DPI sätete omadused

See artikkel ei hõlma DPI täielikku reguleerimist ja kõike, mis on omavahel seotud, ning teksti teaduslik väärtus on minimaalne. Kuid see kirjeldab lihtsaimat viisi DPI-st mööda hiilimiseks, mida paljud ettevõtted pole arvesse võtnud.

Kohustustest loobumine nr 1: see artikkel on uurimistöö ja ei julgusta kedagi midagi tegema või kasutama. Idee põhineb isiklikul kogemusel ja kõik sarnasused on juhuslikud.

Hoiatus nr 2: artikkel ei paljasta Atlantise saladusi, Püha Graali otsimist ja muid universumi saladusi; kogu materjal on vabalt saadaval ja seda võib olla Habrel rohkem kui üks kord kirjeldatud. (Ma ei leidnud, oleksin lingi eest tänulik)

Need, kes on hoiatusi lugenud, alustame.

Mis on DPI?

DPI ehk Deep Packet Inspection on tehnoloogia statistiliste andmete kogumiseks, võrgupakettide kontrollimiseks ja filtreerimiseks, analüüsides mitte ainult pakettide päiseid, vaid ka kogu liikluse sisu OSI mudeli tasemetel alates teisest ja kõrgemast, mis võimaldab tuvastada ja blokeerige viirused, filtreerige teave, mis ei vasta kindlaksmääratud kriteeriumidele.

DPI-ühendusi on kahte tüüpi, mida kirjeldatakse ValdikSS githubis:

Passiivne DPI

DPI on ühendatud pakkuja võrguga paralleelselt (mitte läbilõikena) kas passiivse optilise jaoturi kaudu või kasutades kasutajatelt pärineva liikluse peegeldamist. See ühendus ei aeglusta pakkuja võrgu kiirust ebapiisava DPI jõudluse korral, mistõttu kasutavad seda suured pakkujad. Selle ühendusetüübiga DPI suudab tehniliselt tuvastada ainult keelatud sisu taotlemise katse, kuid mitte seda peatada. Sellest piirangust mööda hiilimiseks ja juurdepääsu blokeerimiseks keelatud saidile saadab DPI kasutajale spetsiaalselt koostatud HTTP-paketi, mis taotleb blokeeritud URL-i koos ümbersuunamisega teenusepakkuja tünnilehele, justkui oleks sellise vastuse saatnud taotletud ressurss ise (saatja IP-aadress ja TCP-jada on võltsitud). Kuna DPI on kasutajale füüsiliselt lähemal kui taotletud sait, jõuab võltsitud vastus kasutaja seadmesse kiiremini kui saidi tegelik vastus.

Aktiivne DPI

Aktiivne DPI - DPI, mis on teenusepakkuja võrguga ühendatud tavapärasel viisil, nagu mis tahes muu võrguseade. Pakkuja konfigureerib marsruutimise nii, et DPI võtab kasutajatelt vastu liiklust blokeeritud IP-aadressidele või domeenidele ja seejärel otsustab DPI, kas liiklus lubada või blokeerida. Aktiivne DPI saab kontrollida nii väljaminevat kui ka sissetulevat liiklust, kuid kui pakkuja kasutab DPI-d ainult saitide registrist blokeerimiseks, on see enamasti konfigureeritud kontrollima ainult väljaminevat liiklust.

Ühenduse tüübist ei sõltu mitte ainult liikluse blokeerimise tõhusus, vaid ka DPI koormus, seega on võimalik mitte kogu liiklust skannida, vaid ainult teatud liiklust:

"Tavaline" DPI

"Tavaline" DPI on DPI, mis filtreerib teatud tüüpi liiklust ainult selle tüübi kõige tavalisemate portide kaudu. Näiteks "tavaline" DPI tuvastab ja blokeerib keelatud HTTP-liikluse ainult pordis 80 ja HTTPS-i liikluse pordis 443. Seda tüüpi DPI ei jälgi keelatud sisu, kui saadate blokeeritud URL-iga päringu blokeerimata IP-le või mitte-aadressile. standardne port.

"Täis" DPI

Erinevalt "tavalisest" DPI-st klassifitseerib seda tüüpi DPI liiklust sõltumata IP-aadressist ja pordist. Nii ei avane blokeeritud saidid isegi siis, kui kasutate puhverserverit täiesti erineval pordil ja blokeerimata IP-aadressil.

DPI kasutamine

Andmeedastuskiiruse mitte vähendamiseks peate kasutama "tavalist" passiivset DPI-d, mis võimaldab teil tõhusalt? blokeerida mõni? ressursse, näeb vaikekonfiguratsioon välja selline:

• HTTP-filter ainult pordis 80
• HTTPS ainult pordis 443
• BitTorrent ainult portides 6881-6889

Aga probleemid algavad, kui ressurss kasutab teist porti, et mitte kaotada kasutajaid, siis peate kontrollima iga pakki, näiteks võite anda:

• HTTP töötab portidel 80 ja 8080
• HTTPS portidel 443 ja 8443
• BitTorrent mis tahes muus bändis

Seetõttu peate lülituma aktiivsele DPI-le või kasutama blokeerimist täiendava DNS-serveri abil.

Blokeerimine DNS-i abil

Üks viis ressursile juurdepääsu blokeerimiseks on DNS-i päringu pealtkuulamine kohaliku DNS-serveri abil ja kasutajale nõutava ressursi asemel IP-aadressi tagastamine. Kuid see ei anna garanteeritud tulemust, kuna aadressi võltsimist on võimalik vältida:

1. valik: hostifaili redigeerimine (töölaua jaoks)

Hostifail on iga operatsioonisüsteemi lahutamatu osa, mis võimaldab teil seda alati kasutada. Ressursile juurdepääsuks peab kasutaja:

1. Uurige välja vajaliku ressursi IP-aadress
2. Avage redigeerimiseks hostifail (vajalikud administraatori õigused), mis asub:
   • Linux: /etc/hosts
   • Windows: %WinDir%System32driversetchosts
3. Lisage rida vormingus: <ressursi nimi>
4. Salvesta muudatused

Selle meetodi eeliseks on selle keerukus ja administraatoriõiguste nõue.

Valik 2: DoH (DNS üle HTTPS-i) või DoT (DNS üle TLS-i)

Need meetodid võimaldavad teil kaitsta oma DNS-i päringut krüptimise abil võltsimise eest, kuid kõik rakendused ei toeta seda rakendamist. Vaatame DoH seadistamise lihtsust Mozilla Firefoxi versiooni 66 jaoks kasutaja poolelt:

1. Mine aadressile about: config Firefoxis
2. Veenduge, et kasutaja võtab kogu riski enda kanda
3. Muutke parameetri väärtust network.trr.mode peal:
   • 0 - keelake TRR
   • 1 - automaatne valik
   • 2 - lubage vaikimisi DoH
4. Muutke parameetrit network.trr.uri DNS-serveri valimine
   • Cloudflare DNS: mozilla.cloudflare-dns.com/dns-query
   • Google'i DNS: dns.google.com/experimental
5. Muutke parameetrit network.trr.boostrapAddress peal:
   • Kui valitud on Cloudflare DNS: 1.1.1.1
   • Kui valitud on Google DNS: 8.8.8.8
6. Muutke parameetri väärtust network.security.esni.enabled edasi tõsi
7. Kontrollige, kas seaded on õiged Cloudflare teenus

Kuigi see meetod on keerulisem, ei nõua see kasutajalt administraatoriõigusi ja DNS-i päringu kaitsmiseks on palju muid viise, mida selles artiklis ei kirjeldata.

Valik 3 (mobiilseadmete jaoks):

Cloudflare'i rakenduse kasutamine Android и IOS.

Katsetamine

Ressursidele juurdepääsu puudumise kontrollimiseks osteti ajutiselt Vene Föderatsioonis blokeeritud domeen:

• HTTP kontroll + port 80
• HTTP kontroll + port 8080
• HTTPS-i kontroll + port 443
• HTTPS-i kontroll + port 8443

Järeldus

Loodan, et see artikkel on kasulik ja julgustab mitte ainult administraatoreid teemat üksikasjalikumalt mõistma, vaid annab ka arusaama, et ressursid on alati kasutaja poolel ja uute lahenduste otsimine peaks olema nende jaoks lahutamatu osa.

Kasulikud lingid

• Krüptitud SNI standardi rakendamine Firefoxis
• Võrguühenduseta DPI ümbersõit

Täiendus väljaspool artiklitCloudflare'i testi ei saa Tele2 operaatorivõrgus lõpule viia ja õigesti konfigureeritud DPI blokeerib juurdepääsu testkohale.
PS Siiani on see esimene pakkuja, kes blokeerib ressursse õigesti.

Allikas: www.habr.com