Χαρακτηριστικά των ρυθμίσεων DPI

Αυτό το άρθρο δεν καλύπτει την πλήρη προσαρμογή του DPI και όλα όσα συνδέονται μεταξύ τους και η επιστημονική αξία του κειμένου είναι ελάχιστη. Αλλά περιγράφει τον απλούστερο τρόπο παράκαμψης του DPI, τον οποίο πολλές εταιρείες δεν έχουν λάβει υπόψη.

Αποποίηση ευθυνών #1: Αυτό το άρθρο έχει ερευνητικό χαρακτήρα και δεν ενθαρρύνει κανέναν να κάνει ή να χρησιμοποιήσει οτιδήποτε. Η ιδέα βασίζεται σε προσωπική εμπειρία και οι όποιες ομοιότητες είναι τυχαίες.

Προειδοποίηση Νο. 2: το άρθρο δεν αποκαλύπτει τα μυστικά της Ατλαντίδας, την αναζήτηση για το Άγιο Δισκοπότηρο και άλλα μυστήρια του σύμπαντος, όλο το υλικό είναι ελεύθερα διαθέσιμο και μπορεί να έχει περιγραφεί περισσότερες από μία φορές στο Habré. (Δεν το βρήκα, θα ήμουν ευγνώμων για τον σύνδεσμο)

Για όσους έχουν διαβάσει τις προειδοποιήσεις, ας ξεκινήσουμε.

Τι είναι το DPI;

Το DPI ή Deep Packet Inspection είναι μια τεχνολογία για τη συσσώρευση στατιστικών δεδομένων, τον έλεγχο και το φιλτράρισμα πακέτων δικτύου αναλύοντας όχι μόνο τις κεφαλίδες πακέτων, αλλά και το πλήρες περιεχόμενο της κίνησης σε επίπεδα του μοντέλου OSI από το δεύτερο και υψηλότερο, το οποίο σας επιτρέπει να ανιχνεύετε και αποκλεισμός ιών, φιλτράρισμα πληροφοριών που δεν πληρούν καθορισμένα κριτήρια.

Υπάρχουν δύο τύποι σύνδεσης DPI, οι οποίοι περιγράφονται ValdikSS στο github:

Παθητικό DPI

Το DPI είναι συνδεδεμένο στο δίκτυο παρόχου παράλληλα (όχι σε αποκοπή) είτε μέσω παθητικού οπτικού διαχωριστή είτε χρησιμοποιώντας κατοπτρισμό της κίνησης που προέρχεται από χρήστες. Αυτή η σύνδεση δεν επιβραδύνει την ταχύτητα του δικτύου του παρόχου σε περίπτωση ανεπαρκούς απόδοσης DPI, γι' αυτό και χρησιμοποιείται από μεγάλους παρόχους. Το DPI με αυτόν τον τύπο σύνδεσης μπορεί τεχνικά να ανιχνεύσει μόνο μια προσπάθεια αίτησης απαγορευμένου περιεχομένου, αλλά όχι να τη σταματήσει. Για να παρακάμψει αυτόν τον περιορισμό και να αποκλείσει την πρόσβαση σε έναν απαγορευμένο ιστότοπο, το DPI στέλνει στον χρήστη ζητώντας μια αποκλεισμένη διεύθυνση URL ένα ειδικά δημιουργημένο πακέτο HTTP με ανακατεύθυνση στη σελίδα απόκομμα του παρόχου, σαν μια τέτοια απάντηση να είχε σταλεί από τον ίδιο τον πόρο που ζητήθηκε (η IP του αποστολέα η διεύθυνση και η ακολουθία TCP είναι πλαστές). Επειδή το DPI είναι φυσικά πιο κοντά στον χρήστη από τον ιστότοπο που ζητήθηκε, η πλαστογραφημένη απόκριση φτάνει στη συσκευή του χρήστη πιο γρήγορα από την πραγματική απόκριση από τον ιστότοπο.

Ενεργό DPI

Ενεργό DPI - DPI συνδεδεμένο στο δίκτυο του παρόχου με τον συνήθη τρόπο, όπως κάθε άλλη συσκευή δικτύου. Ο πάροχος διαμορφώνει τη δρομολόγηση έτσι ώστε το DPI να λαμβάνει κίνηση από χρήστες σε αποκλεισμένες διευθύνσεις IP ή τομείς και, στη συνέχεια, το DPI αποφασίζει εάν θα επιτρέψει ή θα αποκλείσει την κυκλοφορία. Το Active DPI μπορεί να επιθεωρήσει τόσο την εξερχόμενη όσο και την εισερχόμενη επισκεψιμότητα, ωστόσο, εάν ο πάροχος χρησιμοποιεί DPI μόνο για να αποκλείσει τοποθεσίες από το μητρώο, είναι συνήθως ρυθμισμένο να επιθεωρεί μόνο την εξερχόμενη κυκλοφορία.

Όχι μόνο η αποτελεσματικότητα του αποκλεισμού κυκλοφορίας, αλλά και το φορτίο στο DPI εξαρτάται από τον τύπο της σύνδεσης, επομένως είναι δυνατό να μην σαρώσετε όλη την κίνηση, αλλά μόνο ορισμένες:

"Κανονικό" DPI

Ένα "κανονικό" DPI είναι ένα DPI που φιλτράρει έναν συγκεκριμένο τύπο κίνησης μόνο στις πιο κοινές θύρες για αυτόν τον τύπο. Για παράδειγμα, ένα "κανονικό" DPI εντοπίζει και αποκλείει την απαγορευμένη κυκλοφορία HTTP μόνο στη θύρα 80, την κυκλοφορία HTTPS στη θύρα 443. Αυτός ο τύπος DPI δεν παρακολουθεί απαγορευμένο περιεχόμενο εάν στείλετε ένα αίτημα με αποκλεισμένη διεύθυνση URL σε μη αποκλεισμένη IP ή μη τυπική θύρα.

"Πλήρης" DPI

Σε αντίθεση με το "κανονικό" DPI, αυτός ο τύπος DPI ταξινομεί την κυκλοφορία ανεξάρτητα από τη διεύθυνση IP και τη θύρα. Με αυτόν τον τρόπο, οι αποκλεισμένοι ιστότοποι δεν θα ανοίξουν ακόμη και αν χρησιμοποιείτε διακομιστή μεσολάβησης σε εντελώς διαφορετική θύρα και μη αποκλεισμένη διεύθυνση IP.

Χρήση DPI

Για να μην μειώσετε τον ρυθμό μεταφοράς δεδομένων, πρέπει να χρησιμοποιήσετε το "Κανονικό" παθητικό DPI, το οποίο σας επιτρέπει αποτελεσματικά; μπλοκάρει κανένα; πόρους, η προεπιλεγμένη διαμόρφωση μοιάζει με αυτό:

• Φίλτρο HTTP μόνο στη θύρα 80
• HTTPS μόνο στη θύρα 443
• BitTorrent μόνο στις θύρες 6881-6889

Αλλά τα προβλήματα αρχίζουν αν ο πόρος θα χρησιμοποιήσει διαφορετική θύρα για να μην χάσει χρήστες, τότε θα πρέπει να ελέγξετε κάθε πακέτο, για παράδειγμα μπορείτε να δώσετε:

• Το HTTP λειτουργεί στις θύρες 80 και 8080
• HTTPS στις θύρες 443 και 8443
• BitTorrent σε οποιαδήποτε άλλη μπάντα

Εξαιτίας αυτού, θα πρέπει είτε να μεταβείτε σε "Ενεργό" DPI ή να χρησιμοποιήσετε τον αποκλεισμό χρησιμοποιώντας έναν πρόσθετο διακομιστή DNS.

Αποκλεισμός με χρήση DNS

Ένας τρόπος για να αποκλείσετε την πρόσβαση σε έναν πόρο είναι να υποκλέψετε το αίτημα DNS χρησιμοποιώντας έναν τοπικό διακομιστή DNS και να επιστρέψετε στον χρήστη μια διεύθυνση IP "stub" αντί για τον απαιτούμενο πόρο. Αλλά αυτό δεν δίνει ένα εγγυημένο αποτέλεσμα, καθώς είναι δυνατό να αποφευχθεί η πλαστογράφηση διεύθυνσης:

Επιλογή 1: Επεξεργασία του αρχείου hosts (για επιφάνεια εργασίας)

Το αρχείο hosts είναι αναπόσπαστο μέρος οποιουδήποτε λειτουργικού συστήματος, το οποίο σας επιτρέπει να το χρησιμοποιείτε πάντα. Για να αποκτήσει πρόσβαση στον πόρο, ο χρήστης πρέπει:

1. Μάθετε τη διεύθυνση IP του απαιτούμενου πόρου
2. Ανοίξτε το αρχείο hosts για επεξεργασία (απαιτούνται δικαιώματα διαχειριστή), που βρίσκεται στη διεύθυνση:
   • Linux: /etc/hosts
   • Windows: %WinDir%System32driversetchosts
3. Προσθέστε μια γραμμή στη μορφή:
4. Αποθήκευσε τις αλλαγές

Το πλεονέκτημα αυτής της μεθόδου είναι η πολυπλοκότητά της και η απαίτηση για δικαιώματα διαχειριστή.

Επιλογή 2: DoH (DNS μέσω HTTPS) ή DoT (DNS μέσω TLS)

Αυτές οι μέθοδοι σάς επιτρέπουν να προστατεύσετε το αίτημά σας DNS από πλαστογράφηση χρησιμοποιώντας κρυπτογράφηση, αλλά η υλοποίηση δεν υποστηρίζεται από όλες τις εφαρμογές. Ας δούμε την ευκολία ρύθμισης DoH για Mozilla Firefox έκδοση 66 από την πλευρά του χρήστη:

1. Μεταβείτε στη διεύθυνση about: config στον Firefox
2. Επιβεβαιώστε ότι ο χρήστης αναλαμβάνει όλο τον κίνδυνο
3. Αλλαγή τιμής παραμέτρου network.trr.mode στις:
   • 0 - απενεργοποιήστε το TRR
   • 1 - αυτόματη επιλογή
   • 2 - ενεργοποιήστε το DoH από προεπιλογή
4. Αλλαγή παραμέτρου δίκτυο.trr.uri επιλέγοντας διακομιστή DNS
   • Cloudflare DNS: mozilla.cloudflare-dns.com/dns-query
   • DNS Google: dns.google.com/experimental
5. Αλλαγή παραμέτρου network.trr.boostrapAddress στις:
   • Εάν έχει επιλεγεί το Cloudflare DNS: 1.1.1.1
   • Εάν έχει επιλεγεί το Google DNS: 8.8.8.8
6. Αλλαγή τιμής παραμέτρου network.security.esni.enabled επί αληθής
7. Ελέγξτε ότι οι ρυθμίσεις είναι σωστές χρησιμοποιώντας Υπηρεσία Cloudflare

Αν και αυτή η μέθοδος είναι πιο περίπλοκη, δεν απαιτεί από τον χρήστη να έχει δικαιώματα διαχειριστή και υπάρχουν πολλοί άλλοι τρόποι για να διασφαλίσετε ένα αίτημα DNS που δεν περιγράφονται σε αυτό το άρθρο.

Επιλογή 3 (για κινητές συσκευές):

Χρησιμοποιώντας την εφαρμογή Cloudflare για να Android и ΙΟΣ.

Δοκιμές

Για να ελέγξετε την έλλειψη πρόσβασης σε πόρους, αγοράστηκε προσωρινά ένας τομέας αποκλεισμένος στη Ρωσική Ομοσπονδία:

• Έλεγχος HTTP + θύρα 80
• Έλεγχος HTTP + θύρα 8080
• Έλεγχος HTTPS + θύρα 443
• Έλεγχος HTTPS + θύρα 8443

Συμπέρασμα

Ελπίζω ότι αυτό το άρθρο θα είναι χρήσιμο και θα ενθαρρύνει όχι μόνο τους διαχειριστές να κατανοήσουν το θέμα με περισσότερες λεπτομέρειες, αλλά θα δώσει επίσης κατανόηση ότι Οι πόροι θα βρίσκονται πάντα στην πλευρά του χρήστη και η αναζήτηση νέων λύσεων θα πρέπει να αποτελεί αναπόσπαστο μέρος για αυτούς.

χρήσιμοι σύνδεσμοι

• Εφαρμογή του προτύπου κρυπτογραφημένου SNI στον Firefox
• Παράκαμψη DPI εκτός σύνδεσης

Προσθήκη εκτός άρθρουΗ δοκιμή Cloudflare δεν μπορεί να ολοκληρωθεί στο δίκτυο χειριστή Tele2 και ένα σωστά διαμορφωμένο DPI εμποδίζει την πρόσβαση στην τοποθεσία δοκιμής.
ΥΣΤΕΡΟΓΡΑΦΟ. Μέχρι στιγμής αυτός είναι ο πρώτος πάροχος που μπλοκάρει σωστά τους πόρους.

Πηγή: www.habr.com