Αυτό το άρθρο δεν καλύπτει την πλήρη προσαρμογή του DPI και όλα όσα συνδέονται μεταξύ τους και η επιστημονική αξία του κειμένου είναι ελάχιστη. Αλλά περιγράφει τον απλούστερο τρόπο παράκαμψης του DPI, τον οποίο πολλές εταιρείες δεν έχουν λάβει υπόψη.
Αποποίηση ευθυνών #1: Αυτό το άρθρο έχει ερευνητικό χαρακτήρα και δεν ενθαρρύνει κανέναν να κάνει ή να χρησιμοποιήσει οτιδήποτε. Η ιδέα βασίζεται σε προσωπική εμπειρία και οι όποιες ομοιότητες είναι τυχαίες.
Προειδοποίηση Νο. 2: το άρθρο δεν αποκαλύπτει τα μυστικά της Ατλαντίδας, την αναζήτηση για το Άγιο Δισκοπότηρο και άλλα μυστήρια του σύμπαντος, όλο το υλικό είναι ελεύθερα διαθέσιμο και μπορεί να έχει περιγραφεί περισσότερες από μία φορές στο Habré. (Δεν το βρήκα, θα ήμουν ευγνώμων για τον σύνδεσμο)
Για όσους έχουν διαβάσει τις προειδοποιήσεις, ας ξεκινήσουμε.
Τι είναι το DPI;
Το DPI ή Deep Packet Inspection είναι μια τεχνολογία για τη συσσώρευση στατιστικών δεδομένων, τον έλεγχο και το φιλτράρισμα πακέτων δικτύου αναλύοντας όχι μόνο τις κεφαλίδες πακέτων, αλλά και το πλήρες περιεχόμενο της κίνησης σε επίπεδα του μοντέλου OSI από το δεύτερο και υψηλότερο, το οποίο σας επιτρέπει να ανιχνεύετε και αποκλεισμός ιών, φιλτράρισμα πληροφοριών που δεν πληρούν καθορισμένα κριτήρια.
Υπάρχουν δύο τύποι σύνδεσης DPI, οι οποίοι περιγράφονται ValdikSSστο github:
Παθητικό DPI
Το DPI είναι συνδεδεμένο στο δίκτυο παρόχου παράλληλα (όχι σε αποκοπή) είτε μέσω παθητικού οπτικού διαχωριστή είτε χρησιμοποιώντας κατοπτρισμό της κίνησης που προέρχεται από χρήστες. Αυτή η σύνδεση δεν επιβραδύνει την ταχύτητα του δικτύου του παρόχου σε περίπτωση ανεπαρκούς απόδοσης DPI, γι' αυτό και χρησιμοποιείται από μεγάλους παρόχους. Το DPI με αυτόν τον τύπο σύνδεσης μπορεί τεχνικά να ανιχνεύσει μόνο μια προσπάθεια αίτησης απαγορευμένου περιεχομένου, αλλά όχι να τη σταματήσει. Για να παρακάμψει αυτόν τον περιορισμό και να αποκλείσει την πρόσβαση σε έναν απαγορευμένο ιστότοπο, το DPI στέλνει στον χρήστη ζητώντας μια αποκλεισμένη διεύθυνση URL ένα ειδικά δημιουργημένο πακέτο HTTP με ανακατεύθυνση στη σελίδα απόκομμα του παρόχου, σαν μια τέτοια απάντηση να είχε σταλεί από τον ίδιο τον πόρο που ζητήθηκε (η IP του αποστολέα η διεύθυνση και η ακολουθία TCP είναι πλαστές). Επειδή το DPI είναι φυσικά πιο κοντά στον χρήστη από τον ιστότοπο που ζητήθηκε, η πλαστογραφημένη απόκριση φτάνει στη συσκευή του χρήστη πιο γρήγορα από την πραγματική απόκριση από τον ιστότοπο.
Ενεργό DPI
Ενεργό DPI - DPI συνδεδεμένο στο δίκτυο του παρόχου με τον συνήθη τρόπο, όπως κάθε άλλη συσκευή δικτύου. Ο πάροχος διαμορφώνει τη δρομολόγηση έτσι ώστε το DPI να λαμβάνει κίνηση από χρήστες σε αποκλεισμένες διευθύνσεις IP ή τομείς και, στη συνέχεια, το DPI αποφασίζει εάν θα επιτρέψει ή θα αποκλείσει την κυκλοφορία. Το Active DPI μπορεί να επιθεωρήσει τόσο την εξερχόμενη όσο και την εισερχόμενη επισκεψιμότητα, ωστόσο, εάν ο πάροχος χρησιμοποιεί DPI μόνο για να αποκλείσει τοποθεσίες από το μητρώο, είναι συνήθως ρυθμισμένο να επιθεωρεί μόνο την εξερχόμενη κυκλοφορία.
Όχι μόνο η αποτελεσματικότητα του αποκλεισμού κυκλοφορίας, αλλά και το φορτίο στο DPI εξαρτάται από τον τύπο της σύνδεσης, επομένως είναι δυνατό να μην σαρώσετε όλη την κίνηση, αλλά μόνο ορισμένες:
"Κανονικό" DPI
Ένα "κανονικό" DPI είναι ένα DPI που φιλτράρει έναν συγκεκριμένο τύπο κίνησης μόνο στις πιο κοινές θύρες για αυτόν τον τύπο. Για παράδειγμα, ένα "κανονικό" DPI εντοπίζει και αποκλείει την απαγορευμένη κυκλοφορία HTTP μόνο στη θύρα 80, την κυκλοφορία HTTPS στη θύρα 443. Αυτός ο τύπος DPI δεν παρακολουθεί απαγορευμένο περιεχόμενο εάν στείλετε ένα αίτημα με αποκλεισμένη διεύθυνση URL σε μη αποκλεισμένη IP ή μη τυπική θύρα.
"Πλήρης" DPI
Σε αντίθεση με το "κανονικό" DPI, αυτός ο τύπος DPI ταξινομεί την κυκλοφορία ανεξάρτητα από τη διεύθυνση IP και τη θύρα. Με αυτόν τον τρόπο, οι αποκλεισμένοι ιστότοποι δεν θα ανοίξουν ακόμη και αν χρησιμοποιείτε διακομιστή μεσολάβησης σε εντελώς διαφορετική θύρα και μη αποκλεισμένη διεύθυνση IP.
Χρήση DPI
Για να μην μειώσετε τον ρυθμό μεταφοράς δεδομένων, πρέπει να χρησιμοποιήσετε το "Κανονικό" παθητικό DPI, το οποίο σας επιτρέπει αποτελεσματικά; μπλοκάρει κανένα; πόρους, η προεπιλεγμένη διαμόρφωση μοιάζει με αυτό:
Φίλτρο HTTP μόνο στη θύρα 80
HTTPS μόνο στη θύρα 443
BitTorrent μόνο στις θύρες 6881-6889
Αλλά τα προβλήματα αρχίζουν αν ο πόρος θα χρησιμοποιήσει διαφορετική θύρα για να μην χάσει χρήστες, τότε θα πρέπει να ελέγξετε κάθε πακέτο, για παράδειγμα μπορείτε να δώσετε:
Το HTTP λειτουργεί στις θύρες 80 και 8080
HTTPS στις θύρες 443 και 8443
BitTorrent σε οποιαδήποτε άλλη μπάντα
Εξαιτίας αυτού, θα πρέπει είτε να μεταβείτε σε "Ενεργό" DPI ή να χρησιμοποιήσετε τον αποκλεισμό χρησιμοποιώντας έναν πρόσθετο διακομιστή DNS.
Αποκλεισμός με χρήση DNS
Ένας τρόπος για να αποκλείσετε την πρόσβαση σε έναν πόρο είναι να υποκλέψετε το αίτημα DNS χρησιμοποιώντας έναν τοπικό διακομιστή DNS και να επιστρέψετε στον χρήστη μια διεύθυνση IP "stub" αντί για τον απαιτούμενο πόρο. Αλλά αυτό δεν δίνει ένα εγγυημένο αποτέλεσμα, καθώς είναι δυνατό να αποφευχθεί η πλαστογράφηση διεύθυνσης:
Επιλογή 1: Επεξεργασία του αρχείου hosts (για επιφάνεια εργασίας)
Το αρχείο hosts είναι αναπόσπαστο μέρος οποιουδήποτε λειτουργικού συστήματος, το οποίο σας επιτρέπει να το χρησιμοποιείτε πάντα. Για να αποκτήσει πρόσβαση στον πόρο, ο χρήστης πρέπει:
Μάθετε τη διεύθυνση IP του απαιτούμενου πόρου
Ανοίξτε το αρχείο hosts για επεξεργασία (απαιτούνται δικαιώματα διαχειριστή), που βρίσκεται στη διεύθυνση:
Linux: /etc/hosts
Windows: %WinDir%System32driversetchosts
Προσθέστε μια γραμμή στη μορφή:
Αποθήκευσε τις αλλαγές
Το πλεονέκτημα αυτής της μεθόδου είναι η πολυπλοκότητά της και η απαίτηση για δικαιώματα διαχειριστή.
Επιλογή 2: DoH (DNS μέσω HTTPS) ή DoT (DNS μέσω TLS)
Αυτές οι μέθοδοι σάς επιτρέπουν να προστατεύσετε το αίτημά σας DNS από πλαστογράφηση χρησιμοποιώντας κρυπτογράφηση, αλλά η υλοποίηση δεν υποστηρίζεται από όλες τις εφαρμογές. Ας δούμε την ευκολία ρύθμισης DoH για Mozilla Firefox έκδοση 66 από την πλευρά του χρήστη:
Αν και αυτή η μέθοδος είναι πιο περίπλοκη, δεν απαιτεί από τον χρήστη να έχει δικαιώματα διαχειριστή και υπάρχουν πολλοί άλλοι τρόποι για να διασφαλίσετε ένα αίτημα DNS που δεν περιγράφονται σε αυτό το άρθρο.
Επιλογή 3 (για κινητές συσκευές):
Χρησιμοποιώντας την εφαρμογή Cloudflare για να Android и ΙΟΣ.
Δοκιμές
Για να ελέγξετε την έλλειψη πρόσβασης σε πόρους, αγοράστηκε προσωρινά ένας τομέας αποκλεισμένος στη Ρωσική Ομοσπονδία:
Ελπίζω ότι αυτό το άρθρο θα είναι χρήσιμο και θα ενθαρρύνει όχι μόνο τους διαχειριστές να κατανοήσουν το θέμα με περισσότερες λεπτομέρειες, αλλά θα δώσει επίσης κατανόηση ότι Οι πόροι θα βρίσκονται πάντα στην πλευρά του χρήστη και η αναζήτηση νέων λύσεων θα πρέπει να αποτελεί αναπόσπαστο μέρος για αυτούς.
Προσθήκη εκτός άρθρουΗ δοκιμή Cloudflare δεν μπορεί να ολοκληρωθεί στο δίκτυο χειριστή Tele2 και ένα σωστά διαμορφωμένο DPI εμποδίζει την πρόσβαση στην τοποθεσία δοκιμής.
ΥΣΤΕΡΟΓΡΑΦΟ. Μέχρι στιγμής αυτός είναι ο πρώτος πάροχος που μπλοκάρει σωστά τους πόρους.