Ez a cikk nem terjed ki a teljes DPI-beállításra és minden összefüggő dologra, és a szöveg tudományos értéke minimális. De leírja a DPI megkerülésének legegyszerűbb módját, amelyet sok vállalat nem vett figyelembe.
1. felelősség kizárása: Ez a cikk kutatási jellegű, és nem ösztönöz senkit arra, hogy bármit is tegyen vagy használjon. Az ötlet személyes tapasztalatokon alapul, és minden hasonlóság véletlenszerű.
Figyelmeztetés 2: a cikk nem fedi fel Atlantisz titkait, a Szent Grál keresését és az univerzum egyéb titkait; minden anyag szabadon hozzáférhető, és előfordulhat, hogy a Habrén többször is leírták. (Nem találtam, megköszönném a linket)
Azok számára, akik elolvasták a figyelmeztetéseket, kezdjük.
Mi az a DPI?
A DPI vagy Deep Packet Inspection egy technológia statisztikai adatok felhalmozására, hálózati csomagok ellenőrzésére és szűrésére, nemcsak a csomagfejlécek elemzésével, hanem a forgalom teljes tartalmának elemzésével az OSI modell szintjein a második és magasabb szinttől kezdve, amely lehetővé teszi az észlelést és a hálózati csomagok szűrését. blokkolja a vírusokat, szűri az információkat, amelyek nem felelnek meg a megadott feltételeknek.
A DPI párhuzamosan (nem vágásban) csatlakozik a szolgáltatói hálózathoz passzív optikai elosztón keresztül, vagy a felhasználóktól származó forgalom tükrözésével. Ez a kapcsolat nem lassítja a szolgáltató hálózatának sebességét elégtelen DPI teljesítmény esetén, ezért használják a nagy szolgáltatók. A DPI ezzel a kapcsolattípussal technikailag csak észleli a tiltott tartalom kérésére irányuló kísérletet, de nem tudja leállítani. A korlátozás megkerüléséhez és a tiltott webhelyhez való hozzáférés blokkolásához a DPI egy speciálisan kialakított HTTP-csomagot küld a blokkolt URL-t kérő felhasználónak a szolgáltató csonkoldalára történő átirányítással, mintha maga a kért erőforrás (a küldő IP-je) küldte volna a választ. cím és TCP-szekvencia hamisított). Mivel a DPI fizikailag közelebb van a felhasználóhoz, mint a kért webhely, a hamisított válasz gyorsabban éri el a felhasználó eszközét, mint a webhely valódi válasza.
Aktív DPI
Aktív DPI - A DPI a szokásos módon csatlakozik a szolgáltató hálózatához, mint bármely más hálózati eszköz. A szolgáltató úgy konfigurálja az útválasztást, hogy a DPI fogadja a forgalmat a felhasználóktól a blokkolt IP-címekre vagy tartományokra, majd a DPI eldönti, hogy engedélyezi vagy blokkolja a forgalmat. Az aktív DPI mind a kimenő, mind a bejövő forgalmat ellenőrizheti, azonban ha a szolgáltató csak a DPI-vel blokkolja a webhelyeket a rendszerleíró adatbázisból, akkor leggyakrabban úgy van beállítva, hogy csak a kimenő forgalmat vizsgálja.
Nemcsak a forgalom blokkolásának hatékonysága, hanem a DPI terhelése is a kapcsolat típusától függ, így lehetséges, hogy nem az összes forgalmat vizsgálják, hanem csak bizonyosakat:
"Normál" DPI
A „normál” DPI egy olyan DPI, amely egy bizonyos típusú forgalmat csak az adott típushoz tartozó leggyakoribb portokon szűr. Például egy „szokásos” DPI csak a 80-as porton észleli és blokkolja a tiltott HTTP-forgalmat, a 443-as porton pedig a HTTPS-forgalmat. Ez a típusú DPI nem követi nyomon a tiltott tartalmat, ha blokkolt URL-címmel küld egy kérést egy nem blokkolt IP-címre vagy nem szabványos port.
"Teljes" DPI
A „normál” DPI-vel ellentétben ez a típusú DPI osztályozza a forgalmat az IP-címtől és a porttól függetlenül. Így a blokkolt oldalak akkor sem nyílnak meg, ha teljesen más porton és feloldott IP-címen használ proxyszervert.
DPI használata
Annak érdekében, hogy ne csökkentse az adatátviteli sebességet, „Normal” passzív DPI-t kell használnia, amely lehetővé teszi a hatékony? blokkolja valamelyiket? erőforrások, az alapértelmezett konfiguráció így néz ki:
HTTP-szűrő csak a 80-as porton
HTTPS csak a 443-as porton
BitTorrent csak a 6881-6889-es portokon
De a problémák akkor kezdődnek, ha az erőforrás másik portot használ, hogy ne veszítse el a felhasználókat, akkor minden csomagot ellenőriznie kell, például megadhatja:
A HTTP a 80-as és 8080-as porton működik
HTTPS a 443-as és 8443-as porton
BitTorrent bármely más zenekaron
Emiatt vagy „Aktív” DPI-re kell váltania, vagy blokkolást kell alkalmaznia egy további DNS-kiszolgáló használatával.
Blokkolás DNS használatával
Az erőforrásokhoz való hozzáférés blokkolásának egyik módja a DNS-kérelem elfogása egy helyi DNS-kiszolgáló segítségével, és a felhasználónak egy „csonk” IP-címet ad vissza a szükséges erőforrás helyett. Ez azonban nem ad garantált eredményt, mivel megakadályozható a címhamisítás:
1. lehetőség: A hosts fájl szerkesztése (asztali számítógéphez)
A hosts fájl minden operációs rendszer szerves része, amely lehetővé teszi, hogy mindig használja. Az erőforrás eléréséhez a felhasználónak:
Keresse meg a szükséges erőforrás IP-címét
Nyissa meg a hosts fájlt szerkesztéshez (rendszergazdai jogosultság szükséges), amely a következő helyen található:
Linux: /etc/hosts
Windows: %WinDir%System32driversetchosts
Adjon hozzá egy sort a következő formátumban: <erőforrás neve>
Változtatások mentése
Ennek a módszernek az előnye a bonyolultsága és a rendszergazdai jogok szükségessége.
Ezek a módszerek lehetővé teszik, hogy titkosítással megvédje DNS-kérelmét a hamisítástól, de a megvalósítást nem minden alkalmazás támogatja. Nézzük meg a DoH beállításának egyszerűségét a Mozilla Firefox 66-os verziójához a felhasználói oldalról:
Bár ez a módszer összetettebb, nem igényel rendszergazdai jogosultságokat a felhasználótól, és sok más módszer is létezik a DNS-kérés biztosítására, amelyeket ebben a cikkben nem ismertetünk.
3. lehetőség (mobileszközök esetén):
A Cloudflare alkalmazás használatával Android и IOS.
tesztelés
Az erőforrásokhoz való hozzáférés hiányának ellenőrzésére ideiglenesen az Orosz Föderációban blokkolt domaint vásároltak:
Remélem, hogy ez a cikk hasznos lesz, és nem csak az adminisztrátorokat fogja ösztönözni a téma részletesebb megértésére, hanem azt is megérti, hogy Az erőforrások mindig a felhasználó oldalán állnak, és az új megoldások keresésének szerves részét kell képeznie számukra.
Kiegészítés a cikken kívülA Cloudflare teszt nem fejezhető be a Tele2 szolgáltatói hálózatán, és a megfelelően konfigurált DPI blokkolja a hozzáférést a teszthelyhez.
PS Eddig ez az első szolgáltató, amely megfelelően blokkolja az erőforrásokat.