Questu articulu ùn copre micca l'ajustamentu DPI cumpletu è tuttu ciò chì hè cunnessu, è u valore scientificu di u testu hè minimu. Ma descrive u modu più simplice per bypassà DPI, chì parechje cumpagnie ùn anu micca pigliatu in contu.
Disclaimer #1: Questu articulu hè di natura di ricerca è ùn incuraghjenu nimu à fà o aduprà nunda. L'idea hè basatu annantu à l'esperienza persunale, è ogni similarità hè casuale.
Avvisu n ° 2: l'articulu ùn palesa micca i sicreti di l'Atlantis, a ricerca di u Santu Graal è altri misteri di l'universu, tuttu u materiale hè dispunibule liberamente è pò esse scrittu più di una volta nantu à Habré. (Ùn l'aghju micca trovu, aghju da ringrazià per u ligame)
Per quelli chì anu lettu l'avvirtimenti, cuminciamu.
Cosa hè DPI?
DPI o Deep Packet Inspection hè una tecnulugia per accumulà dati statistichi, cuntrollà è filtrà i pacchetti di rete analizendu micca solu l'intestazione di pacchetti, ma ancu u cuntenutu sanu di u trafficu à i livelli di u mudellu OSI da u sicondu è più altu, chì permette di detect è bluccà i virus, filtra l'infurmazioni chì ùn risponde micca à i criteri specificati.
DPI cunnessu à a reta di u fornitore in parallelu (micca in un tagliu) sia attraversu un splitter otticu passiu, sia cù mirroring di u trafficu originatu da l'utilizatori. Sta cunnessione ùn rallenta a velocità di a reta di u fornitore in casu di prestazione DPI insufficiente, per quessa hè aduprata da i grandi fornituri. DPI cù stu tipu di cunnessione pò tecnicamente solu detectà un tentativu di dumandà u cuntenutu pruibitu, ma ùn impedisce micca. Per scaccià sta restrizzione è bluccà l'accessu à un situ pruibitu, DPI manda à l'utilizatore chì dumanda un URL bluccatu un pacchettu HTTP apposta cun un redirect à a pagina stub di u fornitore, cum'è se una risposta hè stata mandata da a risorsa dumandata stessu (l'IP di u mittente). l'indirizzu è a sequenza TCP sò falsificate). Perchè u DPI hè fisicamente più vicinu à l'utilizatore chì u situ dumandatu, a risposta spoofed ghjunghje à u dispositivu di l'utilizatore più veloce da a risposta vera da u situ.
DPI attivu
Active DPI - DPI cunnessu à a reta di u fornitore in u modu di solitu, cum'è qualsiasi altru dispositivu di rete. U fornitore cunfigurà u routing in modu chì DPI riceve u trafficu da l'utilizatori à l'indirizzi IP o domini bluccati, è DPI poi decide se permette o bluccà u trafficu. DPI attivu pò inspeccionà u trafficu in uscita è in entrata, però, se u fornitore usa DPI solu per bluccà siti da u registru, hè più spessu cunfiguratu per inspeccionà solu u trafficu in uscita.
Micca solu l'efficacità di u bloccu di u trafficu, ma ancu a carica di DPI dipende da u tipu di cunnessione, per quessa hè pussibule micca scansà tuttu u trafficu, ma solu certi:
DPI "Normale".
Un DPI "regular" hè un DPI chì filtra un certu tipu di trafficu solu nantu à i porti più cumuni per quellu tipu. Per esempiu, un DPI "regular" detecta è bluccà u trafficu HTTP pruibitu solu in u portu 80, u trafficu HTTPS in u portu 443. Stu tipu di DPI ùn seguitarà micca u cuntenutu pruibitu si mandate una dumanda cù un URL bluccatu à un IP unblocked o non- portu standard.
DPI "full".
A cuntrariu di "regular" DPI, stu tipu di DPI classificà u trafficu indipendendu l'indirizzu IP è u portu. In questu modu, i siti bluccati ùn anu micca apertu ancu s'è vo avete aduprà un servitore proxy in un portu completamente diversu è l'indirizzu IP sbloccatu.
Utilizà DPI
Per ùn riduce a tarifa di trasferimentu di dati, avete bisognu di utilizà DPI passivu "Normale", chì permette di effittivamenti? bluccà qualcunu? risorse, a cunfigurazione predeterminata hè cusì:
Filtru HTTP solu nantu à u portu 80
HTTPS solu nantu à u portu 443
BitTorrent solu nantu à i porti 6881-6889
Ma i prublemi cumincianu se a risorsa aduprà un portu sfarente per ùn perde micca l'utilizatori, allura vi tuccherà à verificà ogni pacchettu, per esempiu, pudete dà:
HTTP funziona nantu à u portu 80 è 8080
HTTPS nantu à u portu 443 è 8443
BitTorrent nantu à qualsiasi altra banda
Per via di questu, duverete sia passà à DPI "Active" o aduprate u bloccu cù un servitore DNS supplementu.
Bloccu cù DNS
Una manera di bluccà l'accessu à una risorsa hè di interceptà a dumanda DNS utilizendu un servitore DNS locale è rinvià à l'utilizatore un indirizzu IP "stub" invece di a risorsa necessaria. Ma questu ùn dà micca un risultatu garantitu, postu chì hè pussibule di prevene l'indirizzu spoofing:
Opzione 1: Edite u schedariu di l'ospiti (per desktop)
U schedariu d'ospiti hè una parte integrante di qualsiasi sistema operatore, chì vi permette di aduprà sempre. Per accede à a risorsa, l'utilizatore deve:
Truvate l'indirizzu IP di a risorsa necessaria
Apertura u schedariu hosts per edità (diritti di amministratore richiesti), situatu in:
Linux: /etc/hosts
Windows: %WinDir%System32driversetchosts
Aghjunghjite una linea in u formatu: <nome di risorsa>
Salvà cambiamenti
U vantaghju di stu metudu hè a so cumplessità è u requisitu per i diritti di amministratore.
Opzione 2: DoH (DNS over HTTPS) o DoT (DNS over TLS)
Questi metudi permettenu di prutezzione di a vostra dumanda DNS da spoofing cù criptografia, ma l'implementazione ùn hè micca supportata da tutte l'applicazioni. Fighjemu a facilità di cunfigurà DoH per Mozilla Firefox versione 66 da u latu di l'utilizatori:
Ancu s'è stu metudu hè più cumplessu, ùn hè micca bisognu di l'utilizatori per avè diritti di amministratore, è ci sò parechje altre manere di assicurà una dumanda DNS chì ùn sò micca descritte in questu articulu.
Spergu chì questu articulu serà utile è incuraghjerà micca solu l'amministratori à capisce u tema in più detail, ma ancu darà un capiscenu chì e risorse seranu sempre da u latu di l'utilizatori, è a ricerca di novi suluzioni deve esse una parte integrante per elli.
Aghjunghje fora di l'articuluA prova Cloudflare ùn pò micca esse cumpletata nantu à a reta di l'operatore Tele2, è un DPI cunfiguratu currettamente impedisce l'accessu à u situ di prova.
PS Finu à quì hè u primu fornitore chì blucca currettamente e risorse.