ùn riduce a tarifa di trasferimentu di dati, avete bisognu di utilizà DPI passivu "Normale", chì permette di effittivamenti? bluccà qualcunu? risorse, a cunfigurazione predeterminata hè cusì:

• Filtru HTTP solu nantu à u portu 80
• HTTPS solu nantu à u portu 443
• BitTorrent solu nantu à i porti 6881-6889

Ma i prublemi cumincianu se a risorsa aduprà un portu sfarente per ùn perde micca l'utilizatori, allura vi tuccherà à verificà ogni pacchettu, per esempiu, pudete dà:

• HTTP funziona nantu à u portu 80 è 8080
• HTTPS nantu à u portu 443 è 8443
• BitTorrent nantu à qualsiasi altra banda

Per via di questu, duverete sia passà à DPI "Active" o aduprate u bloccu cù un servitore DNS supplementu.

Bloccu cù DNS

Una manera di bluccà l'accessu à una risorsa hè di interceptà a dumanda DNS utilizendu un servitore DNS locale è rinvià à l'utilizatore un indirizzu IP "stub" invece di a risorsa necessaria. Ma questu ùn dà micca un risultatu garantitu, postu chì hè pussibule di prevene l'indirizzu spoofing:

Opzione 1: Edite u schedariu di l'ospiti (per desktop)

U schedariu d'ospiti hè una parte integrante di qualsiasi sistema operatore, chì vi permette di aduprà sempre. Per accede à a risorsa, l'utilizatore deve:

1. Truvate l'indirizzu IP di a risorsa necessaria
2. Apertura u schedariu hosts per edità (diritti di amministratore richiesti), situatu in:
   • Linux: /etc/hosts
   • Windows: %WinDir%System32driversetchosts
3. Aghjunghjite una linea in u formatu: <nome di risorsa>
4. Salvà cambiamenti

U vantaghju di stu metudu hè a so cumplessità è u requisitu per i diritti di amministratore.

Opzione 2: DoH (DNS over HTTPS) o DoT (DNS over TLS)

Questi metudi permettenu di prutezzione di a vostra dumanda DNS da spoofing cù criptografia, ma l'implementazione ùn hè micca supportata da tutte l'applicazioni. Fighjemu a facilità di cunfigurà DoH per Mozilla Firefox versione 66 da u latu di l'utilizatori:

1. Andate à l'indirizzu circa: config in Firefox
2. Confirmate chì l'utilizatore assume tutti i rischi
3. Cambia u valore di u paràmetru network.trr.mode nantu à:
   • 0 - disattivà TRR
   • 1 - selezzione automatica
   • 2 - attivate DoH per difettu
4. Cambia u paràmetru network.trr.uri selezziunate u servitore DNS
   • Cloudflare DNS: mozilla.cloudflare-dns.com/dns-query
   • DNS di Google: dns.google.com/experimental
5. Cambia u paràmetru network.trr.boostrapAddress nantu à:
   • Se Cloudflare DNS hè sceltu: 1.1.1.1
   • Se Google DNS hè sceltu: 8.8.8.8
6. Cambia u valore di u paràmetru network.security.esni.enabled nantu vera
7. Verificate chì i paràmetri sò curretti cù l'usu serviziu Cloudflare

Ancu s'è stu metudu hè più cumplessu, ùn hè micca bisognu di l'utilizatori per avè diritti di amministratore, è ci sò parechje altre manere di assicurà una dumanda DNS chì ùn sò micca descritte in questu articulu.

Opzione 3 (per i dispositi mobili):

Utilizendu l'app Cloudflare per Android и ios.

Prucessioni

Per verificà a mancanza di accessu à e risorse, un duminiu bluccatu in a Federazione Russa hè statu temporaneamente acquistatu:

• Verificate HTTP + portu 80
• Verificate HTTP + portu 8080
• Verificate HTTPS + portu 443
• Verificate HTTPS + portu 8443

cunchiusioni

Spergu chì questu articulu serà utile è incuraghjerà micca solu l'amministratori à capisce u tema in più detail, ma ancu darà un capiscenu chì e risorse seranu sempre da u latu di l'utilizatori, è a ricerca di novi suluzioni deve esse una parte integrante per elli.

E ligami utili

• Implementazione di u standard SNI Encrypted in Firefox
• Bypass DPI offline

Aghjunghje fora di l'articuluA prova Cloudflare ùn pò micca esse cumpletata nantu à a reta di l'operatore Tele2, è un DPI cunfiguratu currettamente impedisce l'accessu à u situ di prova.
PS Finu à quì hè u primu fornitore chì blucca currettamente e risorse.

Source: www.habr.com