Fitur setelan DPI

Artikel iki ora nyakup panyesuaian DPI lengkap lan kabeh sing disambungake, lan nilai ilmiah teks kasebut minimal. Nanging nggambarake cara sing paling gampang kanggo ngliwati DPI, sing ora dianggep akeh perusahaan.

Penafian #1: Artikel iki minangka riset lan ora nyengkuyung sapa wae kanggo nindakake utawa nggunakake apa wae. Ide iki adhedhasar pengalaman pribadi, lan sembarang podho acak.

Peringatan No. 2: artikel kasebut ora mbukak rahasia Atlantis, nggoleki Holy Grail lan misteri alam semesta liyane; kabeh materi kasedhiya kanthi bebas lan bisa uga diterangake luwih saka sepisan ing Habré. (Aku ora nemokake, aku bakal ngucapke matur nuwun kanggo link kasebut)

Kanggo sing wis maca peringatan, ayo miwiti.

Apa DPI?

DPI utawa Deep Packet Inspection minangka teknologi kanggo nglumpukake data statistik, mriksa lan nyaring paket jaringan kanthi nganalisa ora mung header paket, nanging uga isi lalu lintas lengkap ing tingkat model OSI saka nomer loro lan luwih dhuwur, sing ngidini sampeyan ndeteksi lan mblokir virus, nyaring informasi sing ora cocog karo kritéria tartamtu.

Ana rong jinis sambungan DPI, sing diterangake ValdikSS ing github:

DPI pasif

DPI disambungake menyang jaringan panyedhiya ing podo karo (ora ing Cut) liwat splitter optik pasif, utawa nggunakake mirroring lalu lintas asalé saka pangguna. Sambungan iki ora nyuda kacepetan jaringan panyedhiya yen kinerja DPI ora cukup, mulane digunakake dening panyedhiya gedhe. DPI kanthi jinis sambungan iki kanthi teknis mung bisa ndeteksi upaya kanggo njaluk konten sing dilarang, nanging ora mandheg. Kanggo ngliwati watesan iki lan mblokir akses menyang situs sing dilarang, DPI ngirim pangguna njaluk URL sing diblokir paket HTTP sing digawe khusus kanthi pangalihan menyang kaca rintisan panyedhiya, kaya-kaya tanggapan kasebut dikirim dening sumber sing dijaluk dhewe (IP pangirim alamat lan urutan TCP palsu). Amarga DPI sacara fisik luwih cedhak karo pangguna tinimbang situs sing dijaluk, respon spoofed tekan piranti pangguna luwih cepet tinimbang respon nyata saka situs kasebut.

DPI aktif

DPI Aktif - DPI disambungake menyang jaringan panyedhiya kanthi cara biasa, kaya piranti jaringan liyane. Panyedhiya ngatur rute supaya DPI nampa lalu lintas saka pangguna menyang alamat IP utawa domain sing diblokir, lan DPI banjur mutusake apa ngidini utawa mblokir lalu lintas. DPI aktif bisa mriksa lalu lintas metu lan mlebu, nanging yen panyedhiya nggunakake DPI mung kanggo mblokir situs saka registri, paling kerep dikonfigurasi kanggo mriksa lalu lintas sing metu.

Ora mung efektifitas pamblokiran lalu lintas, nanging uga beban ing DPI gumantung saka jinis sambungan, saengga ora bisa mindai kabeh lalu lintas, nanging mung sawetara:

DPI "Normal".

DPI "biasa" yaiku DPI sing nyaring jinis lalu lintas tartamtu mung ing port sing paling umum kanggo jinis kasebut. Contone, DPI "biasa" ndeteksi lan mblokir lalu lintas HTTP sing dilarang mung ing port 80, lalu lintas HTTPS ing port 443. DPI jinis iki ora bakal nglacak konten sing dilarang yen sampeyan ngirim panjalukan kanthi URL sing diblokir menyang IP sing ora diblokir utawa ora diblokir. port standar.

"Full" DPI

Ora kaya DPI "biasa", jinis DPI iki nggolongake lalu lintas tanpa dipikirake alamat IP lan port. Kanthi cara iki, situs sing diblokir ora bakal mbukak sanajan sampeyan nggunakake server proxy ing port sing beda banget lan alamat IP sing ora diblokir.

Nggunakake DPI

Supaya ora kanggo ngurangi tingkat transfer data, sampeyan kudu nggunakake DPI pasif "Normal", sing ngijini sampeyan kanggo èfèktif? blokir wae? sumber daya, konfigurasi standar katon kaya iki:

• Filter HTTP mung ing port 80
• HTTPS mung ing port 443
• BitTorrent mung ing port 6881-6889

Nanging masalah diwiwiti yen sumber bakal nggunakake port beda supaya ora ilang kedhaftar, banjur sampeyan kudu mriksa saben paket, contone sampeyan bisa menehi:

• HTTP bisa digunakake ing port 80 lan 8080
• HTTPS ing port 443 lan 8443
• BitTorrent ing band liyane

Amarga iki, sampeyan kudu ngalih menyang DPI "Aktif" utawa nggunakake pamblokiran nggunakake server DNS tambahan.

Blokir nggunakake DNS

Salah siji cara kanggo mblokir akses menyang sumber daya yaiku nyegat panjalukan DNS nggunakake server DNS lokal lan bali menyang pangguna alamat IP "stub" tinimbang sumber daya sing dibutuhake. Nanging iki ora menehi asil sing dijamin, amarga bisa nyegah spoofing alamat:

Pilihan 1: Ngedit file host (kanggo desktop)

File host minangka bagean integral saka sistem operasi apa wae, sing ngidini sampeyan nggunakake. Kanggo ngakses sumber daya, pangguna kudu:

1. Temokake alamat IP sumber daya sing dibutuhake
2. Bukak file host kanggo nyunting (hak administrator dibutuhake), dumunung ing:
   • Linux: /etc/hosts
   • Windows: %WinDir%System32driversthosts
3. Tambah baris ing format: <jeneng sumber daya>
4. Simpen pangowahan

Kauntungan saka metode iki yaiku kerumitan lan syarat hak administrator.

Opsi 2: DoH (DNS liwat HTTPS) utawa DoT (DNS liwat TLS)

Cara iki ngidini sampeyan nglindhungi panjalukan DNS saka spoofing nggunakake enkripsi, nanging implementasine ora didhukung dening kabeh aplikasi. Ayo goleki gampang nyetel DoH kanggo Mozilla Firefox versi 66 saka sisih pangguna:

1. Pindhah menyang alamat babagan: config ing Firefox
2. Konfirmasi manawa pangguna nanggung kabeh risiko
3. Ngganti nilai parameter network.trr.mode ing:
   • 0 - mateni TRR
   • 1 - pilihan otomatis
   • 2 - ngaktifake DoH minangka standar
4. Ngganti parameter jaringan.trr.uri milih server DNS
   • Cloudflare DNS: mozilla.cloudflare-dns.com/dns-query
   • DNS Google: dns.google.com/experimental
5. Ngganti parameter network.trr.boostrapAddress ing:
   • Yen Cloudflare DNS dipilih: 1.1.1.1
   • Yen DNS Google dipilih: 8.8.8.8
6. Ngganti nilai parameter network.security.esni.enabled ing bener
7. Priksa manawa setelan wis bener nggunakake Layanan Cloudflare

Sanajan cara iki luwih rumit, ora mbutuhake pangguna duwe hak administrator, lan ana akeh cara liyane kanggo ngamanake panjalukan DNS sing ora diterangake ing artikel iki.

Pilihan 3 (kanggo piranti seluler):

Nggunakake aplikasi Cloudflare kanggo Android и iOS.

Tes

Kanggo mriksa kekurangan akses menyang sumber daya, domain sing diblokir ing Federasi Rusia dituku kanggo sementara:

• Priksa HTTP + port 80
• Priksa HTTP + port 8080
• Priksa HTTPS + port 443
• Priksa HTTPS + port 8443

kesimpulan

Muga-muga artikel iki migunani lan bakal nyengkuyung ora mung pangurus supaya ngerti topik kasebut kanthi luwih rinci, nanging uga bakal menehi pangerten sing sumber daya bakal tansah ana ing sisih pangguna, lan panelusuran kanggo solusi anyar kudu dadi bagéan integral kanggo wong-wong mau.

link migunani

• Ngleksanakake standar SNI Encrypted ing Firefox
• Offline DPI Bypass

Tambahan njaba artikelTes Cloudflare ora bisa rampung ing jaringan operator Tele2, lan DPI sing dikonfigurasi kanthi bener ngalangi akses menyang situs uji.
PS Nganti saiki iki minangka panyedhiya pisanan sing mblokir sumber daya kanthi bener.

Source: www.habr.com