DPI параметрлерінің мүмкіндіктері

Бұл мақалада толық DPI реттеуі және барлығы бір-бірімен байланысты емес, мәтіннің ғылыми мәні ең аз. Бірақ ол көптеген компаниялар ескермеген DPI-ді айналып өтудің ең қарапайым әдісін сипаттайды.

Жауапкершіліктен бас тарту №1: Бұл мақала зерттеу сипатына ие және ешкімді ештеңе жасауға немесе пайдалануға шақырмайды. Идея жеке тәжірибеге негізделген және кез келген ұқсастықтар кездейсоқ.

№ 2 ескерту: мақалада Атлантиданың құпиялары, Қасиетті Граалды іздеу және ғаламның басқа да құпиялары ашылмайды, барлық материалдар еркін қол жетімді және Хабреде бірнеше рет сипатталған болуы мүмкін. (Мен оны таппадым, сілтеме үшін ризамын)

Ескертулерді оқығандар үшін бастайық.

DPI дегеніміз не?

DPI немесе Deep Packet Inspection – статистикалық деректерді жинақтау, пакет тақырыптарын ғана емес, сонымен қатар екінші және одан жоғары OSI моделінің деңгейлеріндегі трафиктің толық мазмұнын талдау арқылы желілік пакеттерді тексеру және сүзу технологиясы, ол анықтауға және анықтауға мүмкіндік береді. вирустарды блоктау, көрсетілген критерийлерге сәйкес келмейтін ақпаратты сүзу .

DPI қосылымының екі түрі бар, олар сипатталған ValdikSS github сайтында:

Пассивті DPI

DPI провайдер желісіне параллельді (кесінді емес) пассивті оптикалық сплиттер арқылы немесе пайдаланушылардан келетін трафикті шағылыстыру арқылы қосылған. Бұл қосылым DPI өнімділігі жеткіліксіз болған жағдайда провайдер желісінің жылдамдығын төмендетпейді, сондықтан оны ірі провайдерлер пайдаланады. Осы қосылым түрі бар DPI техникалық түрде тыйым салынған мазмұнды сұрау әрекетін ғана анықтай алады, бірақ оны тоқтатпайды. Бұл шектеуді айналып өту және тыйым салынған сайтқа кіруді бұғаттау үшін DPI бұғатталған URL мекенжайын сұрайтын пайдаланушыға провайдердің нақтылау бетіне қайта бағыттаумен арнайы жасалған HTTP пакетін жібереді, мұндай жауапты сұралған ресурс (жіберушінің IP мекенжайы) өзі жіберген сияқты. мекенжайы мен TCP реті жалған). DPI сұралған сайтқа қарағанда пайдаланушыға физикалық жақынырақ болғандықтан, жалған жауап пайдаланушының құрылғысына сайттың нақты жауабынан жылдамырақ жетеді.

Белсенді DPI

Белсенді DPI - кез келген басқа желілік құрылғы сияқты провайдердің желісіне әдеттегі жолмен қосылған DPI. Провайдер маршруттауды конфигурациялайды, осылайша DPI пайдаланушылардан блокталған IP мекенжайларына немесе домендерге трафикті қабылдайды, содан кейін DPI трафикке рұқсат беру немесе блоктауды шешеді. Белсенді DPI шығыс және кіріс трафикті тексере алады, алайда, егер провайдер тізілімнен сайттарды блоктау үшін ғана DPI пайдаланса, ол көбінесе тек шығыс трафикті тексеру үшін конфигурацияланады.

Трафикті блоктаудың тиімділігі ғана емес, сонымен қатар DPI жүктемесі қосылым түріне байланысты, сондықтан барлық трафикті емес, тек кейбірін сканерлеуге болады:

"Қалыпты" DPI

«Қарапайым» DPI – белгілі бір трафик түрін тек сол түрге арналған ең көп таралған порттарда сүзетін DPI. Мысалы, «тұрақты» DPI тыйым салынған HTTP трафигін тек 80 портта, HTTPS трафикті 443 портта анықтайды және блоктайды. Егер бұғатталған URL мекенжайы бар сұрауды бұғатталмаған IP немесе басқа мекенжайға жіберсеңіз, DPI бұл түрі тыйым салынған мазмұнды қадағаламайды. стандартты порт.

"Толық" DPI

«Қарапайым» DPI-ден айырмашылығы, DPI бұл түрі IP мекенжайы мен портына қарамастан трафикті жіктейді. Осылайша, мүлдем басқа портта және бұғатталмаған IP мекенжайында прокси серверді пайдалансаңыз да, бұғатталған сайттар ашылмайды.

DPI пайдалану

Деректерді беру жылдамдығын төмендетпеу үшін сізге тиімді мүмкіндік беретін «Қалыпты» пассивті DPI пайдалану керек? кез келген блоктау? ресурстарда әдепкі конфигурация келесідей болады:

• HTTP сүзгісі тек 80 портында
• HTTPS тек 443 портында
• BitTorrent тек 6881-6889 порттарында

Бірақ проблемалар басталады, егер пайдаланушыларды жоғалтпау үшін ресурс басқа портты пайдаланады, содан кейін әрбір пакетті тексеруге тура келеді, мысалы, бере аласыз:

• HTTP 80 және 8080 порттарында жұмыс істейді
• 443 және 8443 портындағы HTTPS
• BitTorrent кез келген басқа топта

Осыған байланысты сізге «Белсенді» DPI-ге ауысу немесе қосымша DNS серверін пайдаланып блоктауды пайдалану қажет болады.

DNS арқылы блоктау

Ресурсқа кіруді блоктаудың бір жолы жергілікті DNS сервері арқылы DNS сұрауын тоқтату және пайдаланушыға талап етілетін ресурсқа емес, «қосылған» IP мекенжайын қайтару болып табылады. Бірақ бұл кепілдендірілген нәтиже бермейді, өйткені адресті бұрмалауды болдырмауға болады:

1-нұсқа: хосттар файлын өңдеу (жұмыс үстелі үшін)

Хосттар файлы кез келген операциялық жүйенің ажырамас бөлігі болып табылады, ол оны әрқашан пайдалануға мүмкіндік береді. Ресурсқа қол жеткізу үшін пайдаланушы қажет:

1. Қажетті ресурстың IP мекенжайын табыңыз
2. Өңдеу үшін хосттар файлын ашыңыз (әкімші құқықтары қажет), мына жерде орналасқан:
   • Linux: /etc/hosts
   • Windows: %WinDir%System32driversetchosts
3. Пішімдегі жолды қосыңыз: <ресурс атауы>
4. Өзгерістерді сақтаңыз

Бұл әдістің артықшылығы оның күрделілігі және әкімші құқықтарына қойылатын талап болып табылады.

2-нұсқа: DoH (HTTPS арқылы DNS) немесе DoT (TLS арқылы DNS)

Бұл әдістер DNS сұрауыңызды шифрлау арқылы жалғандықтан қорғауға мүмкіндік береді, бірақ іске асыруға барлық қолданбалар қолдау көрсетпейді. Пайдаланушы тарапынан Mozilla Firefox 66 нұсқасы үшін DoH орнатудың қарапайымдылығын қарастырайық:

1. Мекенжайға өтіңіз туралы: config Firefox-та
2. Пайдаланушы барлық тәуекелді өз мойнына алатынын растаңыз
3. Параметр мәнін өзгерту network.trr.mode арналған:
   • 0 - TRR өшіру
   • 1 - автоматты таңдау
   • 2 - әдепкі бойынша DoH қосыңыз
4. Параметрді өзгерту network.trr.uri DNS серверін таңдау
   • Cloudflare DNS: mozilla.cloudflare-dns.com/dns-query
   • GoogleDNS: dns.google.com/experimental
5. Параметрді өзгерту network.trr.boostrapAddress арналған:
   • Cloudflare DNS таңдалған болса: 1.1.1.1
   • Google DNS таңдалған болса: 8.8.8.8
6. Параметр мәнін өзгерту network.security.esni.enabled туралы шынайы
7. пайдалану арқылы параметрлердің дұрыстығын тексеріңіз Cloudflare қызметі

Бұл әдіс күрделірек болса да, ол пайдаланушыдан әкімші құқықтарын талап етпейді және осы мақалада сипатталмаған DNS сұрауын қорғаудың көптеген басқа жолдары бар.

3-нұсқа (мобильді құрылғылар үшін):

Cloudflare қолданбасын пайдалану үшін Android и IOS.

Тестілеу

Ресурстарға қолжетімділіктің жоқтығын тексеру үшін Ресей Федерациясында бұғатталған домен уақытша сатып алынды:

• HTTP тексеру + порт 80
• HTTP тексеру + порт 8080
• HTTPS тексеру + порт 443
• HTTPS тексеру + порт 8443

қорытынды

Бұл мақала пайдалы болады және әкімшілерді тақырыпты егжей-тегжейлі түсінуге шақырып қана қоймайды, сонымен қатар бұл туралы түсінік береді деп үміттенемін. ресурстар әрқашан пайдаланушы жағында болады және жаңа шешімдерді іздеу олар үшін ажырамас бөлігі болуы керек.

Пайдалы сілтемелер

• Firefox-та шифрланған SNI стандартын енгізу
• Офлайн DPI айналып өту

Мақаладан тыс толықтыруCloudflare сынағы Tele2 оператор желісінде аяқталмайды және дұрыс конфигурацияланған DPI сынақ алаңына кіруді блоктайды.
PS Әзірге бұл ресурстарды дұрыс блоктайтын бірінші провайдер.

Ақпарат көзі: www.habr.com