Značajke DPI postavki

Ovaj članak ne pokriva punu prilagodbu DPI-ja i sve što je povezano zajedno, a znanstvena vrijednost teksta je minimalna. Ali opisuje najjednostavniji način zaobilaženja DPI-ja, koji mnoge tvrtke nisu uzele u obzir.

Odricanje od odgovornosti #1: Ovaj članak je istraživačke prirode i ne potiče nikoga da bilo što čini ili koristi. Ideja se temelji na osobnom iskustvu, a sve sličnosti su slučajne.

Upozorenje br. 2: članak ne otkriva tajne Atlantide, potragu za Svetim gralom i druge misterije svemira; sav materijal je slobodno dostupan i možda je više puta opisan na Habréu. (Nisam našao, bio bih zahvalan na linku)

Za one koji su pročitali upozorenja, počnimo.

Što je DPI?

DPI ili Deep Packet Inspection je tehnologija za prikupljanje statističkih podataka, provjeru i filtriranje mrežnih paketa analizom ne samo zaglavlja paketa, već i cijelog sadržaja prometa na razinama OSI modela od drugog i višeg, što vam omogućuje otkrivanje i blokirati viruse, filtrirati informacije koje ne zadovoljavaju navedene kriterije.

Postoje dvije vrste DPI veze koje su opisane ValdikSS na githubu:

Pasivni DPI

DPI povezan s mrežom pružatelja usluga paralelno (ne u presjeku) bilo putem pasivnog optičkog razdjelnika, bilo korištenjem zrcaljenja prometa koji potječe od korisnika. Ova veza ne usporava brzinu mreže pružatelja usluga u slučaju nedovoljnih DPI performansi, zbog čega je koriste veliki pružatelji usluga. DPI s ovom vrstom veze može tehnički samo otkriti pokušaj traženja zabranjenog sadržaja, ali ne i zaustaviti ga. Kako bi zaobišao ovo ograničenje i blokirao pristup zabranjenoj web stranici, DPI šalje korisniku koji zahtijeva blokirani URL posebno izrađen HTTP paket s preusmjeravanjem na stub stranicu pružatelja, kao da je takav odgovor poslao sam traženi resurs (IP pošiljatelja adresa i TCP sekvenca su krivotvoreni). Budući da je DPI fizički bliži korisniku od tražene stranice, lažni odgovor stiže do korisničkog uređaja brže od stvarnog odgovora stranice.

Aktivni DPI

Aktivni DPI - DPI spojen na mrežu pružatelja usluga na uobičajeni način, kao i svaki drugi mrežni uređaj. Davatelj konfigurira usmjeravanje tako da DPI prima promet od korisnika prema blokiranim IP adresama ili domenama, a DPI zatim odlučuje hoće li dopustiti ili blokirati promet. Aktivni DPI može pregledavati i odlazni i dolazni promet, međutim, ako pružatelj koristi DPI samo za blokiranje stranica iz registra, najčešće je konfiguriran za pregled samo odlaznog prometa.

Ne samo učinkovitost blokiranja prometa, već i opterećenje DPI-ja ovisi o vrsti veze, tako da je moguće ne skenirati sav promet, već samo određene:

"Normalni" DPI

"Regularni" DPI je DPI koji filtrira određenu vrstu prometa samo na najčešćim priključcima za tu vrstu. Na primjer, "obični" DPI otkriva i blokira zabranjeni HTTP promet samo na priključku 80, HTTPS promet na priključku 443. Ova vrsta DPI-ja neće pratiti zabranjeni sadržaj ako pošaljete zahtjev s blokiranim URL-om na deblokiran IP ili ne- standardni priključak.

"Puni" DPI

Za razliku od "običnog" DPI-ja, ova vrsta DPI-ja klasificira promet bez obzira na IP adresu i port. Na taj način se blokirane stranice neće otvoriti čak i ako koristite proxy poslužitelj na potpuno drugom portu i deblokiranoj IP adresi.

Korištenje DPI

Kako ne biste smanjili brzinu prijenosa podataka, morate koristiti "Normalni" pasivni DPI, koji vam omogućuje da učinkovito? blokirati bilo koji? resursa, zadana konfiguracija izgleda ovako:

• HTTP filter samo na portu 80
• HTTPS samo na portu 443
• BitTorrent samo na portovima 6881-6889

Ali problemi počinju ako resurs će koristiti drugi port kako ne bi izgubio korisnike, tada ćete morati provjeriti svaki paket, na primjer, možete dati:

• HTTP radi na portu 80 i 8080
• HTTPS na portu 443 i 8443
• BitTorrent na bilo kojem drugom opsegu

Zbog toga ćete se morati prebaciti na "Aktivni" DPI ili koristiti blokiranje pomoću dodatnog DNS poslužitelja.

Blokiranje pomoću DNS-a

Jedan od načina za blokiranje pristupa resursu je presretanje DNS zahtjeva pomoću lokalnog DNS poslužitelja i vraćanje korisniku "stub" IP adrese umjesto potrebnog resursa. Ali to ne daje zajamčeni rezultat, budući da je moguće spriječiti lažiranje adrese:

Opcija 1: Uređivanje datoteke domaćina (za stolno računalo)

Host datoteka sastavni je dio svakog operativnog sustava, što vam omogućuje da je uvijek koristite. Za pristup resursu, korisnik mora:

1. Saznajte IP adresu potrebnog resursa
2. Otvorite datoteku hosts za uređivanje (potrebna su administratorska prava), koja se nalazi u:
   • Linux: /etc/hosts
   • Windows: %WinDir%System32driversetchosts
3. Dodajte redak u formatu: <naziv resursa>
4. Spremite promjene

Prednost ove metode je njena složenost i zahtjev za administratorskim pravima.

Opcija 2: DoH (DNS preko HTTPS-a) ili DoT (DNS preko TLS-a)

Ove metode vam omogućuju da zaštitite svoj DNS zahtjev od krivotvorenja pomoću enkripcije, ali implementaciju ne podržavaju sve aplikacije. Pogledajmo jednostavnost postavljanja DoH-a za Mozilla Firefox verziju 66 sa strane korisnika:

1. Idi na adresu about: config u Firefoxu
2. Potvrdite da korisnik preuzima sav rizik
3. Promjena vrijednosti parametra network.trr.mode na:
   • 0 - onemogući TRR
   • 1 - automatski odabir
   • 2 - omogući DoH prema zadanim postavkama
4. Promjena parametra mreža.trr.uri odabir DNS poslužitelja
   • Cloudflare DNS: mozilla.cloudflare-dns.com/dns-query
   • Googleov DNS: dns.google.com/experimental
5. Promjena parametra network.trr.boostrapAddress na:
   • Ako je odabran Cloudflare DNS: 1.1.1.1
   • Ako je odabran Google DNS: 8.8.8.8
6. Promjena vrijednosti parametra network.security.esni.enabled na istinski
7. Provjerite jesu li postavke ispravne pomoću Cloudflare usluga

Iako je ova metoda složenija, ne zahtijeva od korisnika administratorska prava, a postoje i mnogi drugi načini zaštite DNS zahtjeva koji nisu opisani u ovom članku.

Opcija 3 (za mobilne uređaje):

Korištenje aplikacije Cloudflare za Android и IOS.

Testiranje

Kako bi se provjerio nedostatak pristupa resursima, privremeno je kupljena domena blokirana u Ruskoj Federaciji:

• HTTP provjera + port 80
• HTTP provjera + port 8080
• HTTPS provjera + port 443
• HTTPS provjera + port 8443

Zaključak

Nadam se da će ovaj članak biti koristan i da će potaknuti ne samo administratore da detaljnije razumiju temu, već će također dati razumijevanje da resursi će uvijek biti na strani korisnika, a potraga za novim rješenjima trebala bi biti njihov sastavni dio.

korisni linkovi

• Implementacija šifriranog SNI standarda u Firefoxu
• Offline DPI premosnica

Dodatak izvan člankaCloudflare test se ne može dovršiti na mreži operatera Tele2, a ispravno konfiguriran DPI blokira pristup mjestu testiranja.
PS Do sada je ovo prvi pružatelj koji ispravno blokira resurse.

Izvor: www.habr.com