Eiginleikar DPI stillinga

Þessi grein fjallar ekki um fulla DPI aðlögun og allt sem tengist saman, og vísindalegt gildi textans er í lágmarki. En það lýsir einföldustu leiðinni til að komast framhjá DPI, sem mörg fyrirtæki hafa ekki tekið tillit til.

Fyrirvari #1: Þessi grein er rannsóknarlegs eðlis og hvetur engan til að gera eða nota neitt. Hugmyndin er byggð á persónulegri reynslu og hvers kyns líkindi eru tilviljunarkennd.

Viðvörun nr. 2: greinin afhjúpar ekki leyndarmál Atlantis, leitina að gralnum og öðrum leyndardómum alheimsins; allt efni er frjálst aðgengilegt og gæti hafa verið lýst oftar en einu sinni á Habré. (Ég fann það ekki, ég væri þakklátur fyrir tengilinn)

Fyrir þá sem hafa lesið viðvaranirnar skulum við byrja.

Hvað er DPI?

DPI eða Deep Packet Inspection er tækni til að safna tölfræðilegum gögnum, athuga og sía netpakka með því að greina ekki aðeins pakkahausa, heldur einnig allt innihald umferðar á stigum OSI líkansins frá öðru og hærra, sem gerir þér kleift að greina og loka fyrir vírusa, sía upplýsingar sem uppfylla ekki tilgreind skilyrði .

Það eru tvær tegundir af DPI tengingum sem lýst er ValdikSS á github:

Hlutlaus DPI

DPI tengdur við þjónustuveituna samhliða (ekki í klippingu) annaðhvort í gegnum óvirkan optískan splitter eða með því að nota speglun á umferð sem kemur frá notendum. Þessi tenging hægir ekki á hraða netkerfis veitunnar ef DPI frammistaða er ófullnægjandi, þess vegna er hún notuð af stórum veitendum. DPI með þessari tengingartegund getur tæknilega séð aðeins greint tilraun til að biðja um bannað efni, en ekki stöðvað það. Til að komast framhjá þessari takmörkun og loka fyrir aðgang að bönnuðu vefsvæði sendir DPI notandanum sem biður um lokaða vefslóð sérsmíðaðan HTTP-pakka með tilvísun á stubbsíðu þjónustuveitunnar, eins og slíkt svar hafi verið sent af umbeðinni auðlind sjálfum (IP sendanda heimilisfang og TCP röð eru fölsuð). Vegna þess að DPI er líkamlega nær notandanum en umbeðinn staður, berst falsað svarið til tækis notandans hraðar en raunverulegt svar frá síðunni.

Virk DPI

Virkur DPI - DPI tengdur við net veitunnar á venjulegan hátt, eins og önnur nettæki. Þjónustuveitan stillir beina þannig að DPI taki við umferð frá notendum á lokaðar IP tölur eða lén og DPI ákveður síðan hvort leyfa eða loka fyrir umferð. Active DPI getur skoðað bæði sendandi og komandi umferð, hins vegar, ef veitandinn notar DPI eingöngu til að loka fyrir síður úr skránni, er það oftast stillt til að skoða aðeins útleið.

Ekki aðeins skilvirkni umferðarlokunar, heldur einnig álagið á DPI fer eftir tegund tengingar, svo það er hægt að skanna ekki alla umferð, heldur aðeins ákveðna:

„Eðlilegt“ DPI

„Venjulegt“ DPI er DPI sem síar ákveðna tegund umferðar aðeins á algengustu tengi fyrir þá tegund. Til dæmis, „venjulegur“ DPI greinir og lokar á bannaða HTTP-umferð aðeins á gátt 80, HTTPS-umferð á gátt 443. Þessi tegund af DPI mun ekki rekja bannað efni ef þú sendir beiðni með lokaðri slóð á ólokaða IP eða ekki- staðlað port.

"Fullt" DPI

Ólíkt „venjulegum“ DPI flokkar þessi tegund af DPI umferð óháð IP tölu og gátt. Þannig opnast lokaðar síður ekki jafnvel þó að þú sért að nota proxy-miðlara á allt annarri höfn og ólokuðu IP-tölu.

Notar DPI

Til þess að draga ekki úr gagnaflutningshraða þarftu að nota „venjulegt“ óvirkt DPI, sem gerir þér kleift að á áhrifaríkan hátt? loka einhverju? auðlindir, sjálfgefna stillingin lítur svona út:

• HTTP sía aðeins á tengi 80
• HTTPS aðeins á höfn 443
• BitTorrent aðeins á höfnum 6881-6889

En vandamál byrja ef auðlindin mun nota aðra höfn til að missa ekki notendur, þá verður þú að athuga hvern pakka, til dæmis geturðu gefið:

• HTTP virkar á port 80 og 8080
• HTTPS á höfn 443 og 8443
• BitTorrent á hvaða annarri hljómsveit sem er

Vegna þessa verður þú annað hvort að skipta yfir í „Virkt“ DPI eða nota blokkun með því að nota viðbótar DNS netþjón.

Lokun með DNS

Ein leið til að loka fyrir aðgang að auðlind er að stöðva DNS beiðnina með því að nota staðbundinn DNS netþjón og skila notandanum „stubb“ IP tölu frekar en nauðsynlegri auðlind. En þetta gefur ekki trygga niðurstöðu, þar sem hægt er að koma í veg fyrir skopstæling:

Valkostur 1: Breyta hýsingarskránni (fyrir skjáborð)

Hýsingarskráin er óaðskiljanlegur hluti af hvaða stýrikerfi sem er, sem gerir þér kleift að nota hana alltaf. Til að fá aðgang að auðlindinni verður notandinn að:

1. Finndu út IP-tölu nauðsynlegrar auðlindar
2. Opnaðu hýsingarskrána til að breyta (stjórnandaréttindi krafist), staðsett í:
   • Linux: /etc/hosts
   • Windows: %WinDir%System32driversetchosts
3. Bættu við línu á sniðinu:
4. Vista breytingar

Kosturinn við þessa aðferð er hversu flókin hún er og krafan um stjórnandaréttindi.

Valkostur 2: DoH (DNS yfir HTTPS) eða DoT (DNS yfir TLS)

Þessar aðferðir gera þér kleift að vernda DNS beiðni þína gegn skopstælingum með dulkóðun, en útfærslan er ekki studd af öllum forritum. Við skulum skoða hversu auðvelt er að setja upp DoH fyrir Mozilla Firefox útgáfu 66 frá hlið notandans:

1. Farðu á heimilisfang um: config í Firefox
2. Staðfestu að notandinn taki alla áhættu
3. Breyta færibreytugildi net.trr.ham á:
   • 0 - slökkva á TRR
   • 1 - sjálfvirkt val
   • 2 - virkja DoH sjálfgefið
4. Breyta færibreytu net.trr.uri að velja DNS netþjón
   • Cloudflare DNS: mozilla.cloudflare-dns.com/dns-query
   • GoogleDNS: dns.google.com/experimental
5. Breyta færibreytu network.trr.boostrapAddress á:
   • Ef Cloudflare DNS er valið: 1.1.1.1
   • Ef Google DNS er valið: 8.8.8.8
6. Breyta færibreytugildi net.öryggi.esni.virkt á satt
7. Athugaðu hvort stillingarnar séu réttar með því að nota Cloudflare þjónusta

Þó að þessi aðferð sé flóknari krefst hún ekki þess að notandinn hafi stjórnandaréttindi og það eru margar aðrar leiðir til að tryggja DNS beiðni sem ekki er lýst í þessari grein.

Valkostur 3 (fyrir farsíma):

Notaðu Cloudflare appið til að Android и IOS.

Prófun

Til að athuga skort á aðgangi að auðlindum var lén sem var lokað í Rússlandi keypt tímabundið:

• HTTP athuga + gátt 80
• HTTP athuga + gátt 8080
• HTTPS athuga + gátt 443
• HTTPS athuga + gátt 8443

Ályktun

Ég vona að þessi grein verði gagnleg og hvetji ekki aðeins stjórnendur til að skilja efnið nánar, heldur mun hún einnig gefa skilning á því að úrræði verða alltaf á hlið notandans og leitin að nýjum lausnum ætti að vera órjúfanlegur hluti af þeim.

gagnlegir krækjur

• Innleiðing dulkóðaðs SNI staðalsins í Firefox
• DPI framhjá án nettengingar

Viðbót utan greinarEkki er hægt að ljúka Cloudflare prófinu á Tele2 símafyrirtækinu og rétt stillt DPI hindrar aðgang að prófunarstaðnum.
P.S. Hingað til er þetta fyrsti veitandinn til að loka á auðlindir rétt.

Heimild: www.habr.com