DPI ezarpenen ezaugarriak

Artikulu honek ez du DPI doikuntza osoa eta elkarrekin lotuta dagoen guztia biltzen, eta testuaren balio zientifikoa gutxienekoa da. Baina DPI saihesteko modurik errazena deskribatzen du, enpresa askok kontuan hartu ez dutena.

1. oharra: artikulu honek ikerketa izaera du eta ez du inor ezer egitera edo erabiltzera animatzen. Ideia esperientzia pertsonalean oinarritzen da, eta antzekotasunak ausazkoak dira.

2. abisua: artikuluak ez ditu Atlantisaren sekretuak, Grial Santuaren bilaketa eta unibertsoko beste misterio batzuk azaltzen; material guztia doan eskura daiteke eta baliteke Habré-n behin baino gehiagotan deskribatzea. (Ez dut aurkitu, eskertuko nuke esteka)

Abisuak irakurri dituztenentzat, has gaitezen.

Zer da DPI?

DPI edo Deep Packet Inspection datu estatistikoak pilatzeko, sareko paketeak egiaztatu eta iragazteko teknologia bat da, paketeen goiburuak ez ezik, bigarrenetik eta goragoko OSI ereduko mailetako trafikoaren eduki osoa ere aztertuz, eta horrek detektatzeko eta detektatzeko aukera ematen du. blokeatu birusak, iragazi zehaztutako irizpideak betetzen ez dituen informazioa .

Bi DPI konexio mota daude, deskribatzen direnak ValdikSS github-en:

DPI pasiboa

DPI hornitzaile-sarera konektatua paraleloan (ez ebaki batean) bai banatzaile optiko pasibo baten bidez, bai erabiltzaileengandik sortutako trafikoaren ispilua erabiliz. Konexio honek ez du hornitzailearen sarearen abiadura moteltzen DPI errendimendu nahikorik ez dagoenean, horregatik hornitzaile handiek erabiltzen dute. Konexio mota hau duen DPI-k teknikoki debekatutako edukia eskatzeko saiakera bat bakarrik hauteman dezake, baina ez geldiarazi. Murrizketa hau saihesteko eta debekatutako gune baterako sarbidea blokeatzeko, DPI-k blokeatutako URL bat eskatzen duen erabiltzaileari bereziki landutako HTTP pakete bat bidaltzen dio hornitzailearen zirriborro-orrira birbideraketa batekin, erantzun hori eskatutako baliabideak berak (igorlearen IPa) bidaliko balu bezala. helbidea eta TCP sekuentzia faltsutzen dira). DPI fisikoki erabiltzailearengandik eskatutako gunetik baino gertuago dagoenez, faltsututako erantzuna erabiltzailearen gailura iristen da guneko benetako erantzuna baino azkarrago.

DPI aktiboa

DPI aktiboa - DPI hornitzailearen sarera ohiko moduan konektatuta dago, sareko beste edozein gailu bezala. Hornitzaileak bideratzea konfiguratzen du, DPI-k erabiltzaileen trafikoa jaso dezan blokeatutako IP helbide edo domeinuetara, eta DPIk erabakiko du trafikoa baimendu edo blokeatu. DPI aktiboak irteerako trafikoa eta sarrerako trafikoa ikus ditzake; hala ere, hornitzaileak DPI erregistroko guneak blokeatzeko soilik erabiltzen badu, gehienetan irteerako trafikoa soilik ikuskatzeko konfiguratuta dago.

Trafikoa blokeatzeko eraginkortasuna ez ezik, DPIren karga ere konexio motaren araberakoa da, beraz, posible da trafiko guztia ez eskaneatzea, baizik eta batzuk bakarrik:

DPI "Normala".

DPI "erregularra" mota horretako ataka arruntenetan soilik iragazten duen trafiko mota jakin bat da. Adibidez, DPI "ohiko" batek debekatutako HTTP trafikoa 80 atakan soilik detektatzen eta blokeatzen du, HTTPS trafikoa 443 atakan. DPI mota honek ez du debekatutako edukiaren jarraipena egingo URL blokeatuta duen eskaera bat desblokeatutako IP batera edo ez den IP batera bidaltzen baduzu. ataka estandarra.

DPI "Osoa".

DPI "ohiko" ez bezala, DPI mota honek trafikoa sailkatzen du IP helbidea eta ataka edozein izanda ere. Modu honetan, blokeatutako guneak ez dira irekiko proxy zerbitzari bat guztiz beste portu batean eta desblokeatutako IP helbide batean erabiltzen ari bazara ere.

DPI erabiliz

Datuen transferentzia-tasa ez murrizteko, DPI pasibo "Normal" erabili behar duzu, eta horrek modu eraginkorrean ematen dizu? bat blokeatu? baliabideak, lehenetsitako konfigurazioa honelakoa da:

• HTTP iragazkia 80 atakan soilik
• HTTPS 443 atakan soilik
• BitTorrent 6881-6889 portuetan bakarrik

Baina arazoak hasten badira baliabideak beste ataka bat erabiliko du erabiltzaileak ez galtzeko, orduan pakete bakoitza egiaztatu beharko duzu, adibidez eman dezakezu:

• HTTP 80 eta 8080 ataketan funtzionatzen du
• HTTPS 443 eta 8443 atakan
• BitTorrent beste edozein taldetan

Hori dela eta, DPI "Aktibo"ra aldatu edo blokeoa erabili beharko duzu DNS zerbitzari gehigarri bat erabiliz.

DNS erabiliz blokeatzea

Baliabide baterako sarbidea blokeatzeko modu bat DNS eskaera atzematea da tokiko DNS zerbitzari bat erabiliz eta erabiltzaileari behar den baliabidea baino "stub" IP helbide bat itzultzea. Baina horrek ez du emaitza bermatua ematen, helbideen spoofing saihestea posible baita:

1. aukera: ostalarien fitxategia editatzea (mahaigainerako)

Hosts fitxategia edozein sistema eragileren parte da, beti erabiltzeko aukera ematen duena. Baliabidera sartzeko, erabiltzaileak:

1. Aurkitu behar den baliabidearen IP helbidea
2. Ireki ostalarien fitxategia editatzeko (administratzaile-eskubideak behar dira), hemen kokatua:
   • Linux: /etc/hosts
   • Windows: %WinDir%System32driversetchosts
3. Gehitu lerro bat formatuan: <baliabidearen izena>
4. Aldaketak gorde

Metodo honen abantaila konplexutasuna eta administratzaile eskubideen eskakizuna da.

2. aukera: DoH (DNS HTTPS bidez) edo DoT (DNS TLS bidez)

Metodo hauei esker, zure DNS eskaera enkriptatzea erabiliz babestu dezakezu, baina aplikazio guztiek ez dute inplementazioa onartzen. Ikus dezagun Mozilla Firefox 66 bertsiorako DoH konfiguratzeko erraztasuna erabiltzailearen aldetik:

1. Joan helbidera about: config Firefox-en
2. Egiaztatu erabiltzaileak arrisku guztiak bere gain hartzen dituela
3. Aldatu parametroaren balioa sare.trr.modua on:
   • 0 - desgaitu TRR
   • 1 - hautaketa automatikoa
   • 2 - gaitu DoH lehenespenez
4. Aldatu parametroa sare.trr.uri DNS zerbitzaria hautatuz
   • Cloudflare DNS: mozilla.cloudflare-dns.com/dns-query
   • GoogleDNS: dns.google.com/experimental
5. Aldatu parametroa network.trr.boostrapHelbidea on:
   • Cloudflare DNS hautatzen bada: 1.1.1.1
   • Google DNS hautatzen bada: 8.8.8.8
6. Aldatu parametroaren balioa sare.segurtasuna.esni.gaituta on Egia
7. Egiaztatu ezarpenak zuzenak direla erabiliz Cloudflare zerbitzua

Metodo hau konplexuagoa den arren, ez du eskatzen erabiltzaileak administratzaile-eskubideak izatea, eta artikulu honetan deskribatzen ez diren DNS eskaera ziurtatzeko beste modu asko daude.

3. aukera (gailu mugikorretarako):

Cloudflare aplikazioa erabiliz Android и IOS.

Testing

Baliabideetarako sarbiderik eza egiaztatzeko, Errusiako Federazioan blokeatutako domeinu bat erosi zen aldi baterako:

• HTTP egiaztapena + 80 ataka
• HTTP egiaztapena + 8080 ataka
• HTTPS egiaztapena + 443 ataka
• HTTPS egiaztapena + 8443 ataka

Ondorioa

Espero dut artikulu hau erabilgarria izatea eta administratzaileak gaia zehatzago ulertzera bultzatzeaz gain, hori ulertzea ere emango duela. baliabideak beti egongo dira erabiltzailearen alde, eta irtenbide berrien bilaketak parte hartu behar du beraientzat.

Esteka interesgarriak

• Enkriptatutako SNI estandarra Firefoxen inplementatzea
• Lineaz kanpoko DPI Bypass

Artikulutik kanpo gehitzeaCloudflare proba ezin da osatu Tele2 operadorearen sarean, eta behar bezala konfiguratutako DPI batek proba gunerako sarbidea blokeatzen du.
PS Orain arte baliabideak behar bezala blokeatzen dituen lehen hornitzailea da.

Iturria: www.habr.com