A DPI beállítások jellemzői

Ez a cikk nem terjed ki a teljes DPI-beállításra és minden összefüggő dologra, és a szöveg tudományos értéke minimális. De leírja a DPI megkerülésének legegyszerűbb módját, amelyet sok vállalat nem vett figyelembe.

1. felelősség kizárása: Ez a cikk kutatási jellegű, és nem ösztönöz senkit arra, hogy bármit is tegyen vagy használjon. Az ötlet személyes tapasztalatokon alapul, és minden hasonlóság véletlenszerű.

Figyelmeztetés 2: a cikk nem fedi fel Atlantisz titkait, a Szent Grál keresését és az univerzum egyéb titkait; minden anyag szabadon hozzáférhető, és előfordulhat, hogy a Habrén többször is leírták. (Nem találtam, megköszönném a linket)

Azok számára, akik elolvasták a figyelmeztetéseket, kezdjük.

Mi az a DPI?

A DPI vagy Deep Packet Inspection egy technológia statisztikai adatok felhalmozására, hálózati csomagok ellenőrzésére és szűrésére, nemcsak a csomagfejlécek elemzésével, hanem a forgalom teljes tartalmának elemzésével az OSI modell szintjein a második és magasabb szinttől kezdve, amely lehetővé teszi az észlelést és a hálózati csomagok szűrését. blokkolja a vírusokat, szűri az információkat, amelyek nem felelnek meg a megadott feltételeknek.

Kétféle DPI-kapcsolat létezik, amelyek leírása ValdikSS a githubon:

Passzív DPI

A DPI párhuzamosan (nem vágásban) csatlakozik a szolgáltatói hálózathoz passzív optikai elosztón keresztül, vagy a felhasználóktól származó forgalom tükrözésével. Ez a kapcsolat nem lassítja a szolgáltató hálózatának sebességét elégtelen DPI teljesítmény esetén, ezért használják a nagy szolgáltatók. A DPI ezzel a kapcsolattípussal technikailag csak észleli a tiltott tartalom kérésére irányuló kísérletet, de nem tudja leállítani. A korlátozás megkerüléséhez és a tiltott webhelyhez való hozzáférés blokkolásához a DPI egy speciálisan kialakított HTTP-csomagot küld a blokkolt URL-t kérő felhasználónak a szolgáltató csonkoldalára történő átirányítással, mintha maga a kért erőforrás (a küldő IP-je) küldte volna a választ. cím és TCP-szekvencia hamisított). Mivel a DPI fizikailag közelebb van a felhasználóhoz, mint a kért webhely, a hamisított válasz gyorsabban éri el a felhasználó eszközét, mint a webhely valódi válasza.

Aktív DPI

Aktív DPI - A DPI a szokásos módon csatlakozik a szolgáltató hálózatához, mint bármely más hálózati eszköz. A szolgáltató úgy konfigurálja az útválasztást, hogy a DPI fogadja a forgalmat a felhasználóktól a blokkolt IP-címekre vagy tartományokra, majd a DPI eldönti, hogy engedélyezi vagy blokkolja a forgalmat. Az aktív DPI mind a kimenő, mind a bejövő forgalmat ellenőrizheti, azonban ha a szolgáltató csak a DPI-vel blokkolja a webhelyeket a rendszerleíró adatbázisból, akkor leggyakrabban úgy van beállítva, hogy csak a kimenő forgalmat vizsgálja.

Nemcsak a forgalom blokkolásának hatékonysága, hanem a DPI terhelése is a kapcsolat típusától függ, így lehetséges, hogy nem az összes forgalmat vizsgálják, hanem csak bizonyosakat:

"Normál" DPI

A „normál” DPI egy olyan DPI, amely egy bizonyos típusú forgalmat csak az adott típushoz tartozó leggyakoribb portokon szűr. Például egy „szokásos” DPI csak a 80-as porton észleli és blokkolja a tiltott HTTP-forgalmat, a 443-as porton pedig a HTTPS-forgalmat. Ez a típusú DPI nem követi nyomon a tiltott tartalmat, ha blokkolt URL-címmel küld egy kérést egy nem blokkolt IP-címre vagy nem szabványos port.

"Teljes" DPI

A „normál” DPI-vel ellentétben ez a típusú DPI osztályozza a forgalmat az IP-címtől és a porttól függetlenül. Így a blokkolt oldalak akkor sem nyílnak meg, ha teljesen más porton és feloldott IP-címen használ proxyszervert.

DPI használata

Annak érdekében, hogy ne csökkentse az adatátviteli sebességet, „Normal” passzív DPI-t kell használnia, amely lehetővé teszi a hatékony? blokkolja valamelyiket? erőforrások, az alapértelmezett konfiguráció így néz ki:

• HTTP-szűrő csak a 80-as porton
• HTTPS csak a 443-as porton
• BitTorrent csak a 6881-6889-es portokon

De a problémák akkor kezdődnek, ha az erőforrás másik portot használ, hogy ne veszítse el a felhasználókat, akkor minden csomagot ellenőriznie kell, például megadhatja:

• A HTTP a 80-as és 8080-as porton működik
• HTTPS a 443-as és 8443-as porton
• BitTorrent bármely más zenekaron

Emiatt vagy „Aktív” DPI-re kell váltania, vagy blokkolást kell alkalmaznia egy további DNS-kiszolgáló használatával.

Blokkolás DNS használatával

Az erőforrásokhoz való hozzáférés blokkolásának egyik módja a DNS-kérelem elfogása egy helyi DNS-kiszolgáló segítségével, és a felhasználónak egy „csonk” IP-címet ad vissza a szükséges erőforrás helyett. Ez azonban nem ad garantált eredményt, mivel megakadályozható a címhamisítás:

1. lehetőség: A hosts fájl szerkesztése (asztali számítógéphez)

A hosts fájl minden operációs rendszer szerves része, amely lehetővé teszi, hogy mindig használja. Az erőforrás eléréséhez a felhasználónak:

1. Keresse meg a szükséges erőforrás IP-címét
2. Nyissa meg a hosts fájlt szerkesztéshez (rendszergazdai jogosultság szükséges), amely a következő helyen található:
   • Linux: /etc/hosts
   • Windows: %WinDir%System32driversetchosts
3. Adjon hozzá egy sort a következő formátumban: <erőforrás neve>
4. Változtatások mentése

Ennek a módszernek az előnye a bonyolultsága és a rendszergazdai jogok szükségessége.

2. lehetőség: DoH (DNS HTTPS-en keresztül) vagy DoT (DNS TLS-en keresztül)

Ezek a módszerek lehetővé teszik, hogy titkosítással megvédje DNS-kérelmét a hamisítástól, de a megvalósítást nem minden alkalmazás támogatja. Nézzük meg a DoH beállításának egyszerűségét a Mozilla Firefox 66-os verziójához a felhasználói oldalról:

1. Menjen a címre about: config a Firefoxban
2. Győződjön meg arról, hogy a felhasználó vállal minden kockázatot
3. Paraméter értékének módosítása network.trr.mode on:
   • 0 - a TRR letiltása
   • 1 - automatikus kiválasztás
   • 2 - alapértelmezés szerint engedélyezze a DoH-t
4. Paraméter módosítása network.trr.uri DNS-kiszolgáló kiválasztása
   • Cloudflare DNS: mozilla.cloudflare-dns.com/dns-query
   • GoogleDNS: dns.google.com/experimental
5. Paraméter módosítása network.trr.boostrapAddress on:
   • Ha a Cloudflare DNS van kiválasztva: 1.1.1.1
   • Ha a Google DNS van kiválasztva: 8.8.8.8
6. Paraméter értékének módosítása network.security.esni.enabled on igaz
7. Ellenőrizze, hogy a beállítások helyesek-e a használatával Cloudflare szolgáltatás

Bár ez a módszer összetettebb, nem igényel rendszergazdai jogosultságokat a felhasználótól, és sok más módszer is létezik a DNS-kérés biztosítására, amelyeket ebben a cikkben nem ismertetünk.

3. lehetőség (mobileszközök esetén):

A Cloudflare alkalmazás használatával Android и IOS.

tesztelés

Az erőforrásokhoz való hozzáférés hiányának ellenőrzésére ideiglenesen az Orosz Föderációban blokkolt domaint vásároltak:

• HTTP ellenőrzés + 80-as port
• HTTP ellenőrzés + 8080-as port
• HTTPS ellenőrzés + 443-as port
• HTTPS ellenőrzés + 8443-as port

Következtetés

Remélem, hogy ez a cikk hasznos lesz, és nem csak az adminisztrátorokat fogja ösztönözni a téma részletesebb megértésére, hanem azt is megérti, hogy Az erőforrások mindig a felhasználó oldalán állnak, és az új megoldások keresésének szerves részét kell képeznie számukra.

Hasznos Linkek

• A titkosított SNI szabvány megvalósítása a Firefoxban
• Offline DPI bypass

Kiegészítés a cikken kívülA Cloudflare teszt nem fejezhető be a Tele2 szolgáltatói hálózatán, és a megfelelően konfigurált DPI blokkolja a hozzáférést a teszthelyhez.
PS Eddig ez az első szolgáltató, amely megfelelően blokkolja az erőforrásokat.

Forrás: will.com