Atik sa a pa kouvri tout ajisteman DPI ak tout bagay ki konekte ansanm, ak valè syantifik tèks la minim. Men, li dekri fason ki pi senp yo kontoune DPI, ki anpil konpayi pa te pran an kont.
Limit responsabilite nou #1: Atik sa a se yon nati rechèch epi li pa ankouraje pèsonn fè oswa itilize anyen. Lide a baze sou eksperyans pèsonèl, ak nenpòt resanblans yo o aza.
Avètisman nimewo 2: atik la pa revele sekrè Atlantis, rechèch la pou Sentespri Graal la ak lòt mistè nan linivè a, tout materyèl yo disponib gratis epi yo ka yo te dekri plis pase yon fwa sou Habré. (Mwen pa jwenn li, mwen ta rekonesan pou lyen an)
Pou moun ki te li avètisman yo, ann kòmanse.
ki sa ki DPI?
DPI oswa Deep Packet Inspection se yon teknoloji pou akimile done estatistik, tcheke ak filtre pakè rezo pa analize pa sèlman tèt pake, men tou, kontni an plen nan trafik nan nivo modèl OSI soti nan dezyèm lan ak pi wo, ki pèmèt ou detekte ak pi wo. bloke viris, filtre enfòmasyon ki pa satisfè kritè espesifik yo.
Gen de kalite koneksyon DPI, ki dekri :
DPI pasif
DPI konekte ak rezo founisè a an paralèl (pa nan yon koupe) swa atravè yon splitter optik pasif, oswa lè l sèvi avèk mirwar nan trafik ki soti nan itilizatè yo. Koneksyon sa a pa ralanti vitès rezo founisè a nan ka pèfòmans DPI ensifizan, se poutèt sa li itilize pa gwo founisè yo. DPI ak kalite koneksyon sa a kapab teknikman sèlman detekte yon tantativ pou mande kontni entèdi, men pa sispann li. Pou kontourne restriksyon sa a epi bloke aksè nan yon sit entèdi, DPI voye itilizatè a ki mande yon URL bloke yon pake HTTP espesyalman fabrike ak yon redireksyon nan paj souch founisè a, kòm si yon repons konsa te voye pa resous yo mande a li menm (IP moun k ap voye a. adrès ak sekans TCP yo fòje). Paske DPI a fizikman pi pre itilizatè a pase sit yo mande a, repons falsifikasyon an rive nan aparèy itilizatè a pi vit pase repons reyèl la soti nan sit la.
DPI aktif
DPI aktif - DPI konekte ak rezo founisè a nan fason nòmal la, tankou nenpòt lòt aparèy rezo. Founisè a konfigirasyon routage pou DPI resevwa trafik nan men itilizatè yo nan adrès IP oswa domèn bloke, epi DPI answit deside si yo pèmèt oswa bloke trafik. DPI aktif ka enspekte tou de trafik sortan ak fèk ap rantre, sepandan, si founisè a itilize DPI sèlman pou bloke sit ki soti nan rejis la, li se pi souvan configuré pou enspekte sèlman trafik sortan.
Se pa sèlman efikasite nan bloke trafik, men tou, chaj la sou DPI depann sou kalite koneksyon an, kidonk li se posib pa eskane tout trafik, men sèlman sèten yo:
DPI "Nòmal".
Yon DPI "regilye" se yon DPI ki filtre yon sèten kalite trafik sèlman sou pò ki pi komen pou kalite sa a. Pa egzanp, yon DPI "regilye" detekte epi bloke trafik HTTP entèdi sèlman sou pò 80, trafik HTTPS sou pò 443. Kalite DPI sa a pa pral swiv kontni entèdi si ou voye yon demann ak yon URL bloke nan yon IP debloke oswa ki pa-. pò estanda.
"Ple" DPI
Kontrèman ak DPI "regilye", kalite DPI sa a klase trafik kèlkeswa adrès IP ak pò. Nan fason sa a, sit bloke yo pa pral louvri menm si w ap itilize yon sèvè proxy sou yon pò konplètman diferan ak adrès IP debloke.
Sèvi ak DPI
Nan lòd pa diminye pousantaj transfè done a, ou bezwen sèvi ak "Nòmal" pasif DPI, ki pèmèt ou efektivman? bloke nenpòt? resous, konfigirasyon default la sanble sa a:
- HTTP filtre sèlman sou pò 80
- HTTPS sèlman sou pò 443
- BitTorrent sèlman sou pò 6881-6889
Men pwoblèm kòmanse si resous la pral sèvi ak yon pò diferan pou yo pa pèdi itilizatè yo, Lè sa a, ou pral oblije tcheke chak pake, pou egzanp ou ka bay:
- HTTP travay sou pò 80 ak 8080
- HTTPS sou pò 443 ak 8443
- BitTorrent sou nenpòt lòt gwoup
Poutèt sa, ou pral oblije swa chanje nan "Aktif" DPI oswa itilize bloke lè l sèvi avèk yon sèvè DNS adisyonèl.
Bloke lè l sèvi avèk DNS
Youn nan fason yo bloke aksè nan yon resous se entèsepte demann DNS la lè l sèvi avèk yon sèvè DNS lokal epi retounen itilizatè a yon adrès IP "souch" olye ke resous ki nesesè yo. Men, sa a pa bay yon rezilta garanti, paske li posib pou anpeche adrès spoofing:
Opsyon 1: Modification fichye hôtes (pou Bureau)
Fichye a gen tout pouvwa a se yon pati entegral nan nenpòt sistèm opere, ki pèmèt ou toujou sèvi ak li. Pou jwenn aksè nan resous la, itilizatè a dwe:
- Chèche konnen adrès IP resous ki nesesè yo
- Louvri fichye lame a pou koreksyon (dwa administratè obligatwa), ki sitiye nan:
- Linux: /etc/hosts
- Windows: %WinDir%System32driversetchosts
- Ajoute yon liy nan fòma a: <non resous>
- Sove chanjman
Avantaj nan metòd sa a se konpleksite li yo ak egzijans pou dwa administratè.
Opsyon 2: DoH (DNS sou HTTPS) oswa DoT (DNS sou TLS)
Metòd sa yo pèmèt ou pwoteje demann DNS ou a kont spoofing lè l sèvi avèk chifreman, men aplikasyon an pa sipòte pa tout aplikasyon yo. Ann gade nan fasilite nan mete kanpe DoH pou Mozilla Firefox vèsyon 66 soti nan bò itilizatè a:
- Ale nan adrès nan Firefox
- Konfime ke itilizatè a sipoze tout risk
- Chanje valè paramèt la rezo.trr.mode sou:
- 0 - enfim TRR
- 1 - seleksyon otomatik
- 2 - pèmèt DoH pa default
- Chanje paramèt network.trr.uri chwazi sèvè dns
- Cloudflare DNS:
- Google dns:
- Chanje paramèt network.trr.boostrapAddress sou:
- Si yo chwazi Cloudflare DNS: 1.1.1.1
- Si yo chwazi Google DNS: 8.8.8.8
- Chanje valè paramèt la network.security.esni.enabled sou vrè
- Tcheke ke paramèt yo kòrèk lè l sèvi avèk
Malgre ke metòd sa a se pi konplèks, li pa mande pou itilizatè a gen dwa administratè, e gen anpil lòt fason yo an sekirite yon demann DNS ki pa dekri nan atik sa a.
Opsyon 3 (pou aparèy mobil):
Sèvi ak aplikasyon Cloudflare pou и .
Tès
Pou tcheke mank aksè a resous yo, yo te achte yon domèn bloke nan Federasyon Larisi tanporèman:
Konklizyon
Mwen espere atik sa a pral itil epi li pral ankouraje non sèlman administratè yo konprann sijè a an plis detay, men li pral tou bay yon konpreyansyon ke resous yo ap toujou sou bò itilizatè a, ak rechèch la pou nouvo solisyon yo ta dwe yon pati entegral pou yo.
lyen itil
Anplis de sa deyò atik laTès Cloudflare a pa ka ranpli sou rezo operatè Tele2 a, epi yon DPI kòrèkteman bloke aksè nan sit tès la.
PS Jiskaprezan sa a se premye founisè ki kòrèkteman bloke resous yo.
Sous: www.habr.com