See artikkel ei hõlma DPI täielikku reguleerimist ja kõike, mis on omavahel seotud, ning teksti teaduslik väärtus on minimaalne. Kuid see kirjeldab lihtsaimat viisi DPI-st mööda hiilimiseks, mida paljud ettevõtted pole arvesse võtnud.
Kohustustest loobumine nr 1: see artikkel on uurimistöö ja ei julgusta kedagi midagi tegema või kasutama. Idee põhineb isiklikul kogemusel ja kõik sarnasused on juhuslikud.
Hoiatus nr 2: artikkel ei paljasta Atlantise saladusi, Püha Graali otsimist ja muid universumi saladusi; kogu materjal on vabalt saadaval ja seda võib Hubis kirjeldatud rohkem kui korra. (Ma ei leidnud, oleksin lingi eest tänulik)
Need, kes on hoiatusi lugenud, alustame.
Mis on DPI?
DPI ehk Deep Packet Inspection on tehnoloogia statistiliste andmete kogumiseks, võrgupakettide kontrollimiseks ja filtreerimiseks, analüüsides mitte ainult pakettide päiseid, vaid ka kogu liikluse sisu OSI mudeli tasemetel alates teisest ja kõrgemast, mis võimaldab tuvastada ja blokeerige viirused, filtreerige teave, mis ei vasta kindlaksmääratud kriteeriumidele.
DPI-ühendusi on kahte tüüpi, mida kirjeldatakse ValdikSSgithubis:
Passiivne DPI
DPI on ühendatud pakkuja võrguga paralleelselt (mitte läbilõikena) kas passiivse optilise jaoturi kaudu või kasutades kasutajatelt pärineva liikluse peegeldamist. See ühendus ei aeglusta pakkuja võrgu kiirust ebapiisava DPI jõudluse korral, mistõttu kasutavad seda suured pakkujad. Selle ühendusetüübiga DPI suudab tehniliselt tuvastada ainult keelatud sisu taotlemise katse, kuid mitte seda peatada. Sellest piirangust mööda hiilimiseks ja juurdepääsu blokeerimiseks keelatud saidile saadab DPI kasutajale spetsiaalselt koostatud HTTP-paketi, mis taotleb blokeeritud URL-i koos ümbersuunamisega teenusepakkuja tünnilehele, justkui oleks sellise vastuse saatnud taotletud ressurss ise (saatja IP-aadress ja TCP-jada on võltsitud). Kuna DPI on kasutajale füüsiliselt lähemal kui taotletud sait, jõuab võltsitud vastus kasutaja seadmesse kiiremini kui saidi tegelik vastus.
Aktiivne DPI
Aktiivne DPI - DPI, mis on teenusepakkuja võrguga ühendatud tavapärasel viisil, nagu mis tahes muu võrguseade. Pakkuja konfigureerib marsruutimise nii, et DPI võtab kasutajatelt vastu liiklust blokeeritud IP-aadressidele või domeenidele ja seejärel otsustab DPI, kas liiklus lubada või blokeerida. Aktiivne DPI saab kontrollida nii väljaminevat kui ka sissetulevat liiklust, kuid kui pakkuja kasutab DPI-d ainult saitide registrist blokeerimiseks, on see enamasti konfigureeritud kontrollima ainult väljaminevat liiklust.
Ühenduse tüübist ei sõltu mitte ainult liikluse blokeerimise tõhusus, vaid ka DPI koormus, seega on võimalik mitte kogu liiklust skannida, vaid ainult teatud liiklust:
"Tavaline" DPI
"Tavaline" DPI on DPI, mis filtreerib teatud tüüpi liiklust ainult selle tüübi kõige tavalisemate portide kaudu. Näiteks "tavaline" DPI tuvastab ja blokeerib keelatud HTTP-liikluse ainult pordis 80 ja HTTPS-i liikluse pordis 443. Seda tüüpi DPI ei jälgi keelatud sisu, kui saadate blokeeritud URL-iga päringu blokeerimata IP-le või mitte-aadressile. standardne port.
"Täis" DPI
Erinevalt "tavalisest" DPI-st klassifitseerib seda tüüpi DPI liiklust sõltumata IP-aadressist ja pordist. Nii ei avane blokeeritud saidid isegi siis, kui kasutate puhverserverit täiesti erineval pordil ja blokeerimata IP-aadressil.
DPI kasutamine
Andmeedastuskiiruse mitte vähendamiseks peate kasutama "tavalist" passiivset DPI-d, mis võimaldab teil tõhusalt? blokeerida mõni? ressursse, näeb vaikekonfiguratsioon välja selline:
HTTP-filter ainult pordis 80
HTTPS ainult pordis 443
BitTorrent ainult portides 6881-6889
Aga probleemid algavad, kui ressurss kasutab teist porti, et mitte kaotada kasutajaid, siis peate kontrollima iga pakki, näiteks võite anda:
HTTP töötab portidel 80 ja 8080
HTTPS portidel 443 ja 8443
BitTorrent mis tahes muus bändis
Seetõttu peate lülituma aktiivsele DPI-le või kasutama blokeerimist täiendava DNS-serveri abil.
Blokeerimine DNS-i abil
Üks viis ressursile juurdepääsu blokeerimiseks on DNS-i päringu pealtkuulamine kohaliku DNS-serveri abil ja kasutajale nõutava ressursi asemel IP-aadressi tagastamine. Kuid see ei anna garanteeritud tulemust, kuna aadressi võltsimist on võimalik vältida:
Hostifail on iga operatsioonisüsteemi lahutamatu osa, mis võimaldab teil seda alati kasutada. Ressursile juurdepääsuks peab kasutaja:
Uurige välja vajaliku ressursi IP-aadress
Avage redigeerimiseks hostifail (vajalikud administraatori õigused), mis asub:
Linux: /etc/hosts
Windows: %WinDir%System32driversetchosts
Lisage rida vormingus: <ressursi nimi>
Salvesta muudatused
Selle meetodi eeliseks on selle keerukus ja administraatoriõiguste nõue.
Valik 2: DoH (DNS üle HTTPS-i) või DoT (DNS üle TLS-i)
Need meetodid võimaldavad teil kaitsta oma DNS-i päringut krüptimise abil võltsimise eest, kuid kõik rakendused ei toeta seda rakendamist. Vaatame DoH seadistamise lihtsust Mozilla Firefoxi versiooni 66 jaoks kasutaja poolelt:
Kuigi see meetod on keerulisem, ei nõua see kasutajalt administraatoriõigusi ja DNS-i päringu kaitsmiseks on palju muid viise, mida selles artiklis ei kirjeldata.
Loodan, et see artikkel on kasulik ja julgustab mitte ainult administraatoreid teemat üksikasjalikumalt mõistma, vaid annab ka arusaama, et ressursid on alati kasutaja poolel ja uute lahenduste otsimine peaks olema nende jaoks lahutamatu osa.
Täiendus väljaspool artiklitCloudflare'i testi ei saa Tele2 operaatorivõrgus lõpule viia ja õigesti konfigureeritud DPI blokeerib juurdepääsu testkohale.
PS Siiani on see esimene pakkuja, kes blokeerib ressursse õigesti.