Artikulu honek ez du DPI doikuntza osoa eta elkarrekin lotuta dagoen guztia biltzen, eta testuaren balio zientifikoa gutxienekoa da. Baina DPI saihesteko modurik errazena deskribatzen du, enpresa askok kontuan hartu ez dutena.
1. oharra: artikulu honek ikerketa izaera du eta ez du inor ezer egitera edo erabiltzera animatzen. Ideia esperientzia pertsonalean oinarritzen da, eta antzekotasunak ausazkoak dira.
DPI edo Deep Packet Inspection datu estatistikoak pilatzeko, sareko paketeak egiaztatu eta iragazteko teknologia bat da, paketeen goiburuak ez ezik, bigarrenetik eta goragoko OSI ereduko mailetako trafikoaren eduki osoa ere aztertuz, eta horrek detektatzeko eta detektatzeko aukera ematen du. blokeatu birusak, iragazi zehaztutako irizpideak betetzen ez dituen informazioa .
DPI hornitzaile-sarera konektatua paraleloan (ez ebaki batean) bai banatzaile optiko pasibo baten bidez, bai erabiltzaileengandik sortutako trafikoaren ispilua erabiliz. Konexio honek ez du hornitzailearen sarearen abiadura moteltzen DPI errendimendu nahikorik ez dagoenean, horregatik hornitzaile handiek erabiltzen dute. Konexio mota hau duen DPI-k teknikoki debekatutako edukia eskatzeko saiakera bat bakarrik hauteman dezake, baina ez geldiarazi. Murrizketa hau saihesteko eta debekatutako gune baterako sarbidea blokeatzeko, DPI-k blokeatutako URL bat eskatzen duen erabiltzaileari bereziki landutako HTTP pakete bat bidaltzen dio hornitzailearen zirriborro-orrira birbideraketa batekin, erantzun hori eskatutako baliabideak berak (igorlearen IPa) bidaliko balu bezala. helbidea eta TCP sekuentzia faltsutzen dira). DPI fisikoki erabiltzailearengandik eskatutako gunetik baino gertuago dagoenez, faltsututako erantzuna erabiltzailearen gailura iristen da guneko benetako erantzuna baino azkarrago.
DPI aktiboa
DPI aktiboa - DPI hornitzailearen sarera ohiko moduan konektatuta dago, sareko beste edozein gailu bezala. Hornitzaileak bideratzea konfiguratzen du, DPI-k erabiltzaileen trafikoa jaso dezan blokeatutako IP helbide edo domeinuetara, eta DPIk erabakiko du trafikoa baimendu edo blokeatu. DPI aktiboak irteerako trafikoa eta sarrerako trafikoa ikus ditzake; hala ere, hornitzaileak DPI erregistroko guneak blokeatzeko soilik erabiltzen badu, gehienetan irteerako trafikoa soilik ikuskatzeko konfiguratuta dago.
Trafikoa blokeatzeko eraginkortasuna ez ezik, DPIren karga ere konexio motaren araberakoa da, beraz, posible da trafiko guztia ez eskaneatzea, baizik eta batzuk bakarrik:
DPI "Normala".
DPI "erregularra" mota horretako ataka arruntenetan soilik iragazten duen trafiko mota jakin bat da. Adibidez, DPI "ohiko" batek debekatutako HTTP trafikoa 80 atakan soilik detektatzen eta blokeatzen du, HTTPS trafikoa 443 atakan. DPI mota honek ez du debekatutako edukiaren jarraipena egingo URL blokeatuta duen eskaera bat desblokeatutako IP batera edo ez den IP batera bidaltzen baduzu. ataka estandarra.
DPI "Osoa".
DPI "ohiko" ez bezala, DPI mota honek trafikoa sailkatzen du IP helbidea eta ataka edozein izanda ere. Modu honetan, blokeatutako guneak ez dira irekiko proxy zerbitzari bat guztiz beste portu batean eta desblokeatutako IP helbide batean erabiltzen ari bazara ere.
DPI erabiliz
Datuen transferentzia-tasa ez murrizteko, DPI pasibo "Normal" erabili behar duzu, eta horrek modu eraginkorrean ematen dizu? bat blokeatu? baliabideak, lehenetsitako konfigurazioa honelakoa da:
HTTP iragazkia 80 atakan soilik
HTTPS 443 atakan soilik
BitTorrent 6881-6889 portuetan bakarrik
Baina arazoak hasten badira baliabideak beste ataka bat erabiliko du erabiltzaileak ez galtzeko, orduan pakete bakoitza egiaztatu beharko duzu, adibidez eman dezakezu:
HTTP 80 eta 8080 ataketan funtzionatzen du
HTTPS 443 eta 8443 atakan
BitTorrent beste edozein taldetan
Hori dela eta, DPI "Aktibo"ra aldatu edo blokeoa erabili beharko duzu DNS zerbitzari gehigarri bat erabiliz.
DNS erabiliz blokeatzea
Baliabide baterako sarbidea blokeatzeko modu bat DNS eskaera atzematea da tokiko DNS zerbitzari bat erabiliz eta erabiltzaileari behar den baliabidea baino "stub" IP helbide bat itzultzea. Baina horrek ez du emaitza bermatua ematen, helbideen spoofing saihestea posible baita:
Metodo hauei esker, zure DNS eskaera enkriptatzea erabiliz babestu dezakezu, baina aplikazio guztiek ez dute inplementazioa onartzen. Ikus dezagun Mozilla Firefox 66 bertsiorako DoH konfiguratzeko erraztasuna erabiltzailearen aldetik:
Metodo hau konplexuagoa den arren, ez du eskatzen erabiltzaileak administratzaile-eskubideak izatea, eta artikulu honetan deskribatzen ez diren DNS eskaera ziurtatzeko beste modu asko daude.
Espero dut artikulu hau erabilgarria izatea eta administratzaileak gaia zehatzago ulertzera bultzatzeaz gain, hori ulertzea ere emango duela. baliabideak beti egongo dira erabiltzailearen alde, eta irtenbide berrien bilaketak parte hartu behar du beraientzat.
Artikulutik kanpo gehitzeaCloudflare proba ezin da osatu Tele2 operadorearen sarean, eta behar bezala konfiguratutako DPI batek proba gunerako sarbidea blokeatzen du.
PS Orain arte baliabideak behar bezala blokeatzen dituen lehen hornitzailea da.