Artikel ini tidak membahas penyesuaian DPI penuh dan segala sesuatu yang berhubungan bersama-sama, dan nilai ilmiah dari teks tersebut minimal. Namun ini menjelaskan cara paling sederhana untuk melewati DPI, yang belum diperhitungkan oleh banyak perusahaan.
Penafian #1: Artikel ini bersifat penelitian dan tidak mendorong siapa pun untuk melakukan atau menggunakan apa pun. Idenya didasarkan pada pengalaman pribadi, dan kesamaan apa pun bersifat acak.
Peringatan No. 2: artikel ini tidak mengungkap rahasia Atlantis, pencarian Cawan Suci, dan misteri alam semesta lainnya; semua materi tersedia secara gratis dan mungkin telah dijelaskan lebih dari satu kali di Habré. (Saya tidak menemukannya, saya akan berterima kasih atas tautannya)
Bagi yang sudah membaca peringatannya, mari kita mulai.
Apa itu DPI?
DPI atau Deep Packet Inspection adalah teknologi untuk mengumpulkan data statistik, memeriksa dan memfilter paket jaringan dengan menganalisis tidak hanya header paket, tetapi juga seluruh konten lalu lintas pada tingkat model OSI dari yang kedua dan lebih tinggi, yang memungkinkan Anda mendeteksi dan memblokir virus, menyaring informasi yang tidak memenuhi kriteria yang ditentukan.
DPI terhubung ke jaringan penyedia secara paralel (tidak terpotong) baik melalui splitter optik pasif, atau menggunakan mirroring lalu lintas yang berasal dari pengguna. Koneksi ini tidak memperlambat kecepatan jaringan penyedia jika kinerja DPI tidak mencukupi, oleh karena itu digunakan oleh penyedia besar. DPI dengan jenis koneksi ini secara teknis hanya dapat mendeteksi upaya meminta konten terlarang, namun tidak menghentikannya. Untuk melewati batasan ini dan memblokir akses ke situs terlarang, DPI mengirimkan paket HTTP yang dibuat khusus kepada pengguna yang meminta URL yang diblokir dengan pengalihan ke halaman rintisan penyedia, seolah-olah respons tersebut dikirim oleh sumber daya yang diminta itu sendiri (IP pengirim alamat dan urutan TCP dipalsukan). Karena DPI secara fisik lebih dekat ke pengguna dibandingkan situs yang diminta, respons palsu mencapai perangkat pengguna lebih cepat dibandingkan respons sebenarnya dari situs.
DPI Aktif
DPI Aktif - DPI terhubung ke jaringan penyedia dengan cara biasa, seperti perangkat jaringan lainnya. Penyedia mengonfigurasi perutean sehingga DPI menerima lalu lintas dari pengguna ke alamat IP atau domain yang diblokir, dan DPI kemudian memutuskan apakah akan mengizinkan atau memblokir lalu lintas. DPI aktif dapat memeriksa lalu lintas keluar dan masuk, namun, jika penyedia menggunakan DPI hanya untuk memblokir situs dari registri, DPI paling sering dikonfigurasi untuk hanya memeriksa lalu lintas keluar.
Tidak hanya efektivitas pemblokiran lalu lintas, tetapi juga beban DPI bergantung pada jenis koneksi, sehingga dimungkinkan untuk memindai tidak semua lalu lintas, tetapi hanya lalu lintas tertentu:
DPI "Biasa".
DPI “reguler” adalah DPI yang memfilter jenis lalu lintas tertentu hanya pada port paling umum untuk jenis tersebut. Misalnya, DPI “biasa” mendeteksi dan memblokir lalu lintas HTTP yang dilarang hanya pada port 80, lalu lintas HTTPS pada port 443. Jenis DPI ini tidak akan melacak konten terlarang jika Anda mengirim permintaan dengan URL yang diblokir ke IP yang tidak diblokir atau non- pelabuhan standar.
DPI "Penuh".
Berbeda dengan DPI “biasa”, DPI jenis ini mengklasifikasikan lalu lintas tanpa memandang alamat IP dan port. Dengan cara ini, situs yang diblokir tidak akan terbuka meskipun Anda menggunakan server proxy pada port yang sama sekali berbeda dan alamat IP yang tidak diblokir.
Menggunakan DPI
Agar tidak mengurangi kecepatan transfer data, Anda perlu menggunakan DPI pasif “Normal”, yang memungkinkan Anda melakukannya secara efektif? blokir ada? sumber daya, konfigurasi defaultnya terlihat seperti ini:
Filter HTTP hanya pada port 80
HTTPS hanya pada port 443
BitTorrent hanya pada port 6881-6889
Tapi masalah dimulai jika sumber daya akan menggunakan port yang berbeda agar tidak kehilangan pengguna, maka Anda harus memeriksa setiap paket, misalnya Anda dapat memberikan:
HTTP berfungsi pada port 80 dan 8080
HTTPS pada port 443 dan 8443
BitTorrent di band lain mana pun
Oleh karena itu, Anda harus beralih ke DPI “Aktif” atau menggunakan pemblokiran menggunakan server DNS tambahan.
Memblokir menggunakan DNS
Salah satu cara untuk memblokir akses ke sumber daya adalah dengan mencegat permintaan DNS menggunakan server DNS lokal dan mengembalikan alamat IP “stub” kepada pengguna, bukan sumber daya yang diperlukan. Namun hal ini tidak memberikan hasil yang terjamin, karena spoofing alamat dapat dicegah:
Opsi 1: Mengedit file host (untuk desktop)
File host merupakan bagian integral dari sistem operasi apa pun, yang memungkinkan Anda untuk selalu menggunakannya. Untuk mengakses sumber daya, pengguna harus:
Cari tahu alamat IP sumber daya yang diperlukan
Buka file host untuk diedit (diperlukan hak administrator), terletak di:
Linux: /etc/hosts
Windows: %WinDir%System32driversetchosts
Tambahkan baris dengan format:
Simpan perubahan
Keuntungan dari metode ini adalah kompleksitasnya dan persyaratan hak administrator.
Opsi 2: DoH (DNS melalui HTTPS) atau DoT (DNS melalui TLS)
Metode ini memungkinkan Anda melindungi permintaan DNS Anda dari spoofing menggunakan enkripsi, namun penerapannya tidak didukung oleh semua aplikasi. Mari kita lihat kemudahan setting DoH untuk Mozilla Firefox versi 66 dari sisi pengguna:
Meskipun metode ini lebih rumit, tidak mengharuskan pengguna memiliki hak administrator, dan ada banyak cara lain untuk mengamankan permintaan DNS yang tidak dijelaskan dalam artikel ini.
Opsi 3 (untuk perangkat seluler):
Menggunakan aplikasi Cloudflare untuk Android и IOS.
Pengujian
Untuk memeriksa kurangnya akses ke sumber daya, domain yang diblokir di Federasi Rusia dibeli sementara:
Saya harap artikel ini bermanfaat dan mendorong tidak hanya administrator untuk memahami topik secara lebih rinci, tetapi juga memberikan pemahaman bahwa sumber daya akan selalu ada di pihak pengguna, dan pencarian solusi baru harus menjadi bagian integral bagi mereka.
Tambahan di luar artikelPengujian Cloudflare tidak dapat diselesaikan di jaringan operator Tele2, dan DPI yang dikonfigurasi dengan benar memblokir akses ke situs pengujian.
P.S. Sejauh ini, ini adalah penyedia pertama yang memblokir sumber daya dengan benar.