In diesem Artikel geht es nicht um die vollständige DPI-Anpassung und alles, was damit zusammenhängt, und der wissenschaftliche Wert des Textes ist minimal. Es beschreibt jedoch den einfachsten Weg, DPI zu umgehen, den viele Unternehmen nicht berücksichtigt haben.
Haftungsausschluss Nr. 1: Dieser Artikel hat Forschungscharakter und ermutigt niemanden, etwas zu tun oder zu verwenden. Die Idee basiert auf persönlicher Erfahrung und etwaige Ähnlichkeiten sind zufällig.
Warnung Nr. 2: Der Artikel enthüllt nicht die Geheimnisse von Atlantis, die Suche nach dem Heiligen Gral und andere Geheimnisse des Universums; das gesamte Material ist frei verfügbar und wurde möglicherweise mehr als einmal auf Habré beschrieben. (Ich habe es nicht gefunden, ich wäre dankbar für den Link)
Für diejenigen, die die Warnungen gelesen haben: Fangen wir an.
Was ist DPI?
DPI oder Deep Packet Inspection ist eine Technologie zum Sammeln statistischer Daten, zum Überprüfen und Filtern von Netzwerkpaketen, indem nicht nur Paketheader, sondern auch der gesamte Inhalt des Datenverkehrs auf den Ebenen des OSI-Modells ab der zweiten und höheren Ebene analysiert werden, was Ihnen die Erkennung und Erkennung ermöglicht Blockieren Sie Viren und filtern Sie Informationen, die bestimmte Kriterien nicht erfüllen.
Es gibt zwei Arten von DPI-Verbindungen, die beschrieben werden :
Passive DPI
DPI ist parallel (nicht getrennt) mit dem Anbieternetzwerk verbunden, entweder über einen passiven optischen Splitter oder durch Spiegelung des von Benutzern ausgehenden Datenverkehrs. Diese Verbindung verlangsamt die Geschwindigkeit des Netzwerks des Anbieters nicht bei unzureichender DPI-Leistung, weshalb sie von großen Anbietern verwendet wird. DPI mit diesem Verbindungstyp kann einen Versuch, verbotene Inhalte anzufordern, technisch gesehen nur erkennen, ihn jedoch nicht stoppen. Um diese Einschränkung zu umgehen und den Zugriff auf eine verbotene Website zu blockieren, sendet DPI dem Benutzer, der eine blockierte URL anfordert, ein speziell gestaltetes HTTP-Paket mit einer Weiterleitung zur Stub-Seite des Anbieters, als ob eine solche Antwort von der angeforderten Ressource selbst (der IP des Absenders) gesendet worden wäre Adresse und TCP-Sequenz werden gefälscht). Da sich die DPI physisch näher am Benutzer befindet als die angeforderte Site, erreicht die gefälschte Antwort das Gerät des Benutzers schneller als die tatsächliche Antwort der Site.
Aktive DPI
Aktive DPI – DPI ist wie jedes andere Netzwerkgerät auf die übliche Weise mit dem Netzwerk des Anbieters verbunden. Der Anbieter konfiguriert das Routing so, dass DPI Datenverkehr von Benutzern zu blockierten IP-Adressen oder Domänen empfängt und DPI dann entscheidet, ob Datenverkehr zugelassen oder blockiert wird. Active DPI kann sowohl ausgehenden als auch eingehenden Datenverkehr überprüfen. Wenn der Anbieter DPI jedoch nur zum Blockieren von Websites aus der Registrierung verwendet, ist es meistens so konfiguriert, dass nur ausgehender Datenverkehr überprüft wird.
Nicht nur die Wirksamkeit der Verkehrsblockierung, sondern auch die DPI-Belastung hängt von der Art der Verbindung ab, sodass nicht der gesamte Verkehr gescannt werden kann, sondern nur bestimmte:
„Normale“ DPI
Ein „normaler“ DPI ist ein DPI, der einen bestimmten Datenverkehrstyp nur auf den für diesen Typ am häufigsten verwendeten Ports filtert. Beispielsweise erkennt und blockiert eine „normale“ DPI verbotenen HTTP-Verkehr nur auf Port 80, HTTPS-Verkehr auf Port 443. Diese Art von DPI verfolgt keine verbotenen Inhalte, wenn Sie eine Anfrage mit einer blockierten URL an eine nicht blockierte IP oder nicht blockierte IP-Adresse senden. Standardport.
„Volle“ DPI
Im Gegensatz zu „normalen“ DPI klassifiziert dieser DPI-Typ den Datenverkehr unabhängig von IP-Adresse und Port. Auf diese Weise werden blockierte Websites nicht geöffnet, selbst wenn Sie einen Proxyserver an einem völlig anderen Port und einer nicht blockierten IP-Adresse verwenden.
Verwendung von DPI
Um die Datenübertragungsrate nicht zu verringern, müssen Sie „normale“ passive DPI verwenden, was Ihnen eine effektive Nutzung ermöglicht? welche blockieren? Ressourcen sieht die Standardkonfiguration so aus:
- HTTP-Filter nur auf Port 80
- HTTPS nur auf Port 443
- BitTorrent nur auf den Ports 6881-6889
Aber Probleme beginnen, wenn Die Ressource verwendet einen anderen Port, um keine Benutzer zu verlieren, dann müssen Sie jedes Paket überprüfen, zum Beispiel können Sie Folgendes angeben:
- HTTP funktioniert auf Port 80 und 8080
- HTTPS auf Port 443 und 8443
- BitTorrent auf jedem anderen Band
Aus diesem Grund müssen Sie entweder auf „Aktive“ DPI umstellen oder die Blockierung über einen zusätzlichen DNS-Server nutzen.
Blockieren mit DNS
Eine Möglichkeit, den Zugriff auf eine Ressource zu blockieren, besteht darin, die DNS-Anfrage mithilfe eines lokalen DNS-Servers abzufangen und dem Benutzer eine „Stub“-IP-Adresse anstelle der erforderlichen Ressource zurückzugeben. Dies ist jedoch kein garantiertes Ergebnis, da Adressspoofing verhindert werden kann:
Option 1: Bearbeiten der Hosts-Datei (für Desktop)
Die Hosts-Datei ist ein integraler Bestandteil jedes Betriebssystems, sodass Sie sie jederzeit verwenden können. Um auf die Ressource zuzugreifen, muss der Benutzer:
- Ermitteln Sie die IP-Adresse der benötigten Ressource
- Öffnen Sie die Hosts-Datei zum Bearbeiten (Administratorrechte erforderlich). Sie befindet sich unter:
- Linux: /etc/hosts
- Windows: %WinDir%System32driversetchosts
- Fügen Sie eine Zeile im Format hinzu: <Ressourcenname>
- Änderungen speichern
Der Vorteil dieser Methode liegt in der Komplexität und der Notwendigkeit von Administratorrechten.
Option 2: DoH (DNS über HTTPS) oder DoT (DNS über TLS)
Mit diesen Methoden können Sie Ihre DNS-Anfrage durch Verschlüsselung vor Spoofing schützen, die Implementierung wird jedoch nicht von allen Anwendungen unterstützt. Schauen wir uns an, wie einfach es für den Benutzer ist, DoH für Mozilla Firefox Version 66 einzurichten:
- Zur Adresse gehen im Firefox
- Bestätigen Sie, dass der Benutzer das gesamte Risiko übernimmt
- Parameterwert ändern network.trr.mode на:
- 0 – TRR deaktivieren
- 1 - automatische Auswahl
- 2 – DoH standardmäßig aktivieren
- Parameter ändern network.trr.uri Auswahl des DNS-Servers
- Cloudflare-DNS:
- Google-DNS:
- Parameter ändern network.trr.boostrapAddress на:
- Wenn Cloudflare DNS ausgewählt ist: 1.1.1.1
- Wenn Google DNS ausgewählt ist: 8.8.8.8
- Parameterwert ändern network.security.esni.enabled auf was immer dies auch sein sollte.
- Überprüfen Sie mit, ob die Einstellungen korrekt sind
Obwohl diese Methode komplexer ist, erfordert sie keine Administratorrechte des Benutzers und es gibt viele andere Möglichkeiten, eine DNS-Anfrage abzusichern, die in diesem Artikel nicht beschrieben werden.
Option 3 (für mobile Geräte):
Verwenden der Cloudflare-App, um и .
Testing
Um den fehlenden Zugriff auf Ressourcen zu überprüfen, wurde vorübergehend eine in der Russischen Föderation gesperrte Domain erworben:
Abschluss
Ich hoffe, dass dieser Artikel nützlich ist und nicht nur Administratoren dazu anregt, das Thema genauer zu verstehen, sondern auch Verständnis dafür vermittelt Ressourcen werden immer auf der Seite des Benutzers sein und die Suche nach neuen Lösungen sollte für ihn ein integraler Bestandteil sein.
Nützliche Links
Zusatz außerhalb des ArtikelsDer Cloudflare-Test kann im Netzwerk des Tele2-Betreibers nicht abgeschlossen werden und eine korrekt konfigurierte DPI blockiert den Zugriff auf die Testseite.
PS Bisher ist dies der erste Anbieter, der Ressourcen korrekt blockiert.
Source: habr.com