Fitur pengaturan DPI

Artikel ini tidak membahas penyesuaian DPI penuh dan segala sesuatu yang berhubungan bersama-sama, dan nilai ilmiah dari teks tersebut minimal. Namun ini menjelaskan cara paling sederhana untuk melewati DPI, yang belum diperhitungkan oleh banyak perusahaan.

Penafian #1: Artikel ini bersifat penelitian dan tidak mendorong siapa pun untuk melakukan atau menggunakan apa pun. Idenya didasarkan pada pengalaman pribadi, dan kesamaan apa pun bersifat acak.

Peringatan No. 2: artikel ini tidak mengungkap rahasia Atlantis, pencarian Cawan Suci, dan misteri alam semesta lainnya; semua materi tersedia secara gratis dan mungkin telah dijelaskan lebih dari satu kali di Habré. (Saya tidak menemukannya, saya akan berterima kasih atas tautannya)

Bagi yang sudah membaca peringatannya, mari kita mulai.

Apa itu DPI?

DPI atau Deep Packet Inspection adalah teknologi untuk mengumpulkan data statistik, memeriksa dan memfilter paket jaringan dengan menganalisis tidak hanya header paket, tetapi juga seluruh konten lalu lintas pada tingkat model OSI dari yang kedua dan lebih tinggi, yang memungkinkan Anda mendeteksi dan memblokir virus, menyaring informasi yang tidak memenuhi kriteria yang ditentukan.

Ada dua jenis koneksi DPI yang dijelaskan ValdikSS di github:

DPI Pasif

DPI terhubung ke jaringan penyedia secara paralel (tidak terpotong) baik melalui splitter optik pasif, atau menggunakan mirroring lalu lintas yang berasal dari pengguna. Koneksi ini tidak memperlambat kecepatan jaringan penyedia jika kinerja DPI tidak mencukupi, oleh karena itu digunakan oleh penyedia besar. DPI dengan jenis koneksi ini secara teknis hanya dapat mendeteksi upaya meminta konten terlarang, namun tidak menghentikannya. Untuk melewati batasan ini dan memblokir akses ke situs terlarang, DPI mengirimkan paket HTTP yang dibuat khusus kepada pengguna yang meminta URL yang diblokir dengan pengalihan ke halaman rintisan penyedia, seolah-olah respons tersebut dikirim oleh sumber daya yang diminta itu sendiri (IP pengirim alamat dan urutan TCP dipalsukan). Karena DPI secara fisik lebih dekat ke pengguna dibandingkan situs yang diminta, respons palsu mencapai perangkat pengguna lebih cepat dibandingkan respons sebenarnya dari situs.

DPI Aktif

DPI Aktif - DPI terhubung ke jaringan penyedia dengan cara biasa, seperti perangkat jaringan lainnya. Penyedia mengonfigurasi perutean sehingga DPI menerima lalu lintas dari pengguna ke alamat IP atau domain yang diblokir, dan DPI kemudian memutuskan apakah akan mengizinkan atau memblokir lalu lintas. DPI aktif dapat memeriksa lalu lintas keluar dan masuk, namun, jika penyedia menggunakan DPI hanya untuk memblokir situs dari registri, DPI paling sering dikonfigurasi untuk hanya memeriksa lalu lintas keluar.

Tidak hanya efektivitas pemblokiran lalu lintas, tetapi juga beban DPI bergantung pada jenis koneksi, sehingga dimungkinkan untuk memindai tidak semua lalu lintas, tetapi hanya lalu lintas tertentu:

DPI "Biasa".

DPI “reguler” adalah DPI yang memfilter jenis lalu lintas tertentu hanya pada port paling umum untuk jenis tersebut. Misalnya, DPI “biasa” mendeteksi dan memblokir lalu lintas HTTP yang dilarang hanya pada port 80, lalu lintas HTTPS pada port 443. Jenis DPI ini tidak akan melacak konten terlarang jika Anda mengirim permintaan dengan URL yang diblokir ke IP yang tidak diblokir atau non- pelabuhan standar.

DPI "Penuh".

Berbeda dengan DPI “biasa”, DPI jenis ini mengklasifikasikan lalu lintas tanpa memandang alamat IP dan port. Dengan cara ini, situs yang diblokir tidak akan terbuka meskipun Anda menggunakan server proxy pada port yang sama sekali berbeda dan alamat IP yang tidak diblokir.

Menggunakan DPI

Agar tidak mengurangi kecepatan transfer data, Anda perlu menggunakan DPI pasif “Normal”, yang memungkinkan Anda melakukannya secara efektif? blokir ada? sumber daya, konfigurasi defaultnya terlihat seperti ini:

• Filter HTTP hanya pada port 80
• HTTPS hanya pada port 443
• BitTorrent hanya pada port 6881-6889

Tapi masalah dimulai jika sumber daya akan menggunakan port yang berbeda agar tidak kehilangan pengguna, maka Anda harus memeriksa setiap paket, misalnya Anda dapat memberikan:

• HTTP berfungsi pada port 80 dan 8080
• HTTPS pada port 443 dan 8443
• BitTorrent di band lain mana pun

Oleh karena itu, Anda harus beralih ke DPI “Aktif” atau menggunakan pemblokiran menggunakan server DNS tambahan.

Memblokir menggunakan DNS

Salah satu cara untuk memblokir akses ke sumber daya adalah dengan mencegat permintaan DNS menggunakan server DNS lokal dan mengembalikan alamat IP “stub” kepada pengguna, bukan sumber daya yang diperlukan. Namun hal ini tidak memberikan hasil yang terjamin, karena spoofing alamat dapat dicegah:

Opsi 1: Mengedit file host (untuk desktop)

File host merupakan bagian integral dari sistem operasi apa pun, yang memungkinkan Anda untuk selalu menggunakannya. Untuk mengakses sumber daya, pengguna harus:

1. Cari tahu alamat IP sumber daya yang diperlukan
2. Buka file host untuk diedit (diperlukan hak administrator), terletak di:
   • Linux: /etc/hosts
   • Windows: %WinDir%System32driversetchosts
3. Tambahkan baris dengan format:
4. Simpan perubahan

Keuntungan dari metode ini adalah kompleksitasnya dan persyaratan hak administrator.

Opsi 2: DoH (DNS melalui HTTPS) atau DoT (DNS melalui TLS)

Metode ini memungkinkan Anda melindungi permintaan DNS Anda dari spoofing menggunakan enkripsi, namun penerapannya tidak didukung oleh semua aplikasi. Mari kita lihat kemudahan setting DoH untuk Mozilla Firefox versi 66 dari sisi pengguna:

1. Pergi ke alamat about: config di Firefox
2. Konfirmasikan bahwa pengguna menanggung semua risiko
3. Ubah nilai parameter jaringan.trr.mode ke:
   • 0 - nonaktifkan TRR
   • 1 - pemilihan otomatis
   • 2 - aktifkan DoH secara default
4. Ubah parameter jaringan.trr.uri memilih server DNS
   • DNS Cloudflare: mozilla.cloudflare-dns.com/dns-query
   • DNS Google: dns.google.com/experimental
5. Ubah parameter jaringan.trr.boostrapAddress ke:
   • Jika Cloudflare DNS dipilih: 1.1.1.1
   • Jika Google DNS dipilih: 8.8.8.8
6. Ubah nilai parameter jaringan.keamanan.esni.diaktifkan pada benar
7. Periksa apakah pengaturan sudah benar menggunakan Layanan Cloudflare

Meskipun metode ini lebih rumit, tidak mengharuskan pengguna memiliki hak administrator, dan ada banyak cara lain untuk mengamankan permintaan DNS yang tidak dijelaskan dalam artikel ini.

Opsi 3 (untuk perangkat seluler):

Menggunakan aplikasi Cloudflare untuk Android и IOS.

Pengujian

Untuk memeriksa kurangnya akses ke sumber daya, domain yang diblokir di Federasi Rusia dibeli sementara:

• Pemeriksaan HTTP + port 80
• Pemeriksaan HTTP + port 8080
• Pemeriksaan HTTPS + port 443
• Pemeriksaan HTTPS + port 8443

Kesimpulan

Saya harap artikel ini bermanfaat dan mendorong tidak hanya administrator untuk memahami topik secara lebih rinci, tetapi juga memberikan pemahaman bahwa sumber daya akan selalu ada di pihak pengguna, dan pencarian solusi baru harus menjadi bagian integral bagi mereka.

Berguna Link

• Menerapkan standar SNI Terenkripsi di Firefox
• Lewati DPI Luar Talian

Tambahan di luar artikelPengujian Cloudflare tidak dapat diselesaikan di jaringan operator Tele2, dan DPI yang dikonfigurasi dengan benar memblokir akses ke situs pengujian.
P.S. Sejauh ini, ini adalah penyedia pertama yang memblokir sumber daya dengan benar.

Sumber: www.habr.com