Tento článek nepokrývá úplnou úpravu DPI a vše, co je spojeno dohromady, a vědecká hodnota textu je minimální. Popisuje ale nejjednodušší způsob, jak obejít DPI, se kterým mnoho společností nepočítalo.
Prohlášení č. 1: Tento článek je výzkumného charakteru a nikoho nenabádá, aby něco dělal nebo používal. Myšlenka je založena na osobní zkušenosti a jakékoli podobnosti jsou náhodné.
Upozornění č. 2: článek neodhaluje tajemství Atlantidy, hledání svatého grálu a další záhady vesmíru, veškerý materiál je volně dostupný a možná byl na Habrém popsán vícekrát. (nenašel jsem, budu vděčný za odkaz)
Pro ty, kteří četli varování, začněme.
Co je DPI?
DPI neboli Deep Packet Inspection je technologie pro shromažďování statistických dat, kontrolu a filtrování síťových paketů analýzou nejen hlaviček paketů, ale také celého obsahu provozu na úrovních modelu OSI od druhé a vyšší, což umožňuje detekovat a blokovat viry, filtrovat informace, které nesplňují zadaná kritéria.
Existují dva typy připojení DPI, které jsou popsány :
Pasivní DPI
DPI připojené k síti poskytovatele paralelně (ne v řezu) buď přes pasivní optický splitter, nebo pomocí zrcadlení provozu pocházejícího od uživatelů. Toto připojení nezpomaluje rychlost sítě poskytovatele v případě nedostatečného výkonu DPI, proto jej využívají velcí poskytovatelé. DPI s tímto typem připojení dokáže technicky pouze detekovat pokus o vyžádání zakázaného obsahu, ale nezastavit jej. Aby DPI obešlo toto omezení a zablokovalo přístup na zakázaný web, odešle uživateli požadujícímu blokovanou adresu URL speciálně vytvořený HTTP paket s přesměrováním na stub stránku poskytovatele, jako by takovou odpověď odeslal samotný požadovaný zdroj (IP odesílatele adresa a sekvence TCP jsou podvrženy). Vzhledem k tomu, že DPI je fyzicky blíže k uživateli než požadovaná stránka, podvržená odpověď se dostane do zařízení uživatele rychleji než skutečná odpověď z webu.
Aktivní DPI
Aktivní DPI - DPI připojené k síti poskytovatele obvyklým způsobem, jako jakékoli jiné síťové zařízení. Poskytovatel nakonfiguruje směrování tak, aby DPI přijímalo provoz od uživatelů na blokované IP adresy nebo domény, a DPI pak rozhodne, zda provoz povolí nebo zablokuje. Aktivní DPI může kontrolovat odchozí i příchozí provoz, pokud však poskytovatel používá DPI pouze k blokování webů z registru, je nejčastěji nakonfigurován tak, aby kontroloval pouze odchozí provoz.
Nejen účinnost blokování provozu, ale také zatížení DPI závisí na typu připojení, takže je možné nekontrolovat veškerý provoz, ale pouze určitý:
"Normální" DPI
„Normální“ DPI je DPI, které filtruje určitý typ provozu pouze na nejběžnějších portech pro tento typ. Například „běžné“ DPI detekuje a blokuje zakázaný HTTP provoz pouze na portu 80, HTTPS provoz na portu 443. Tento typ DPI nebude sledovat zakázaný obsah, pokud odešlete požadavek se zablokovanou URL na neblokovanou IP nebo standardní port.
"Plné" DPI
Na rozdíl od „běžného“ DPI tento typ DPI klasifikuje provoz bez ohledu na IP adresu a port. Tímto způsobem se zablokované stránky neotevřou, i když používáte proxy server na úplně jiném portu a odblokované IP adrese.
Pomocí DPI
Aby nedošlo ke snížení rychlosti přenosu dat, musíte použít „Normální“ pasivní DPI, které vám umožní efektivně? blokovat nějaké? zdrojů, výchozí konfigurace vypadá takto:
- HTTP filtr pouze na portu 80
- HTTPS pouze na portu 443
- BitTorrent pouze na portech 6881-6889
Problémy ale začínají, pokud zdroj použije jiný port, aby nepřišel o uživatele, pak budete muset zkontrolovat každý balíček, například můžete zadat:
- HTTP funguje na portech 80 a 8080
- HTTPS na portu 443 a 8443
- BitTorrent na jakémkoli jiném pásmu
Z tohoto důvodu budete muset buď přepnout na „Aktivní“ DPI, nebo použít blokování pomocí dalšího serveru DNS.
Blokování pomocí DNS
Jedním ze způsobů, jak zablokovat přístup ke zdroji, je zachytit požadavek DNS pomocí místního serveru DNS a vrátit uživateli „stub“ IP adresu namísto požadovaného zdroje. To však nedává zaručený výsledek, protože je možné zabránit falšování adresy:
Možnost 1: Úprava souboru hosts (pro počítač)
Soubor hosts je nedílnou součástí každého operačního systému, což vám umožňuje jej vždy používat. Pro přístup ke zdroji musí uživatel:
- Zjistěte IP adresu požadovaného zdroje
- Otevřete soubor hosts pro úpravy (vyžadují se práva správce), který se nachází v:
- Linux: /etc/hosts
- Windows: %WinDir%System32driversetchosts
- Přidejte řádek ve formátu: <název zdroje>
- Uložit změny
Výhodou této metody je její komplexnost a požadavek na administrátorská práva.
Možnost 2: DoH (DNS přes HTTPS) nebo DoT (DNS přes TLS)
Tyto metody umožňují chránit váš požadavek DNS před falšováním pomocí šifrování, ale implementace není podporována všemi aplikacemi. Podívejme se na snadnost nastavení DoH pro Mozilla Firefox verze 66 ze strany uživatele:
- Přejděte na adresu ve Firefoxu
- Potvrďte, že uživatel přebírá všechna rizika
- Změňte hodnotu parametru network.trr.mode v:
- 0 — deaktivovat TRR
- 1 - automatický výběr
- 2 - ve výchozím nastavení povolit DoH
- Změňte parametr network.trr.uri výběr serveru DNS
- Cloudflare DNS:
- GoogleDNS:
- Změňte parametr network.trr.boostrapAddress v:
- Pokud je vybrán Cloudflare DNS: 1.1.1.1
- Pokud je vybrán Google DNS: 8.8.8.8
- Změňte hodnotu parametru síť.zabezpečení.esni.povoleno na pravdivý
- Zkontrolujte správnost nastavení pomocí
Přestože je tato metoda složitější, nevyžaduje od uživatele práva správce a existuje mnoho dalších způsobů zabezpečení požadavku DNS, které nejsou popsány v tomto článku.
Možnost 3 (pro mobilní zařízení):
Pomocí aplikace Cloudflare и .
Testování
Pro kontrolu nedostatku přístupu ke zdrojům byla dočasně zakoupena doména blokovaná v Ruské federaci:
Závěr
Doufám, že tento článek bude užitečný a povzbudí nejen administrátory, aby porozuměli tématu podrobněji, ale také porozumí tomu, zdroje budou vždy na straně uživatele a hledání nových řešení by pro něj mělo být nedílnou součástí.
Užitečné odkazy
Doplnění mimo článekTest Cloudflare nelze dokončit v síti operátora Tele2 a správně nakonfigurované DPI blokuje přístup k testovacímu webu.
PS Zatím je to první poskytovatel, který správně blokuje zdroje.
Zdroj: www.habr.com