DPI կարգավորումների առանձնահատկությունները

Այս հոդվածը չի ներառում DPI-ի ամբողջական կարգավորումը և այն ամենը, ինչ կապված է միմյանց հետ, և տեքստի գիտական ​​արժեքը նվազագույն է: Բայց այն նկարագրում է DPI-ի շրջանցման ամենապարզ միջոցը, որը շատ ընկերություններ հաշվի չեն առել։

Հրաժարում #1. Այս հոդվածը ունի հետազոտական ​​բնույթ և չի խրախուսում որևէ մեկին որևէ բան անել կամ օգտագործել: Գաղափարը հիմնված է անձնական փորձի վրա, և ցանկացած նմանություն պատահական է:

Զգուշացում թիվ 2. հոդվածը չի բացահայտում Ատլանտիսի գաղտնիքները, Սուրբ Գրաալի որոնումները և տիեզերքի այլ առեղծվածները. ամբողջ նյութը հասանելի է անվճար և կարող է նկարագրված լինել ավելի քան մեկ անգամ Հաբում: (Չգտա, շնորհակալ կլինեմ հղումի համար)

Նրանց համար, ովքեր կարդացել են նախազգուշացումները, եկեք սկսենք:

Ի՞նչ է DPI-ն:

DPI կամ Deep Packet Inspection-ը վիճակագրական տվյալների կուտակման, ցանցային փաթեթները ստուգելու և զտելու տեխնոլոգիա է՝ վերլուծելով ոչ միայն փաթեթների վերնագրերը, այլև OSI մոդելի մակարդակներում տրաֆիկի ամբողջական բովանդակությունը երկրորդից և ավելի բարձրից, ինչը թույլ է տալիս հայտնաբերել և արգելափակել վիրուսները, զտել տեղեկատվությունը, որը չի համապատասխանում սահմանված չափանիշներին:

Կան երկու տեսակի DPI կապ, որոնք նկարագրված են ՎալդիկՍՍ github-ի վրա:

Պասիվ DPI

DPI-ը միացված է մատակարարի ցանցին զուգահեռ (ոչ կտրվածքով) կամ պասիվ օպտիկական բաժանարարի միջոցով, կամ օգտագործելով օգտագործողներից ծագող տրաֆիկի արտացոլումը: Այս կապը չի դանդաղեցնում մատակարարի ցանցի արագությունը DPI-ի անբավարար կատարման դեպքում, ինչի պատճառով այն օգտագործվում է խոշոր պրովայդերների կողմից: Այս կապի տեսակով DPI-ն տեխնիկապես կարող է հայտնաբերել միայն արգելված բովանդակություն պահանջելու փորձ, բայց ոչ դադարեցնել այն: Այս սահմանափակումը շրջանցելու և արգելված կայք մուտքն արգելափակելու համար DPI-ն ուղարկում է օգտվողին արգելափակված URL պահանջող հատուկ մշակված HTTP փաթեթ՝ վերահղմամբ դեպի մատակարարի անավարտ էջ, կարծես նման պատասխանն ուղարկվել է հենց պահանջվող ռեսուրսի կողմից (ուղարկողի IP-ն): հասցեն և TCP հաջորդականությունը կեղծված են): Քանի որ DPI-ն ֆիզիկապես ավելի մոտ է օգտատիրոջը, քան հայցվող կայքը, կեղծված պատասխանն ավելի արագ է հասնում օգտատիրոջ սարքին, քան կայքի իրական պատասխանը:

Ակտիվ DPI

Ակտիվ DPI - DPI միացված է մատակարարի ցանցին սովորական եղանակով, ինչպես ցանկացած այլ ցանցային սարք: Մատակարարը կարգավորում է երթուղիները այնպես, որ DPI-ն օգտվողներից երթևեկություն ստանա դեպի արգելափակված IP հասցեներ կամ տիրույթներ, և DPI-ն այնուհետև որոշում է թույլատրել կամ արգելափակել տրաֆիկը: Ակտիվ DPI-ն կարող է ստուգել ինչպես ելքային, այնպես էլ մուտքային տրաֆիկը, սակայն, եթե մատակարարը օգտագործում է DPI միայն կայքերը գրանցամատյանից արգելափակելու համար, այն ամենից հաճախ կազմաձևված է ստուգելու միայն ելքային տրաֆիկը:

Ոչ միայն երթևեկության արգելափակման արդյունավետությունը, այլև DPI-ի բեռը կախված է կապի տեսակից, այնպես որ հնարավոր է ոչ թե սկանավորել ամբողջ երթևեկությունը, այլ միայն որոշները.

«Նորմալ» ՀՏՎ

«Կանոնավոր» DPI-ն DPI է, որը զտում է որոշակի տեսակի տրաֆիկ միայն այդ տեսակի համար ամենատարածված նավահանգիստներում: Օրինակ, «սովորական» DPI-ն հայտնաբերում և արգելափակում է արգելված HTTP տրաֆիկը միայն 80-րդ նավահանգստում, HTTPS-ի տրաֆիկը 443 նավահանգստում: Այս տեսակի DPI-ն չի հետևի արգելված բովանդակությանը, եթե արգելափակված URL-ով հարցում ուղարկեք ապաարգելափակված IP-ին կամ ոչ ստանդարտ նավահանգիստ:

«Լրիվ» ՀՏՎ

Ի տարբերություն «սովորական» DPI-ի, DPI-ի այս տեսակը դասակարգում է երթևեկությունը՝ անկախ IP հասցեից և պորտից: Այսպիսով, արգելափակված կայքերը չեն բացվի, նույնիսկ եթե դուք օգտագործում եք պրոքսի սերվեր բոլորովին այլ նավահանգստում և ապաշրջափակված IP հասցեով:

Օգտագործելով DPI

Տվյալների փոխանցման արագությունը չնվազելու համար անհրաժեշտ է օգտագործել «Նորմալ» պասիվ DPI, որը թույլ է տալիս արդյունավետ կերպով: արգելափակել որևէ մեկը ռեսուրսներ, լռելյայն կոնֆիգուրացիան հետևյալն է.

• HTTP զտիչ միայն 80 պորտի վրա
• HTTPS միայն 443 նավահանգստում
• BitTorrent-ը միայն 6881-6889 նավահանգիստների վրա

Բայց խնդիրները սկսվում են, եթե ռեսուրսը կօգտագործի այլ նավահանգիստ, որպեսզի չկորցնի օգտվողներին, ապա դուք պետք է ստուգեք յուրաքանչյուր փաթեթ, օրինակ կարող եք տալ.

• HTTP-ն աշխատում է 80 և 8080 նավահանգիստներում
• HTTPS 443 և 8443 նավահանգիստներում
• BitTorrent ցանկացած այլ խմբի վրա

Դրա պատճառով դուք ստիպված կլինեք կա՛մ անցնել «Ակտիվ» DPI-ին, կա՛մ օգտագործել արգելափակում՝ օգտագործելով լրացուցիչ DNS սերվեր:

Արգելափակում DNS-ի միջոցով

Ռեսուրս մուտքն արգելափակելու եղանակներից մեկն այն է, որ գաղտնալսվի DNS հարցումը, օգտագործելով տեղական DNS սերվերը և օգտագործողին վերադարձնել «անավ» IP հասցե, այլ ոչ թե պահանջվող ռեսուրսը: Բայց դա երաշխավորված արդյունք չի տալիս, քանի որ հնարավոր է կանխել հասցեների կեղծումը.

Տարբերակ 1. հյուրընկալող ֆայլի խմբագրում (աշխատասեղանի համար)

Hos ֆայլը ցանկացած օպերացիոն համակարգի անբաժանելի մասն է, որը թույլ է տալիս միշտ օգտագործել այն։ Ռեսուրս մուտք գործելու համար օգտագործողը պետք է.

1. Պարզեք անհրաժեշտ ռեսուրսի IP հասցեն
2. Բացեք hosts ֆայլը խմբագրման համար (պահանջվում են ադմինիստրատորի իրավունքները), որը գտնվում է հետևյալ հասցեում.
   • Linux: /etc/hosts
   • Windows՝ %WinDir%System32driversetchosts
3. Ավելացրեք տող ձևաչափով՝
4. Պահել փոփոխությունները

Այս մեթոդի առավելությունը նրա բարդությունն է և ադմինիստրատորի իրավունքների պահանջը:

Տարբերակ 2. DoH (DNS HTTPS-ով) կամ DoT (DNS՝ TLS-ի վրա)

Այս մեթոդները թույլ են տալիս պաշտպանել ձեր DNS հարցումը կեղծիքից՝ օգտագործելով կոդավորումը, սակայն իրականացումը չի աջակցվում բոլոր հավելվածների կողմից: Եկեք նայենք օգտատիրոջ կողմից Mozilla Firefox-ի 66 տարբերակի համար DoH-ի տեղադրման հեշտությանը.

1. Գնացեք հասցե մասին: config Firefox-ում
2. Հաստատեք, որ օգտագործողը իր վրա է վերցնում բոլոր ռիսկերը
3. Փոխում է պարամետրի արժեքը network.trr.mode մասին:
   • 0 - անջատել TRR-ը
   • 1 - ավտոմատ ընտրություն
   • 2 - լռելյայն միացնել DoH-ը
4. Փոխել պարամետրը network.trr.uri ընտրելով DNS սերվեր
   • Cloudflare DNS: mozilla.cloudflare-dns.com/dns-query
   • Google DNS: dns.google.com/experimental
5. Փոխել պարամետրը network.trr.boostrapAddress մասին:
   • Եթե ​​Cloudflare DNS-ն ընտրված է՝ 1.1.1.1
   • Եթե ​​ընտրված է Google DNS՝ 8.8.8.8
6. Փոխում է պարամետրի արժեքը network.security.esni.enabled մասին ճիշտ
7. Ստուգեք, որ կարգավորումները ճիշտ են՝ օգտագործելով Cloudflare ծառայություն

Չնայած այս մեթոդն ավելի բարդ է, այն չի պահանջում օգտվողից ունենալ ադմինիստրատորի իրավունքներ, և կան բազմաթիվ այլ եղանակներ՝ ապահովելու DNS հարցումը, որոնք նկարագրված չեն այս հոդվածում:

Տարբերակ 3 (բջջային սարքերի համար).

Օգտագործելով Cloudflare հավելվածը, որպեսզի Android и IOS.

Փորձարկում

Ռեսուրսների հասանելիության բացակայությունը ստուգելու համար Ռուսաստանի Դաշնությունում արգելափակված տիրույթը ժամանակավորապես գնվել է.

• HTTP ստուգում + նավահանգիստ 80
• HTTP ստուգում + նավահանգիստ 8080
• HTTPS ստուգում + պորտ 443
• HTTPS ստուգում + պորտ 8443

Ամփոփում

Հուսով եմ, որ այս հոդվածը օգտակար կլինի և ոչ միայն ադմինիստրատորներին կխրախուսի ավելի մանրամասն հասկանալ թեման, այլ նաև կհասկանա, որ ռեսուրսները միշտ կլինեն օգտատերերի կողմից, և նոր լուծումների որոնումը պետք է անբաժանելի մասը լինի նրանց համար:

Օգտակար հղումներ

• Կոդավորված SNI ստանդարտի ներդրում Firefox-ում
• Անցանց DPI շրջանցում

Հոդվածից դուրս լրացումCloudflare-ի թեստը չի կարող ավարտվել Tele2 օպերատորի ցանցում, և ճիշտ կազմաձևված DPI-ն արգելափակում է մուտքը դեպի փորձարկման կայք:
P.S. Առայժմ սա առաջին մատակարարն է, որը ճիշտ արգելափակել է ռեսուրսները:

Source: www.habr.com