این مقاله تنظیم کامل DPI و همه چیزهایی که با هم مرتبط هستند را پوشش نمی دهد و ارزش علمی متن حداقل است. اما ساده ترین راه برای دور زدن DPI را شرح می دهد که بسیاری از شرکت ها آن را در نظر نگرفته اند.
سلب مسئولیت شماره 1: این مقاله ماهیت تحقیقاتی دارد و کسی را به انجام یا استفاده از چیزی تشویق نمی کند. این ایده مبتنی بر تجربه شخصی است و هر شباهتی تصادفی است.
هشدار شماره 2: مقاله اسرار آتلانتیس، جستجوی جام مقدس و دیگر اسرار جهان را فاش نمی کند؛ همه مطالب به صورت رایگان در دسترس هستند و ممکن است بیش از یک بار در هابره شرح داده شده باشند. (پیداش نکردم، ممنون میشم لینکش رو بذارم)
برای کسانی که هشدارها را خوانده اند، بیایید شروع کنیم.
DPI چیست؟
DPI یا Deep Packet Inspection یک فناوری برای جمع آوری داده های آماری، بررسی و فیلتر کردن بسته های شبکه با تجزیه و تحلیل نه تنها هدر بسته ها، بلکه همچنین محتوای کامل ترافیک در سطوح مدل OSI از مدل دوم و بالاتر است که به شما امکان می دهد شناسایی و مسدود کردن ویروس ها، فیلتر کردن اطلاعاتی که معیارهای مشخص شده را ندارند.
DPI به صورت موازی (نه برش) یا از طریق یک تقسیم کننده نوری غیرفعال یا با استفاده از انعکاس ترافیک ناشی از کاربران، به شبکه ارائه دهنده متصل می شود. این اتصال سرعت شبکه ارائه دهنده را در صورت عملکرد ناکافی DPI کاهش نمی دهد، به همین دلیل است که توسط ارائه دهندگان بزرگ استفاده می شود. DPI با این نوع اتصال از نظر فنی فقط می تواند تلاش برای درخواست محتوای ممنوعه را تشخیص دهد، اما آن را متوقف نمی کند. برای دور زدن این محدودیت و مسدود کردن دسترسی به یک سایت ممنوعه، DPI به کاربر درخواست URL مسدود شده یک بسته HTTP ساخته شده ویژه را با تغییر مسیر به صفحه خرد ارائه دهنده می فرستد، گویی چنین پاسخی توسط خود منبع درخواستی ارسال شده است (IP فرستنده). آدرس و دنباله TCP جعلی هستند). از آنجایی که DPI از نظر فیزیکی به کاربر نزدیکتر از سایت درخواستی است، پاسخ جعلی سریعتر از پاسخ واقعی سایت به دستگاه کاربر می رسد.
DPI فعال
Active DPI - DPI متصل به شبکه ارائه دهنده به روش معمول، مانند هر دستگاه شبکه دیگر. ارائهدهنده مسیریابی را به گونهای پیکربندی میکند که DPI ترافیک کاربران را به آدرسهای IP یا دامنههای مسدود شده دریافت کند، و DPI سپس تصمیم میگیرد که آیا ترافیک را مجاز یا مسدود کند. Active DPI میتواند ترافیک خروجی و ورودی را بازرسی کند، با این حال، اگر ارائهدهنده از DPI فقط برای مسدود کردن سایتها از رجیستری استفاده کند، اغلب برای بازرسی فقط ترافیک خروجی پیکربندی میشود.
نه تنها اثربخشی مسدود کردن ترافیک، بلکه بار روی DPI نیز به نوع اتصال بستگی دارد، بنابراین میتوان تمام ترافیک را اسکن نکرد، بلکه فقط موارد خاصی را اسکن کرد:
DPI "عادی".
DPI "عادی" DPI است که نوع خاصی از ترافیک را فقط در رایج ترین پورت ها برای آن نوع فیلتر می کند. به عنوان مثال، یک DPI «عادی» ترافیک HTTP ممنوعه را فقط در پورت 80 شناسایی و مسدود می کند، ترافیک HTTPS در پورت 443. اگر درخواستی با URL مسدود شده به IP مسدود شده یا غیر مسدود شده ارسال کنید، این نوع DPI محتوای ممنوعه را ردیابی نمی کند. پورت استاندارد
DPI "کامل".
برخلاف DPI معمولی، این نوع DPI ترافیک را بدون توجه به آدرس IP و پورت طبقه بندی می کند. به این ترتیب، سایت های مسدود شده باز نمی شوند حتی اگر از یک سرور پروکسی در پورت کاملاً متفاوت و آدرس IP رفع انسداد استفاده می کنید.
با استفاده از DPI
برای اینکه سرعت انتقال داده را کاهش ندهید، باید از DPI غیرفعال "عادی" استفاده کنید، که به شما امکان می دهد به طور موثر؟ مسدود کردن هر کدام؟ منابع، پیکربندی پیش فرض به صورت زیر است:
فیلتر HTTP فقط در پورت 80
فقط HTTPS در پورت 443
بیت تورنت فقط در پورت های 6881-6889
اما مشکلات شروع می شود اگر منبع از پورت دیگری استفاده خواهد کرد تا کاربران را از دست ندهد، سپس باید هر بسته را بررسی کنید، به عنوان مثال می توانید ارائه دهید:
HTTP روی پورت 80 و 8080 کار می کند
HTTPS در پورت 443 و 8443
بیت تورنت در هر باند دیگری
به همین دلیل، باید یا به DPI «فعال» بروید یا با استفاده از یک سرور DNS اضافی از مسدود کردن استفاده کنید.
مسدود کردن با استفاده از DNS
یکی از راههای مسدود کردن دسترسی به یک منبع، رهگیری درخواست DNS با استفاده از یک سرور DNS محلی و بازگرداندن آدرس IP "خرد" به کاربر به جای منبع مورد نیاز است. اما این نتیجه تضمینی نمی دهد، زیرا می توان از جعل آدرس جلوگیری کرد:
گزینه 1: ویرایش فایل میزبان (برای دسکتاپ)
فایل hosts بخشی جدایی ناپذیر از هر سیستم عاملی است که به شما امکان می دهد همیشه از آن استفاده کنید. برای دسترسی به منبع، کاربر باید:
آدرس IP منبع مورد نیاز را پیدا کنید
فایل میزبان را برای ویرایش باز کنید (حقوق سرپرست مورد نیاز است)، واقع در:
لینوکس: /etc/hosts
ویندوز: %WinDir%System32driversetchosts
یک خط در قالب اضافه کنید: <نام منبع>
ذخیره تغییرات
مزیت این روش پیچیدگی و نیاز به حقوق مدیر است.
گزینه 2: DoH (DNS از طریق HTTPS) یا DoT (DNS از طریق TLS)
این روشها به شما امکان میدهند با استفاده از رمزگذاری از درخواست DNS خود در برابر جعل محافظت کنید، اما پیادهسازی توسط همه برنامهها پشتیبانی نمیشود. بیایید به راحتی تنظیم DoH برای Mozilla Firefox نسخه 66 از سمت کاربر نگاه کنیم:
اگرچه این روش پیچیدهتر است، اما نیازی به داشتن حقوق سرپرست برای کاربر ندارد و راههای زیادی برای ایمن کردن درخواست DNS وجود دارد که در این مقاله توضیح داده نشدهاند.
امیدوارم این مقاله مفید باشد و نه تنها مدیران را تشویق کند تا موضوع را با جزئیات بیشتر درک کنند، بلکه درک این موضوع را نیز به شما ارائه دهد. منابع همیشه در کنار کاربر خواهند بود و جستجوی راه حل های جدید باید بخشی جدایی ناپذیر برای آنها باشد.
اضافه خارج از مقالهآزمایش Cloudflare را نمی توان در شبکه اپراتور Tele2 کامل کرد و یک DPI به درستی پیکربندی شده دسترسی به سایت آزمایش را مسدود می کند.
PS تاکنون این اولین ارائه دهنده ای است که منابع را به درستی مسدود می کند.