DPI-asetusten ominaisuudet

Tämä artikkeli ei kata täydellistä DPI-säätöä ja kaikkea toisiinsa liittyvää, ja tekstin tieteellinen arvo on minimaalinen. Mutta se kuvaa yksinkertaisinta tapaa ohittaa DPI, jota monet yritykset eivät ole ottaneet huomioon.

Vastuuvapauslauseke #1: Tämä artikkeli on luonteeltaan tutkimusta, eikä se rohkaise ketään tekemään tai käyttämään mitään. Idea perustuu henkilökohtaiseen kokemukseen, ja mahdolliset yhtäläisyydet ovat satunnaisia.

Varoitus nro 2: artikkeli ei paljasta Atlantiksen salaisuuksia, Graalin etsintöä ja muita maailmankaikkeuden mysteereitä; kaikki materiaali on vapaasti saatavilla ja sitä on ehkä kuvattu useammin kuin kerran Habressa. (En löytänyt, olisin kiitollinen linkistä)

Niille, jotka ovat lukeneet varoitukset, aloitetaan.

Mikä on DPI?

DPI eli Deep Packet Inspection on tekniikka tilastotietojen keräämiseen, verkkopakettien tarkistamiseen ja suodattamiseen analysoimalla pakettien otsikoiden lisäksi myös koko liikenteen sisältöä OSI-mallin tasoilla toisesta ja korkeammasta, jonka avulla voit havaita ja suodattaa estää virukset, suodattaa tiedot, jotka eivät täytä määritettyjä ehtoja.

DPI-yhteyksiä on kahta tyyppiä, jotka kuvataan ValdikSS githubissa:

Passiivinen DPI

DPI kytketty palveluntarjoajan verkkoon rinnakkain (ei katkona) joko passiivisen optisen jakajan kautta tai käyttäjiltä tulevan liikenteen peilaamalla. Tämä yhteys ei hidasta palveluntarjoajan verkon nopeutta riittämättömässä DPI-suorituskyvyssä, minkä vuoksi suuret palveluntarjoajat käyttävät sitä. Tämän yhteystyypin DPI voi teknisesti vain havaita yrityksen pyytää kiellettyä sisältöä, mutta ei pysäyttää sitä. Ohitakseen tämän rajoituksen ja estääkseen pääsyn kiellettyyn sivustoon DPI lähettää estettyä URL-osoitetta pyytävälle käyttäjälle erityisesti muodostetun HTTP-paketin, jossa on uudelleenohjaus palveluntarjoajan tynkäsivulle, ikään kuin pyydetty resurssi itse olisi lähettänyt vastauksen (lähettäjän IP-osoite). osoite ja TCP-sekvenssi on väärennetty). Koska DPI on fyysisesti lähempänä käyttäjää kuin pyydetty sivusto, väärennetty vastaus saavuttaa käyttäjän laitteen nopeammin kuin sivuston todellinen vastaus.

Aktiivinen DPI

Active DPI - DPI yhdistetty palveluntarjoajan verkkoon tavallisella tavalla, kuten mikä tahansa muu verkkolaite. Palveluntarjoaja määrittää reitityksen niin, että DPI vastaanottaa liikenteen käyttäjiltä estettyihin IP-osoitteisiin tai verkkotunnuksiin, ja DPI päättää sitten, sallitaanko vai estetäänkö liikenne. Aktiivinen DPI voi tarkastaa sekä lähtevän että saapuvan liikenteen, mutta jos palveluntarjoaja käyttää DPI:tä vain sivustojen estoon rekisteristä, se on useimmiten määritetty tarkastamaan vain lähtevä liikenne.

Liikenteen eston tehokkuus, mutta myös DPI:n kuormitus riippuu yhteystyypistä, joten on mahdollista, ettei kaikkea liikennettä voi skannata, vaan vain tiettyjä:

"Normaali" DPI

"Tavallinen" DPI on DPI, joka suodattaa tietyntyyppistä liikennettä vain tämän tyypin yleisimmistä porteista. Esimerkiksi "tavallinen" DPI havaitsee ja estää kielletyn HTTP-liikenteen vain portissa 80, HTTPS-liikenteen portissa 443. Tämän tyyppinen DPI ei seuraa kiellettyä sisältöä, jos lähetät pyynnön estetyllä URL-osoitteella estettyyn IP-osoitteeseen tai ei-salpaavaan IP-osoitteeseen. standardi portti.

"Täysi" DPI

Toisin kuin "tavallinen" DPI, tämän tyyppinen DPI luokittelee liikenteen IP-osoitteesta ja portista riippumatta. Tällä tavalla estetyt sivustot eivät avaudu, vaikka käytät välityspalvelinta täysin eri portissa ja estottoman IP-osoitteen kautta.

DPI:n käyttö

Jotta tiedonsiirtonopeus ei vähene, sinun on käytettävä "normaalia" passiivista DPI:tä, jonka avulla voit tehokkaasti? estää joku? resurssit, oletuskokoonpano näyttää tältä:

• HTTP-suodatin vain portissa 80
• HTTPS vain portissa 443
• BitTorrent vain porteissa 6881-6889

Mutta ongelmat alkavat jos resurssi käyttää eri porttia, jotta käyttäjiä ei menetetä, sinun on tarkistettava jokainen paketti, esimerkiksi voit antaa:

• HTTP toimii porteissa 80 ja 8080
• HTTPS porteissa 443 ja 8443
• BitTorrent missä tahansa muussa bändissä

Tämän vuoksi sinun on joko vaihdettava "aktiiviseen" DPI: hen tai käytettävä estoa käyttämällä ylimääräistä DNS-palvelinta.

Estäminen DNS:n avulla

Yksi tapa estää pääsy resurssiin on siepata DNS-pyyntö paikallisen DNS-palvelimen avulla ja palauttaa käyttäjälle "tynkä" IP-osoite vaaditun resurssin sijaan. Mutta tämä ei anna taattua tulosta, koska on mahdollista estää osoitteen huijaus:

Vaihtoehto 1: Hosts-tiedoston muokkaaminen (työpöydälle)

Hosts-tiedosto on olennainen osa mitä tahansa käyttöjärjestelmää, joten voit käyttää sitä aina. Käyttääkseen resurssia käyttäjän on:

1. Selvitä vaaditun resurssin IP-osoite
2. Avaa hosts-tiedosto muokkausta varten (edellyttää järjestelmänvalvojan oikeuksia), joka sijaitsee osoitteessa:
   • Linux: /etc/hosts
   • Windows: %WinDir%System32driversetchosts
3. Lisää rivi muodossa: <resurssin nimi>
4. Tallenna muutokset

Tämän menetelmän etuna on sen monimutkaisuus ja järjestelmänvalvojan oikeuksien vaatimus.

Vaihtoehto 2: DoH (DNS yli HTTPS) tai DoT (DNS over TLS)

Näiden menetelmien avulla voit suojata DNS-pyyntösi huijauksilta salauksella, mutta kaikki sovellukset eivät tue toteutusta. Katsotaanpa DoH:n määrittämisen helppoutta Mozilla Firefox -versiolle 66 käyttäjän puolelta:

1. Mene osoitteeseen about: config Firefoxissa
2. Varmista, että käyttäjä ottaa kaiken riskin
3. Muuta parametrin arvoa network.trr.mode on:
   • 0 - poista TRR käytöstä
   • 1 - automaattinen valinta
   • 2 - ota DoH käyttöön oletusarvoisesti
4. Muuta parametria network.trr.uri valitsemalla DNS-palvelin
   • Cloudflare DNS: mozilla.cloudflare-dns.com/dns-query
   • Googlen DNS: dns.google.com/experimental
5. Muuta parametria network.trr.boostrapAddress on:
   • Jos Cloudflare DNS on valittuna: 1.1.1.1
   • Jos Google DNS on valittuna: 8.8.8.8
6. Muuta parametrin arvoa network.security.esni.enabled päälle totta
7. Tarkista, että asetukset ovat oikeat käyttämällä Cloudflare palvelu

Vaikka tämä menetelmä on monimutkaisempi, se ei vaadi käyttäjältä järjestelmänvalvojan oikeuksia, ja on monia muita tapoja suojata DNS-pyyntö, joita ei ole kuvattu tässä artikkelissa.

Vaihtoehto 3 (mobiililaitteille):

Cloudflare-sovelluksen avulla Android и IOS.

Testaus

Resursseihin pääsyn puutteen tarkistamiseksi ostettiin väliaikaisesti Venäjän federaatiossa estetty verkkotunnus:

• HTTP-tarkistus + portti 80
• HTTP-tarkistus + portti 8080
• HTTPS-tarkistus + portti 443
• HTTPS-tarkistus + portti 8443

Johtopäätös

Toivon, että tämä artikkeli on hyödyllinen ja rohkaisee järjestelmänvalvojia ymmärtämään aihetta yksityiskohtaisemmin, mutta antaa myös ymmärryksen siitä, että resurssit ovat aina käyttäjän puolella, ja uusien ratkaisujen etsimisen tulee olla olennainen osa heitä.

Hyödyllisiä linkkejä

• Salatun SNI-standardin käyttöönotto Firefoxissa
• Offline DPI ohitus

Lisäys artikkelin ulkopuolellaCloudflare-testiä ei voida suorittaa Tele2-operaattoriverkossa, ja oikein määritetty DPI estää pääsyn testialueelle.
PS Toistaiseksi tämä on ensimmäinen palveluntarjoaja, joka estää resurssit oikein.

Lähde: will.com