Funktioner af DPI-indstillinger

Denne artikel dækker ikke fuld DPI-justering og alt forbundet sammen, og den videnskabelige værdi af teksten er minimal. Men den beskriver den enkleste måde at omgå DPI, som mange virksomheder ikke har taget højde for.

Ansvarsfraskrivelse #1: Denne artikel er af forskningsmæssig karakter og opfordrer ikke nogen til at gøre eller bruge noget som helst. Idéen er baseret på personlig erfaring, og eventuelle ligheder er tilfældige.

Advarsel nr. 2: artiklen afslører ikke Atlantis hemmeligheder, søgen efter den hellige gral og andre mysterier i universet, alt materiale er frit tilgængeligt og kan være blevet beskrevet mere end én gang på Habré. (Jeg fandt det ikke, jeg ville være taknemmelig for linket)

For dem, der har læst advarslerne, lad os begynde.

Hvad er DPI?

DPI eller Deep Packet Inspection er en teknologi til akkumulering af statistiske data, kontrol og filtrering af netværkspakker ved at analysere ikke kun pakkeheadere, men også det fulde indhold af trafik på niveauer af OSI-modellen fra den anden og højere, hvilket giver dig mulighed for at detektere og blokere vira, filtrere information, der ikke opfylder specificerede kriterier.

Der er to typer DPI-forbindelse, som er beskrevet ValdikSS på github:

Passiv DPI

DPI forbundet til udbyderens netværk parallelt (ikke i et snit) enten gennem en passiv optisk splitter eller ved hjælp af spejling af trafik, der stammer fra brugere. Denne forbindelse sænker ikke hastigheden på udbyderens netværk i tilfælde af utilstrækkelig DPI-ydelse, hvorfor den bruges af store udbydere. DPI med denne forbindelsestype kan teknisk set kun registrere et forsøg på at anmode om forbudt indhold, men ikke stoppe det. For at omgå denne begrænsning og blokere adgang til et forbudt websted, sender DPI brugeren, der anmoder om en blokeret URL, en specielt udformet HTTP-pakke med en omdirigering til udbyderens stubside, som om et sådant svar blev sendt af den anmodede ressource selv (afsenderens IP-adresse). adresse og TCP-sekvens er forfalsket). Fordi DPI'en fysisk er tættere på brugeren end det anmodede websted, når det spoofede svar brugerens enhed hurtigere end det reelle svar fra webstedet.

Aktiv DPI

Aktiv DPI - DPI forbundet til udbyderens netværk på den sædvanlige måde, som enhver anden netværksenhed. Udbyderen konfigurerer routing, så DPI modtager trafik fra brugere til blokerede IP-adresser eller domæner, og DPI beslutter derefter, om trafik skal tillades eller blokeres. Active DPI kan inspicere både udgående og indgående trafik, men hvis udbyderen kun bruger DPI til at blokere websteder fra registreringsdatabasen, er den oftest konfigureret til kun at inspicere udgående trafik.

Ikke kun effektiviteten af ​​trafikblokering, men også belastningen på DPI afhænger af typen af ​​forbindelse, så det er muligt ikke at scanne al trafik, men kun visse:

"Normal" DPI

En "almindelig" DPI er en DPI, der kun filtrerer en bestemt type trafik på de mest almindelige porte for den type. For eksempel registrerer og blokerer en "almindelig" DPI kun forbudt HTTP-trafik på port 80, HTTPS-trafik på port 443. Denne type DPI vil ikke spore forbudt indhold, hvis du sender en anmodning med en blokeret URL til en ublokeret IP eller ikke- standard port.

"Fuld" DPI

I modsætning til "almindelig" DPI klassificerer denne type DPI trafik uanset IP-adresse og port. På denne måde vil blokerede websteder ikke åbne, selvom du bruger en proxyserver på en helt anden port og ublokeret IP-adresse.

Bruger DPI

For ikke at reducere dataoverførselshastigheden, skal du bruge "Normal" passiv DPI, som giver dig mulighed for effektivt? blokere nogen? ressourcer, ser standardkonfigurationen sådan ud:

• HTTP-filter kun på port 80
• HTTPS kun på port 443
• BitTorrent kun på porte 6881-6889

Men problemer begynder hvis ressourcen vil bruge en anden port for ikke at miste brugere, så skal du tjekke hver pakke, for eksempel kan du give:

• HTTP fungerer på port 80 og 8080
• HTTPS på port 443 og 8443
• BitTorrent på ethvert andet band

På grund af dette skal du enten skifte til "Aktiv" DPI eller bruge blokering ved hjælp af en ekstra DNS-server.

Blokering ved hjælp af DNS

En måde at blokere adgangen til en ressource på er at opsnappe DNS-anmodningen ved hjælp af en lokal DNS-server og returnere brugeren en "stub" IP-adresse i stedet for den nødvendige ressource. Men dette giver ikke et garanteret resultat, da det er muligt at forhindre adressespoofing:

Mulighed 1: Redigering af værtsfilen (til desktop)

Hosts-filen er en integreret del af ethvert operativsystem, som giver dig mulighed for altid at bruge den. For at få adgang til ressourcen skal brugeren:

1. Find ud af IP-adressen på den nødvendige ressource
2. Åbn værtsfilen til redigering (kræver administratorrettigheder), placeret i:
   • Linux: /etc/hosts
   • Windows: %WinDir%System32driversetchosts
3. Tilføj en linje i formatet:
4. Gem ændringer

Fordelen ved denne metode er dens kompleksitet og kravet om administratorrettigheder.

Mulighed 2: DoH (DNS over HTTPS) eller DoT (DNS over TLS)

Disse metoder giver dig mulighed for at beskytte din DNS-anmodning mod spoofing ved hjælp af kryptering, men implementeringen understøttes ikke af alle applikationer. Lad os se på, hvor let det er at konfigurere DoH til Mozilla Firefox version 66 fra brugerens side:

1. Gå til adressen about: config i Firefox
2. Bekræft, at brugeren påtager sig al risiko
3. Skift parameterværdi netværk.trr.tilstand på den:
   • 0 - deaktiver TRR
   • 1 - automatisk valg
   • 2 - aktiver DoH som standard
4. Skift parameter netværk.trr.uri ved at vælge DNS-server
   • Cloudflare DNS: mozilla.cloudflare-dns.com/dns-query
   • GoogleDNS: dns.google.com/experimental
5. Skift parameter network.trr.boostrapAddress på den:
   • Hvis Cloudflare DNS er valgt: 1.1.1.1
   • Hvis Google DNS er valgt: 8.8.8.8
6. Skift parameterværdi netværk.sikkerhed.esni.aktiveret på sand
7. Kontroller, at indstillingerne er korrekte vha Cloudflare service

Selvom denne metode er mere kompleks, kræver den ikke, at brugeren har administratorrettigheder, og der er mange andre måder at sikre en DNS-anmodning på, som ikke er beskrevet i denne artikel.

Mulighed 3 (for mobile enheder):

Brug af Cloudflare-appen til at Android и IOS.

Test

For at kontrollere manglen på adgang til ressourcer blev der midlertidigt købt et domæne blokeret i Den Russiske Føderation:

• HTTP check + port 80
• HTTP check + port 8080
• HTTPS check + port 443
• HTTPS check + port 8443

Konklusion

Jeg håber, at denne artikel vil være nyttig og vil opmuntre ikke kun administratorer til at forstå emnet mere detaljeret, men vil også give en forståelse for, at ressourcer vil altid være på brugerens side, og søgen efter nye løsninger bør være en integreret del for dem.

Nyttige links

• Implementering af den krypterede SNI-standard i Firefox
• Offline DPI Bypass

Tilføjelse uden for artiklenCloudflare-testen kan ikke gennemføres på Tele2-operatørens netværk, og en korrekt konfigureret DPI blokerer adgangen til teststedet.
P.S. Indtil videre er dette den første udbyder, der har blokeret ressourcer korrekt.

Kilde: www.habr.com