ویژگی های تنظیمات DPI

این مقاله تنظیم کامل DPI و همه چیزهایی که با هم مرتبط هستند را پوشش نمی دهد و ارزش علمی متن حداقل است. اما ساده ترین راه برای دور زدن DPI را شرح می دهد که بسیاری از شرکت ها آن را در نظر نگرفته اند.

سلب مسئولیت شماره 1: این مقاله ماهیت تحقیقاتی دارد و کسی را به انجام یا استفاده از چیزی تشویق نمی کند. این ایده مبتنی بر تجربه شخصی است و هر شباهتی تصادفی است.

هشدار شماره 2: مقاله اسرار آتلانتیس، جستجوی جام مقدس و دیگر اسرار جهان را فاش نمی کند؛ همه مطالب به صورت رایگان در دسترس هستند و ممکن است بیش از یک بار در هابره شرح داده شده باشند. (پیداش نکردم، ممنون میشم لینکش رو بذارم)

برای کسانی که هشدارها را خوانده اند، بیایید شروع کنیم.

DPI چیست؟

DPI یا Deep Packet Inspection یک فناوری برای جمع آوری داده های آماری، بررسی و فیلتر کردن بسته های شبکه با تجزیه و تحلیل نه تنها هدر بسته ها، بلکه همچنین محتوای کامل ترافیک در سطوح مدل OSI از مدل دوم و بالاتر است که به شما امکان می دهد شناسایی و مسدود کردن ویروس ها، فیلتر کردن اطلاعاتی که معیارهای مشخص شده را ندارند.

دو نوع اتصال DPI وجود دارد که شرح داده شده است ValdikSS در github:

DPI غیرفعال

DPI به صورت موازی (نه برش) یا از طریق یک تقسیم کننده نوری غیرفعال یا با استفاده از انعکاس ترافیک ناشی از کاربران، به شبکه ارائه دهنده متصل می شود. این اتصال سرعت شبکه ارائه دهنده را در صورت عملکرد ناکافی DPI کاهش نمی دهد، به همین دلیل است که توسط ارائه دهندگان بزرگ استفاده می شود. DPI با این نوع اتصال از نظر فنی فقط می تواند تلاش برای درخواست محتوای ممنوعه را تشخیص دهد، اما آن را متوقف نمی کند. برای دور زدن این محدودیت و مسدود کردن دسترسی به یک سایت ممنوعه، DPI به کاربر درخواست URL مسدود شده یک بسته HTTP ساخته شده ویژه را با تغییر مسیر به صفحه خرد ارائه دهنده می فرستد، گویی چنین پاسخی توسط خود منبع درخواستی ارسال شده است (IP فرستنده). آدرس و دنباله TCP جعلی هستند). از آنجایی که DPI از نظر فیزیکی به کاربر نزدیکتر از سایت درخواستی است، پاسخ جعلی سریعتر از پاسخ واقعی سایت به دستگاه کاربر می رسد.

DPI فعال

Active DPI - DPI متصل به شبکه ارائه دهنده به روش معمول، مانند هر دستگاه شبکه دیگر. ارائه‌دهنده مسیریابی را به گونه‌ای پیکربندی می‌کند که DPI ترافیک کاربران را به آدرس‌های IP یا دامنه‌های مسدود شده دریافت کند، و DPI سپس تصمیم می‌گیرد که آیا ترافیک را مجاز یا مسدود کند. Active DPI می‌تواند ترافیک خروجی و ورودی را بازرسی کند، با این حال، اگر ارائه‌دهنده از DPI فقط برای مسدود کردن سایت‌ها از رجیستری استفاده کند، اغلب برای بازرسی فقط ترافیک خروجی پیکربندی می‌شود.

نه تنها اثربخشی مسدود کردن ترافیک، بلکه بار روی DPI نیز به نوع اتصال بستگی دارد، بنابراین می‌توان تمام ترافیک را اسکن نکرد، بلکه فقط موارد خاصی را اسکن کرد:

DPI "عادی".

DPI "عادی" DPI است که نوع خاصی از ترافیک را فقط در رایج ترین پورت ها برای آن نوع فیلتر می کند. به عنوان مثال، یک DPI «عادی» ترافیک HTTP ممنوعه را فقط در پورت 80 شناسایی و مسدود می کند، ترافیک HTTPS در پورت 443. اگر درخواستی با URL مسدود شده به IP مسدود شده یا غیر مسدود شده ارسال کنید، این نوع DPI محتوای ممنوعه را ردیابی نمی کند. پورت استاندارد

DPI "کامل".

برخلاف DPI معمولی، این نوع DPI ترافیک را بدون توجه به آدرس IP و پورت طبقه بندی می کند. به این ترتیب، سایت های مسدود شده باز نمی شوند حتی اگر از یک سرور پروکسی در پورت کاملاً متفاوت و آدرس IP رفع انسداد استفاده می کنید.

با استفاده از DPI

برای اینکه سرعت انتقال داده را کاهش ندهید، باید از DPI غیرفعال "عادی" استفاده کنید، که به شما امکان می دهد به طور موثر؟ مسدود کردن هر کدام؟ منابع، پیکربندی پیش فرض به صورت زیر است:

• فیلتر HTTP فقط در پورت 80
• فقط HTTPS در پورت 443
• بیت تورنت فقط در پورت های 6881-6889

اما مشکلات شروع می شود اگر منبع از پورت دیگری استفاده خواهد کرد تا کاربران را از دست ندهد، سپس باید هر بسته را بررسی کنید، به عنوان مثال می توانید ارائه دهید:

• HTTP روی پورت 80 و 8080 کار می کند
• HTTPS در پورت 443 و 8443
• بیت تورنت در هر باند دیگری

به همین دلیل، باید یا به DPI «فعال» بروید یا با استفاده از یک سرور DNS اضافی از مسدود کردن استفاده کنید.

مسدود کردن با استفاده از DNS

یکی از راه‌های مسدود کردن دسترسی به یک منبع، رهگیری درخواست DNS با استفاده از یک سرور DNS محلی و بازگرداندن آدرس IP "خرد" به کاربر به جای منبع مورد نیاز است. اما این نتیجه تضمینی نمی دهد، زیرا می توان از جعل آدرس جلوگیری کرد:

گزینه 1: ویرایش فایل میزبان (برای دسکتاپ)

فایل hosts بخشی جدایی ناپذیر از هر سیستم عاملی است که به شما امکان می دهد همیشه از آن استفاده کنید. برای دسترسی به منبع، کاربر باید:

1. آدرس IP منبع مورد نیاز را پیدا کنید
2. فایل میزبان را برای ویرایش باز کنید (حقوق سرپرست مورد نیاز است)، واقع در:
   • لینوکس: /etc/hosts
   • ویندوز: %WinDir%System32driversetchosts
3. یک خط در قالب اضافه کنید: <نام منبع>
4. ذخیره تغییرات

مزیت این روش پیچیدگی و نیاز به حقوق مدیر است.

گزینه 2: DoH (DNS از طریق HTTPS) یا DoT (DNS از طریق TLS)

این روش‌ها به شما امکان می‌دهند با استفاده از رمزگذاری از درخواست DNS خود در برابر جعل محافظت کنید، اما پیاده‌سازی توسط همه برنامه‌ها پشتیبانی نمی‌شود. بیایید به راحتی تنظیم DoH برای Mozilla Firefox نسخه 66 از سمت کاربر نگاه کنیم:

1. به آدرس بروید about: config را در فایرفاکس
2. اطمینان حاصل کنید که کاربر تمام خطرات را به عهده می گیرد
3. تغییر مقدار پارامتر network.trr.mode در:
   • 0 - TRR را غیرفعال کنید
   • 1 - انتخاب خودکار
   • 2 - DoH را به طور پیش فرض فعال کنید
4. تغییر پارامتر network.trr.uri انتخاب سرور DNS
   • Cloudflare DNS: mozilla.cloudflare-dns.com/dns-query
   • DNS گوگل: dns.google.com/experimental
5. تغییر پارامتر network.trr.boostrapAddress در:
   • اگر Cloudflare DNS انتخاب شده است: 1.1.1.1
   • اگر Google DNS انتخاب شده باشد: 8.8.8.8
6. تغییر مقدار پارامتر network.security.esni.enabled بر درست
7. بررسی کنید که تنظیمات درست با استفاده از سرویس Cloudflare

اگرچه این روش پیچیده‌تر است، اما نیازی به داشتن حقوق سرپرست برای کاربر ندارد و راه‌های زیادی برای ایمن کردن درخواست DNS وجود دارد که در این مقاله توضیح داده نشده‌اند.

گزینه 3 (برای دستگاه های تلفن همراه):

با استفاده از برنامه Cloudflare به آندروید и IOS.

آزمایش

برای بررسی عدم دسترسی به منابع، دامنه مسدود شده در فدراسیون روسیه به طور موقت خریداری شد:

• بررسی HTTP + پورت 80
• بررسی HTTP + پورت 8080
• بررسی HTTPS + پورت 443
• بررسی HTTPS + پورت 8443

نتیجه

امیدوارم این مقاله مفید باشد و نه تنها مدیران را تشویق کند تا موضوع را با جزئیات بیشتر درک کنند، بلکه درک این موضوع را نیز به شما ارائه دهد. منابع همیشه در کنار کاربر خواهند بود و جستجوی راه حل های جدید باید بخشی جدایی ناپذیر برای آنها باشد.

لینک های مفید

• پیاده سازی استاندارد SNI رمزگذاری شده در فایرفاکس
• دور زدن DPI آفلاین

اضافه خارج از مقالهآزمایش Cloudflare را نمی توان در شبکه اپراتور Tele2 کامل کرد و یک DPI به درستی پیکربندی شده دسترسی به سایت آزمایش را مسدود می کند.
PS تاکنون این اولین ارائه دهنده ای است که منابع را به درستی مسدود می کند.

منبع: www.habr.com