Skaaimerken fan DPI ynstellings

Dit artikel net cover folsleine DPI oanpassing en alles ferbûn tegearre, en de wittenskiplike wearde fan 'e tekst is minimaal. Mar it beskriuwt de ienfâldichste manier om DPI te omgean, dy't in protte bedriuwen net yn rekken brocht hawwe.

Disclaimer #1: Dit artikel is fan ûndersykskarakter en stimulearret gjinien om wat te dwaan of te brûken. It idee is basearre op persoanlike ûnderfining, en alle oerienkomsten binne willekeurich.

Предупреждение №2: в статье не раскрываются тайны Атлантиды, поиска Святого Грааля и иные загадки вселенной, весь материал находится в свободном доступе и возможно не раз был описан на Хабе. (я не нашел, за ссылку буду признателен)

Foar dyjingen dy't de warskôgings hawwe lêzen, litte wy begjinne.

Wat is DPI?

DPI of Deep Packet Inspection is in technology foar it sammeljen fan statistyske gegevens, kontrolearjen en filterjen fan netwurkpakketten troch net allinich pakketkoppen te analysearjen, mar ek de folsleine ynhâld fan ferkear op nivo's fan it OSI-model fan 'e twadde en hegere, wêrtroch jo kinne detectearje en blokkearje firussen, filterynformaasje dy't net foldocht oan oantsjutte kritearia.

D'r binne twa soarten DPI-ferbining, dy't wurde beskreaun ValdikSS op github:

Passive DPI

DPI ferbûn oan it provider netwurk parallel (net yn in besuniging) itsij fia in passive optyske splitter, of mei help fan ôfspegeljen fan ferkear dat komt fan brûkers. Dizze ferbining fertraget de snelheid fan it netwurk fan 'e provider net yn gefal fan ûnfoldwaande DPI-prestaasjes, dat is de reden dat it wurdt brûkt troch grutte providers. DPI mei dizze ferbining type kin technysk allinne detect in besykjen om te freegjen ferbeane ynhâld, mar net stopje it. Om dizze beheining te omgean en tagong ta in ferbeane side te blokkearjen, stjoert DPI de brûker dy't in blokkearre URL freget in spesjaal makke HTTP-pakket mei in trochferwizing nei de stubside fan 'e provider, as soe sa'n antwurd ferstjoerd waard troch de frege boarne sels (de IP fan 'e stjoerder) adres en TCP-sekwinsje binne smeid). Om't de DPI fysyk tichter by de brûker is dan de oanfrege side, berikt it spoofed antwurd it apparaat fan 'e brûker flugger dan it echte antwurd fan 'e side.

Aktive DPI

Aktive DPI - DPI ferbûn mei it netwurk fan 'e provider op' e gewoane manier, lykas elk oar netwurkapparaat. De provider konfigurearret routing sadat DPI ferkear ûntfangt fan brûkers nei blokkearre IP-adressen of domeinen, en DPI beslút dan oft it ferkear tastien of blokkearje sil. Aktive DPI kin sawol útgeande as ynkommende ferkear ynspektearje, lykwols, as de provider DPI allinich brûkt om siden út it register te blokkearjen, wurdt it meast konfigureare om allinich útgeand ferkear te ynspektearjen.

Net allinich de effektiviteit fan ferkearsblokkering, mar ek de lading op DPI hinget ôf fan it type ferbining, dus it is mooglik om net alle ferkear te scannen, mar allinich guon:

"Normaal" DPI

In "gewoane" DPI is in DPI dy't in bepaald type ferkear filtert allinnich op de meast foarkommende havens foar dat type. Bygelyks, in "gewoane" DPI detektearret en blokkearret ferbean HTTP-ferkear allinich op poarte 80, HTTPS-ferkear op poarte 443. Dit type DPI sil gjin ferbeane ynhâld folgje as jo in fersyk mei in blokkearre URL stjoere nei in net-blokkearre IP of net- standert haven.

"Folsleine" DPI

Oars as "gewoane" DPI, klassifisearret dit type DPI ferkear nettsjinsteande IP-adres en poarte. Op dizze manier sille blokkearre siden net iepenje, sels as jo in proxy-tsjinner brûke op in folslein oare poarte en unblocked IP-adres.

Mei help fan DPI

Om net te ferminderjen de gegevens oerdracht taryf, moatte jo brûke "Normaal" passive DPI, dat kinne jo effektyf? ien blokkearje? boarnen, de standertkonfiguraasje sjocht der sa út:

• HTTP-filter allinich op poarte 80
• HTTPS allinich op poarte 443
• BitTorrent allinich op havens 6881-6889

Mar problemen begjinne as de boarne sil in oare poarte brûke om brûkers net te ferliezen, dan moatte jo elk pakket kontrolearje, bygelyks kinne jo jaan:

• HTTP wurket op poarte 80 en 8080
• HTTPS op poarte 443 en 8443
• BitTorrent op elke oare band

Hjirtroch moatte jo ofwol oerskeakelje nei "Aktive" DPI of gebrûk meitsje fan blokkearjen mei in ekstra DNS-tsjinner.

Blokkearje mei DNS

Ien manier om tagong ta in boarne te blokkearjen is it DNS-fersyk te ûnderskeppen mei in lokale DNS-tsjinner en de brûker in "stub" IP-adres werom te jaan ynstee fan de fereaske boarne. Mar dit jout gjin garandearre resultaat, om't it mooglik is om adres spoofing te foarkommen:

Opsje 1: It hostbestân bewurkje (foar buroblêd)

It hostbestân is in yntegraal ûnderdiel fan elk bestjoeringssysteem, wêrtroch jo it altyd kinne brûke. Om tagong te krijen ta de boarne moat de brûker:

1. Fyn it IP-adres fan 'e fereaske boarne
2. Iepenje it hosts-bestân foar bewurkjen (behearderrjochten fereaske), lizzend yn:
   • Linux: /etc/hosts
   • Windows: %WinDir%System32driversetchosts
3. Foegje in rigel ta yn it formaat: <namme boarne>
4. Feroarings bewarje

It foardiel fan dizze metoade is syn kompleksiteit en de eask foar behearder rjochten.

Opsje 2: DoH (DNS oer HTTPS) of DoT (DNS oer TLS)

Dizze metoaden kinne jo beskermje jo DNS-fersyk tsjin spoofing mei fersifering, mar de ymplemintaasje wurdt net stipe troch alle applikaasjes. Litte wy sjen nei it gemak fan it ynstellen fan DoH foar Mozilla Firefox ferzje 66 fan 'e kant fan' e brûker:

1. Gean nei adres oer: config yn Firefox
2. Befêstigje dat de brûker alle risiko nimt
3. Изменит значение параметра netwurk.trr.modus op 'e:
   • 0 - útskeakelje TRR
   • 1 - automatyske seleksje
   • 2 - ynskeakelje DoH standert
4. Feroarje parameter network.trr.uri selektearjen DNS tsjinner
   • Cloudflare DNS: mozilla.cloudflare-dns.com/dns-query
   • GoogleDNS: dns.google.com/experimental
5. Feroarje parameter network.trr.boostrapAddress op 'e:
   • As Cloudflare DNS selektearre is: 1.1.1.1
   • As Google DNS selektearre is: 8.8.8.8
6. Изменит значение параметра network.security.esni.enabled op wier
7. Kontrolearje dat de ynstellingen korrekt binne mei gebrûk Cloudflare tsjinst

Hoewol dizze metoade komplekser is, fereasket it net dat de brûker administratorrjochten hat, en d'r binne in protte oare manieren om in DNS-fersyk te befeiligjen dy't net yn dit artikel beskreaun binne.

Opsje 3 (foar mobile apparaten):

Mei help fan de Cloudflare-app om Android и IOS.

Testing

Om te kontrolearjen it gebrek oan tagong ta middels, in domein blokkearre yn 'e Russyske Federaasje waard tydlik kocht:

• HTTP-kontrôle + poarte 80
• HTTP-kontrôle + poarte 8080
• HTTPS-kontrôle + poarte 443
• HTTPS-kontrôle + poarte 8443

konklúzje

Ik hoopje dat dit artikel nuttich sil wêze en net allinich behearders sil stimulearje om it ûnderwerp yn mear detail te begripen, mar sil ek in begryp jaan dat boarnen sille altyd oan 'e kant fan' e brûker wêze, en it sykjen nei nije oplossingen moat in yntegraal diel foar har wêze.

Nuttige keppelings

• Implementearje de fersifere SNI-standert yn Firefox
• Offline DPI Bypass

Tafoeging bûten it artikelDe Cloudflare-test kin net foltôge wurde op it Tele2-operatornetwurk, en in korrekt ynstelde DPI blokkearret tagong ta de testside.
PS Oant no is dit de earste provider dy't boarnen korrekt blokkearret.

Boarne: www.habr.com