DPI կարգավորումների առանձնահատկությունները

Այս հոդվածը չի ներառում DPI-ի ամբողջական կարգավորումը և այն ամենը, ինչ կապված է միմյանց հետ, և տեքստի գիտական ​​արժեքը նվազագույն է: Բայց այն նկարագրում է DPI-ի շրջանցման ամենապարզ միջոցը, որը շատ ընկերություններ հաշվի չեն առել։

Հրաժարում #1. Այս հոդվածը ունի հետազոտական ​​բնույթ և չի խրախուսում որևէ մեկին որևէ բան անել կամ օգտագործել: Գաղափարը հիմնված է անձնական փորձի վրա, և ցանկացած նմանություն պատահական է:

Предупреждение №2: в статье не раскрываются тайны Атлантиды, поиска Святого Грааля и иные загадки вселенной, весь материал находится в свободном доступе и возможно не раз был описан на Хабре. (я не нашел, за ссылку буду признателен)

Նրանց համար, ովքեր կարդացել են նախազգուշացումները, եկեք սկսենք:

Ի՞նչ է DPI-ն:

DPI կամ Deep Packet Inspection-ը վիճակագրական տվյալների կուտակման, ցանցային փաթեթները ստուգելու և զտելու տեխնոլոգիա է՝ վերլուծելով ոչ միայն փաթեթների վերնագրերը, այլև OSI մոդելի մակարդակներում տրաֆիկի ամբողջական բովանդակությունը երկրորդից և ավելի բարձրից, ինչը թույլ է տալիս հայտնաբերել և արգելափակել վիրուսները, զտել տեղեկատվությունը, որը չի համապատասխանում սահմանված չափանիշներին:

Կան երկու տեսակի DPI կապ, որոնք նկարագրված են ՎալդիկՍՍ github-ի վրա:

Պասիվ DPI

DPI-ը միացված է մատակարարի ցանցին զուգահեռ (ոչ կտրվածքով) կամ պասիվ օպտիկական բաժանարարի միջոցով, կամ օգտագործելով օգտագործողներից ծագող տրաֆիկի արտացոլումը: Այս կապը չի դանդաղեցնում մատակարարի ցանցի արագությունը DPI-ի անբավարար կատարման դեպքում, ինչի պատճառով այն օգտագործվում է խոշոր պրովայդերների կողմից: Այս կապի տեսակով DPI-ն տեխնիկապես կարող է հայտնաբերել միայն արգելված բովանդակություն պահանջելու փորձ, բայց ոչ դադարեցնել այն: Այս սահմանափակումը շրջանցելու և արգելված կայք մուտքն արգելափակելու համար DPI-ն ուղարկում է օգտվողին արգելափակված URL պահանջող հատուկ մշակված HTTP փաթեթ՝ վերահղմամբ դեպի մատակարարի անավարտ էջ, կարծես նման պատասխանն ուղարկվել է հենց պահանջվող ռեսուրսի կողմից (ուղարկողի IP-ն): հասցեն և TCP հաջորդականությունը կեղծված են): Քանի որ DPI-ն ֆիզիկապես ավելի մոտ է օգտատիրոջը, քան հայցվող կայքը, կեղծված պատասխանն ավելի արագ է հասնում օգտատիրոջ սարքին, քան կայքի իրական պատասխանը:

Ակտիվ DPI

Ակտիվ DPI - DPI միացված է մատակարարի ցանցին սովորական եղանակով, ինչպես ցանկացած այլ ցանցային սարք: Մատակարարը կարգավորում է երթուղիները այնպես, որ DPI-ն օգտվողներից երթևեկություն ստանա դեպի արգելափակված IP հասցեներ կամ տիրույթներ, և DPI-ն այնուհետև որոշում է թույլատրել կամ արգելափակել տրաֆիկը: Ակտիվ DPI-ն կարող է ստուգել ինչպես ելքային, այնպես էլ մուտքային տրաֆիկը, սակայն, եթե մատակարարը օգտագործում է DPI միայն կայքերը գրանցամատյանից արգելափակելու համար, այն ամենից հաճախ կազմաձևված է ստուգելու միայն ելքային տրաֆիկը:

Ոչ միայն երթևեկության արգելափակման արդյունավետությունը, այլև DPI-ի բեռը կախված է կապի տեսակից, այնպես որ հնարավոր է ոչ թե սկանավորել ամբողջ երթևեկությունը, այլ միայն որոշները.

«Նորմալ» ՀՏՎ

«Կանոնավոր» DPI-ն DPI է, որը զտում է որոշակի տեսակի տրաֆիկ միայն այդ տեսակի համար ամենատարածված նավահանգիստներում: Օրինակ, «սովորական» DPI-ն հայտնաբերում և արգելափակում է արգելված HTTP տրաֆիկը միայն 80-րդ նավահանգստում, HTTPS-ի տրաֆիկը 443 նավահանգստում: Այս տեսակի DPI-ն չի հետևի արգելված բովանդակությանը, եթե արգելափակված URL-ով հարցում ուղարկեք ապաարգելափակված IP-ին կամ ոչ ստանդարտ նավահանգիստ:

«Լրիվ» ՀՏՎ

Ի տարբերություն «սովորական» DPI-ի, DPI-ի այս տեսակը դասակարգում է երթևեկությունը՝ անկախ IP հասցեից և պորտից: Այսպիսով, արգելափակված կայքերը չեն բացվի, նույնիսկ եթե դուք օգտագործում եք պրոքսի սերվեր բոլորովին այլ նավահանգստում և ապաշրջափակված IP հասցեով:

Օգտագործելով DPI

Տվյալների փոխանցման արագությունը չնվազելու համար անհրաժեշտ է օգտագործել «Նորմալ» պասիվ DPI, որը թույլ է տալիս արդյունավետ կերպով: արգելափակել որևէ մեկը ռեսուրսներ, լռելյայն կոնֆիգուրացիան հետևյալն է.

• HTTP զտիչ միայն 80 պորտի վրա
• HTTPS միայն 443 նավահանգստում
• BitTorrent-ը միայն 6881-6889 նավահանգիստների վրա

Բայց խնդիրները սկսվում են, եթե ռեսուրսը կօգտագործի այլ նավահանգիստ, որպեսզի չկորցնի օգտվողներին, ապա դուք պետք է ստուգեք յուրաքանչյուր փաթեթ, օրինակ կարող եք տալ.

• HTTP-ն աշխատում է 80 և 8080 նավահանգիստներում
• HTTPS 443 և 8443 նավահանգիստներում
• BitTorrent ցանկացած այլ խմբի վրա

Դրա պատճառով դուք ստիպված կլինեք կա՛մ անցնել «Ակտիվ» DPI-ին, կա՛մ օգտագործել արգելափակում՝ օգտագործելով լրացուցիչ DNS սերվեր:

Արգելափակում DNS-ի միջոցով

Ռեսուրս մուտքն արգելափակելու եղանակներից մեկն այն է, որ գաղտնալսվի DNS հարցումը, օգտագործելով տեղական DNS սերվերը և օգտագործողին վերադարձնել «անավ» IP հասցե, այլ ոչ թե պահանջվող ռեսուրսը: Բայց դա երաշխավորված արդյունք չի տալիս, քանի որ հնարավոր է կանխել հասցեների կեղծումը.

Տարբերակ 1. հյուրընկալող ֆայլի խմբագրում (աշխատասեղանի համար)

Hos ֆայլը ցանկացած օպերացիոն համակարգի անբաժանելի մասն է, որը թույլ է տալիս միշտ օգտագործել այն։ Ռեսուրս մուտք գործելու համար օգտագործողը պետք է.

1. Պարզեք անհրաժեշտ ռեսուրսի IP հասցեն
2. Բացեք hosts ֆայլը խմբագրման համար (պահանջվում են ադմինիստրատորի իրավունքները), որը գտնվում է հետևյալ հասցեում.
   • Linux: /etc/hosts
   • Windows՝ %WinDir%System32driversetchosts
3. Ավելացրեք տող ձևաչափով՝
4. Պահել փոփոխությունները

Այս մեթոդի առավելությունը նրա բարդությունն է և ադմինիստրատորի իրավունքների պահանջը:

Տարբերակ 2. DoH (DNS HTTPS-ով) կամ DoT (DNS՝ TLS-ի վրա)

Այս մեթոդները թույլ են տալիս պաշտպանել ձեր DNS հարցումը կեղծիքից՝ օգտագործելով կոդավորումը, սակայն իրականացումը չի աջակցվում բոլոր հավելվածների կողմից: Եկեք նայենք օգտատիրոջ կողմից Mozilla Firefox-ի 66 տարբերակի համար DoH-ի տեղադրման հեշտությանը.

1. Գնացեք հասցե մասին: config Firefox-ում
2. Հաստատեք, որ օգտագործողը իր վրա է վերցնում բոլոր ռիսկերը
3. Изменить значение параметра network.trr.mode մասին:
   • 0 - անջատել TRR-ը
   • 1 - ավտոմատ ընտրություն
   • 2 - լռելյայն միացնել DoH-ը
4. Փոխել պարամետրը network.trr.uri ընտրելով DNS սերվեր
   • Cloudflare DNS: mozilla.cloudflare-dns.com/dns-query
   • Google DNS: dns.google.com/experimental
5. Փոխել պարամետրը network.trr.boostrapAddress մասին:
   • Եթե ​​Cloudflare DNS-ն ընտրված է՝ 1.1.1.1
   • Եթե ​​ընտրված է Google DNS՝ 8.8.8.8
6. Изменить значение параметра network.security.esni.enabled մասին ճիշտ
7. Ստուգեք, որ կարգավորումները ճիշտ են՝ օգտագործելով Cloudflare ծառայություն

Չնայած այս մեթոդն ավելի բարդ է, այն չի պահանջում օգտվողից ունենալ ադմինիստրատորի իրավունքներ, և կան բազմաթիվ այլ եղանակներ՝ ապահովելու DNS հարցումը, որոնք նկարագրված չեն այս հոդվածում:

Տարբերակ 3 (բջջային սարքերի համար).

Օգտագործելով Cloudflare հավելվածը, որպեսզի Android и IOS.

Փորձարկում

Ռեսուրսների հասանելիության բացակայությունը ստուգելու համար Ռուսաստանի Դաշնությունում արգելափակված տիրույթը ժամանակավորապես գնվել է.

• HTTP ստուգում + նավահանգիստ 80
• HTTP ստուգում + նավահանգիստ 8080
• HTTPS ստուգում + պորտ 443
• HTTPS ստուգում + պորտ 8443

Ամփոփում

Հուսով եմ, որ այս հոդվածը օգտակար կլինի և ոչ միայն ադմինիստրատորներին կխրախուսի ավելի մանրամասն հասկանալ թեման, այլ նաև կհասկանա, որ ռեսուրսները միշտ կլինեն օգտատերերի կողմից, և նոր լուծումների որոնումը պետք է անբաժանելի մասը լինի նրանց համար:

Օգտակար հղումներ

• Կոդավորված SNI ստանդարտի ներդրում Firefox-ում
• Անցանց DPI շրջանցում

Հոդվածից դուրս լրացումCloudflare-ի թեստը չի կարող ավարտվել Tele2 օպերատորի ցանցում, և ճիշտ կազմաձևված DPI-ն արգելափակում է մուտքը դեպի փորձարկման կայք:
P.S. Առայժմ սա առաջին մատակարարն է, որը ճիշտ արգելափակել է ռեսուրսները:

Source: www.habr.com