Tämä artikkeli ei kata täydellistä DPI-säätöä ja kaikkea toisiinsa liittyvää, ja tekstin tieteellinen arvo on minimaalinen. Mutta se kuvaa yksinkertaisinta tapaa ohittaa DPI, jota monet yritykset eivät ole ottaneet huomioon.
Vastuuvapauslauseke #1: Tämä artikkeli on luonteeltaan tutkimusta, eikä se rohkaise ketään tekemään tai käyttämään mitään. Idea perustuu henkilökohtaiseen kokemukseen, ja mahdolliset yhtäläisyydet ovat satunnaisia.
Varoitus nro 2: artikkeli ei paljasta Atlantiksen salaisuuksia, Graalin etsintöä ja muita maailmankaikkeuden mysteereitä; kaikki materiaali on vapaasti saatavilla ja sitä on ehkä kuvattu useammin kuin kerran Habressa. (En löytänyt, olisin kiitollinen linkistä)
Niille, jotka ovat lukeneet varoitukset, aloitetaan.
Mikä on DPI?
DPI eli Deep Packet Inspection on tekniikka tilastotietojen keräämiseen, verkkopakettien tarkistamiseen ja suodattamiseen analysoimalla pakettien otsikoiden lisäksi myös koko liikenteen sisältöä OSI-mallin tasoilla toisesta ja korkeammasta, jonka avulla voit havaita ja suodattaa estää virukset, suodattaa tiedot, jotka eivät täytä määritettyjä ehtoja.
DPI kytketty palveluntarjoajan verkkoon rinnakkain (ei katkona) joko passiivisen optisen jakajan kautta tai käyttäjiltä tulevan liikenteen peilaamalla. Tämä yhteys ei hidasta palveluntarjoajan verkon nopeutta riittämättömässä DPI-suorituskyvyssä, minkä vuoksi suuret palveluntarjoajat käyttävät sitä. Tämän yhteystyypin DPI voi teknisesti vain havaita yrityksen pyytää kiellettyä sisältöä, mutta ei pysäyttää sitä. Ohitakseen tämän rajoituksen ja estääkseen pääsyn kiellettyyn sivustoon DPI lähettää estettyä URL-osoitetta pyytävälle käyttäjälle erityisesti muodostetun HTTP-paketin, jossa on uudelleenohjaus palveluntarjoajan tynkäsivulle, ikään kuin pyydetty resurssi itse olisi lähettänyt vastauksen (lähettäjän IP-osoite). osoite ja TCP-sekvenssi on väärennetty). Koska DPI on fyysisesti lähempänä käyttäjää kuin pyydetty sivusto, väärennetty vastaus saavuttaa käyttäjän laitteen nopeammin kuin sivuston todellinen vastaus.
Aktiivinen DPI
Active DPI - DPI yhdistetty palveluntarjoajan verkkoon tavallisella tavalla, kuten mikä tahansa muu verkkolaite. Palveluntarjoaja määrittää reitityksen niin, että DPI vastaanottaa liikenteen käyttäjiltä estettyihin IP-osoitteisiin tai verkkotunnuksiin, ja DPI päättää sitten, sallitaanko vai estetäänkö liikenne. Aktiivinen DPI voi tarkastaa sekä lähtevän että saapuvan liikenteen, mutta jos palveluntarjoaja käyttää DPI:tä vain sivustojen estoon rekisteristä, se on useimmiten määritetty tarkastamaan vain lähtevä liikenne.
Liikenteen eston tehokkuus, mutta myös DPI:n kuormitus riippuu yhteystyypistä, joten on mahdollista, ettei kaikkea liikennettä voi skannata, vaan vain tiettyjä:
"Normaali" DPI
"Tavallinen" DPI on DPI, joka suodattaa tietyntyyppistä liikennettä vain tämän tyypin yleisimmistä porteista. Esimerkiksi "tavallinen" DPI havaitsee ja estää kielletyn HTTP-liikenteen vain portissa 80, HTTPS-liikenteen portissa 443. Tämän tyyppinen DPI ei seuraa kiellettyä sisältöä, jos lähetät pyynnön estetyllä URL-osoitteella estettyyn IP-osoitteeseen tai ei-salpaavaan IP-osoitteeseen. standardi portti.
"Täysi" DPI
Toisin kuin "tavallinen" DPI, tämän tyyppinen DPI luokittelee liikenteen IP-osoitteesta ja portista riippumatta. Tällä tavalla estetyt sivustot eivät avaudu, vaikka käytät välityspalvelinta täysin eri portissa ja estottoman IP-osoitteen kautta.
DPI:n käyttö
Jotta tiedonsiirtonopeus ei vähene, sinun on käytettävä "normaalia" passiivista DPI:tä, jonka avulla voit tehokkaasti? estää joku? resurssit, oletuskokoonpano näyttää tältä:
HTTP-suodatin vain portissa 80
HTTPS vain portissa 443
BitTorrent vain porteissa 6881-6889
Mutta ongelmat alkavat jos resurssi käyttää eri porttia, jotta käyttäjiä ei menetetä, sinun on tarkistettava jokainen paketti, esimerkiksi voit antaa:
HTTP toimii porteissa 80 ja 8080
HTTPS porteissa 443 ja 8443
BitTorrent missä tahansa muussa bändissä
Tämän vuoksi sinun on joko vaihdettava "aktiiviseen" DPI: hen tai käytettävä estoa käyttämällä ylimääräistä DNS-palvelinta.
Estäminen DNS:n avulla
Yksi tapa estää pääsy resurssiin on siepata DNS-pyyntö paikallisen DNS-palvelimen avulla ja palauttaa käyttäjälle "tynkä" IP-osoite vaaditun resurssin sijaan. Mutta tämä ei anna taattua tulosta, koska on mahdollista estää osoitteen huijaus:
Vaihtoehto 1: Hosts-tiedoston muokkaaminen (työpöydälle)
Hosts-tiedosto on olennainen osa mitä tahansa käyttöjärjestelmää, joten voit käyttää sitä aina. Käyttääkseen resurssia käyttäjän on:
Selvitä vaaditun resurssin IP-osoite
Avaa hosts-tiedosto muokkausta varten (edellyttää järjestelmänvalvojan oikeuksia), joka sijaitsee osoitteessa:
Linux: /etc/hosts
Windows: %WinDir%System32driversetchosts
Lisää rivi muodossa: <resurssin nimi>
Tallenna muutokset
Tämän menetelmän etuna on sen monimutkaisuus ja järjestelmänvalvojan oikeuksien vaatimus.
Vaihtoehto 2: DoH (DNS yli HTTPS) tai DoT (DNS over TLS)
Näiden menetelmien avulla voit suojata DNS-pyyntösi huijauksilta salauksella, mutta kaikki sovellukset eivät tue toteutusta. Katsotaanpa DoH:n määrittämisen helppoutta Mozilla Firefox -versiolle 66 käyttäjän puolelta:
Vaikka tämä menetelmä on monimutkaisempi, se ei vaadi käyttäjältä järjestelmänvalvojan oikeuksia, ja on monia muita tapoja suojata DNS-pyyntö, joita ei ole kuvattu tässä artikkelissa.
Toivon, että tämä artikkeli on hyödyllinen ja rohkaisee järjestelmänvalvojia ymmärtämään aihetta yksityiskohtaisemmin, mutta antaa myös ymmärryksen siitä, että resurssit ovat aina käyttäjän puolella, ja uusien ratkaisujen etsimisen tulee olla olennainen osa heitä.
Lisäys artikkelin ulkopuolellaCloudflare-testiä ei voida suorittaa Tele2-operaattoriverkossa, ja oikein määritetty DPI estää pääsyn testialueelle.
PS Toistaiseksi tämä on ensimmäinen palveluntarjoaja, joka estää resurssit oikein.