លក្ខណៈពិសេសនៃការកំណត់ DPI

អត្ថបទនេះមិនគ្របដណ្តប់ការកែតម្រូវ DPI ពេញលេញ និងអ្វីគ្រប់យ៉ាងដែលភ្ជាប់ជាមួយគ្នាទេ ហើយតម្លៃវិទ្យាសាស្ត្រនៃអត្ថបទគឺតិចតួចបំផុត។ ប៉ុន្តែវាពិពណ៌នាអំពីវិធីសាមញ្ញបំផុតដើម្បីឆ្លងកាត់ DPI ដែលក្រុមហ៊ុនជាច្រើនមិនបានគិតគូរ។

ការបដិសេធ #1: អត្ថបទនេះគឺមានលក្ខណៈស្រាវជ្រាវ ហើយមិនលើកទឹកចិត្តនរណាម្នាក់ឱ្យធ្វើ ឬប្រើប្រាស់អ្វីនោះទេ។ គំនិតនេះគឺផ្អែកលើបទពិសោធន៍ផ្ទាល់ខ្លួន ហើយភាពស្រដៀងគ្នាណាមួយគឺចៃដន្យ។

Предупреждение №2: в статье не раскрываются тайны Атлантиды, поиска Святого Грааля и иные загадки вселенной, весь материал находится в свободном доступе и возможно не раз был описан на Хабе. (я не нашел, за ссылку буду признателен)

សម្រាប់អ្នកដែលបានអានការព្រមាននោះ ចូរចាប់ផ្តើម។

តើ DPI ជាអ្វី?

DPI ឬ Deep Packet Inspection គឺជាបច្ចេកវិទ្យាសម្រាប់ប្រមូលទិន្នន័យស្ថិតិ ពិនិត្យ និងត្រងកញ្ចប់បណ្តាញដោយការវិភាគមិនត្រឹមតែបឋមកថានៃកញ្ចប់ព័ត៌មានប៉ុណ្ណោះទេ ប៉ុន្តែថែមទាំងមាតិកាពេញលេញនៃចរាចរណ៍នៅកម្រិតនៃគំរូ OSI ចាប់ពីទីពីរ និងខ្ពស់ជាងនេះ ដែលអនុញ្ញាតឱ្យអ្នករកឃើញ និង ទប់ស្កាត់មេរោគ តម្រងព័ត៌មានដែលមិនបំពេញតាមលក្ខណៈវិនិច្ឆ័យដែលបានបញ្ជាក់។

មានពីរប្រភេទនៃការតភ្ជាប់ DPI ដែលត្រូវបានពិពណ៌នា វ៉ាល់ឌីកអេសអេស នៅលើ github:

DPI អកម្ម

DPI បានភ្ជាប់ទៅបណ្តាញអ្នកផ្តល់សេវាស្របគ្នា (មិនកាត់) ទាំងតាមរយៈឧបករណ៍បំបែកអុបទិកអកម្ម ឬប្រើការឆ្លុះនៃចរាចរណ៍ដែលមានប្រភពមកពីអ្នកប្រើប្រាស់។ ការតភ្ជាប់នេះមិនបន្ថយល្បឿននៃបណ្តាញរបស់អ្នកផ្តល់សេវាទេ ក្នុងករណីមានដំណើរការ DPI មិនគ្រប់គ្រាន់ ដែលជាមូលហេតុដែលវាត្រូវបានប្រើប្រាស់ដោយអ្នកផ្តល់សេវាធំ។ DPI ជាមួយប្រភេទការតភ្ជាប់នេះអាចរកឃើញតែការប៉ុនប៉ងដើម្បីស្នើសុំមាតិកាហាមឃាត់ប៉ុណ្ណោះ ប៉ុន្តែមិនបញ្ឈប់វាទេ។ ដើម្បីរំលងការរឹតបន្តឹងនេះ និងរារាំងការចូលប្រើគេហទំព័រហាមឃាត់ DPI ផ្ញើអ្នកប្រើប្រាស់ដែលស្នើសុំ URL ដែលត្រូវបានទប់ស្កាត់នូវកញ្ចប់ព័ត៌មាន HTTP ដែលបង្កើតជាពិសេសជាមួយនឹងការបញ្ជូនបន្តទៅកាន់ទំព័រ stub របស់អ្នកផ្តល់សេវា ដូចជាប្រសិនបើការឆ្លើយតបបែបនេះត្រូវបានផ្ញើដោយធនធានដែលបានស្នើសុំដោយខ្លួនឯង (IP របស់អ្នកផ្ញើ អាសយដ្ឋាន និងលំដាប់ TCP ត្រូវបានក្លែងបន្លំ)។ ដោយសារតែ DPI មានភាពស្និទ្ធស្នាលជាមួយអ្នកប្រើប្រាស់ច្រើនជាងគេហទំព័រដែលបានស្នើសុំ ការឆ្លើយតបក្លែងក្លាយឈានដល់ឧបករណ៍របស់អ្នកប្រើលឿនជាងការឆ្លើយតបពិតពីគេហទំព័រ។

DPI សកម្ម

DPI សកម្ម - DPI បានភ្ជាប់ទៅបណ្តាញរបស់អ្នកផ្តល់សេវាតាមរបៀបធម្មតា ដូចជាឧបករណ៍បណ្តាញផ្សេងទៀតដែរ។ អ្នកផ្តល់សេវាកំណត់រចនាសម្ព័ន្ធផ្លូវដូច្នេះ DPI ទទួលបានចរាចរណ៍ពីអ្នកប្រើប្រាស់ទៅកាន់អាសយដ្ឋាន IP ឬដែនដែលត្រូវបានរារាំង ហើយ DPI បន្ទាប់មកសម្រេចចិត្តថាតើត្រូវអនុញ្ញាត ឬរារាំងចរាចរណ៍។ DPI សកម្មអាចត្រួតពិនិត្យទាំងការចេញ និងចូល ទោះជាយ៉ាងណាក៏ដោយ ប្រសិនបើអ្នកផ្តល់សេវាប្រើ DPI ដើម្បីទប់ស្កាត់គេហទំព័រពីបញ្ជីឈ្មោះ វាត្រូវបានកំណត់រចនាសម្ព័ន្ធជាញឹកញាប់បំផុតដើម្បីពិនិត្យតែចរាចរចេញប៉ុណ្ណោះ។

មិនត្រឹមតែប្រសិទ្ធភាពនៃការទប់ស្កាត់ចរាចរណ៍ប៉ុណ្ណោះទេ ថែមទាំងបន្ទុកលើ DPI អាស្រ័យលើប្រភេទនៃការតភ្ជាប់ ដូច្នេះវាមិនអាចទៅរួចទេក្នុងការស្កេនចរាចរណ៍ទាំងអស់ ប៉ុន្តែមានតែមួយចំនួនប៉ុណ្ណោះ៖

DPI "ធម្មតា"

DPI "ទៀងទាត់" គឺជា DPI ដែលត្រងប្រភេទចរាចរណ៍ជាក់លាក់មួយនៅលើច្រកធម្មតាបំផុតសម្រាប់ប្រភេទនោះ។ ឧទាហរណ៍ DPI "ទៀងទាត់" រកឃើញ និងទប់ស្កាត់ចរាចរណ៍ HTTP ដែលបានហាមឃាត់តែនៅលើច្រក 80 ប៉ុណ្ណោះ ចរាចរ HTTPS នៅលើច្រក 443។ ប្រភេទនៃ DPI នេះនឹងមិនតាមដានមាតិកាហាមឃាត់ទេ ប្រសិនបើអ្នកផ្ញើសំណើជាមួយ URL ដែលត្រូវបានរារាំងទៅកាន់ IP ដែលមិនបានទប់ស្កាត់ ឬមិនមែន ច្រកស្តង់ដារ។

"ពេញ" DPI

មិនដូច DPI "ធម្មតា" ប្រភេទ DPI នេះចាត់ថ្នាក់ចរាចរណ៍ដោយមិនគិតពីអាសយដ្ឋាន IP និងច្រក។ វិធីនេះ គេហទំព័រដែលត្រូវបានទប់ស្កាត់នឹងមិនបើកទេ ទោះបីជាអ្នកប្រើម៉ាស៊ីនមេប្រូកស៊ីនៅលើច្រកខុសគ្នាទាំងស្រុង និងអាសយដ្ឋាន IP ដែលមិនបានទប់ស្កាត់ក៏ដោយ។

ការប្រើប្រាស់ DPI

ដើម្បីកុំឱ្យកាត់បន្ថយអត្រាផ្ទេរទិន្នន័យ អ្នកត្រូវប្រើ DPI អកម្ម "ធម្មតា" ដែលអនុញ្ញាតឱ្យអ្នកមានប្រសិទ្ធភាព? រារាំងណាមួយ? ធនធាន ការកំណត់លំនាំដើមមើលទៅដូចនេះ៖

• តម្រង HTTP តែនៅលើច្រក 80 ប៉ុណ្ណោះ។
• HTTPS តែនៅលើច្រក 443 ប៉ុណ្ណោះ។
• BitTorrent តែនៅលើច្រក 6881-6889 ប៉ុណ្ណោះ។

ប៉ុន្តែបញ្ហាចាប់ផ្តើមប្រសិនបើ ធនធាននឹងប្រើច្រកផ្សេង ដើម្បីកុំឱ្យបាត់បង់អ្នកប្រើប្រាស់បន្ទាប់មកអ្នកនឹងត្រូវពិនិត្យមើលកញ្ចប់នីមួយៗ ឧទាហរណ៍អ្នកអាចផ្តល់ឱ្យ៖

• HTTP ដំណើរការលើច្រក 80 និង 8080
• HTTPS នៅលើច្រក 443 និង 8443
• BitTorrent នៅលើក្រុមផ្សេងទៀត។

ដោយសារតែនេះ អ្នកនឹងត្រូវប្តូរទៅ "សកម្ម" DPI ឬប្រើការទប់ស្កាត់ដោយប្រើម៉ាស៊ីនមេ DNS បន្ថែម។

ការទប់ស្កាត់ដោយប្រើ DNS

វិធីមួយដើម្បីទប់ស្កាត់ការចូលប្រើធនធានគឺដើម្បីស្ទាក់ចាប់សំណើ DNS ដោយប្រើម៉ាស៊ីនមេ DNS មូលដ្ឋាន ហើយប្រគល់អាសយដ្ឋាន IP "stub" ដល់អ្នកប្រើប្រាស់ជាជាងធនធានដែលត្រូវការ។ ប៉ុន្តែនេះមិនផ្តល់លទ្ធផលដែលធានាទេ ព្រោះវាអាចធ្វើទៅបានដើម្បីការពារការក្លែងបន្លំអាសយដ្ឋាន៖

ជម្រើសទី 1៖ កែសម្រួលឯកសារម៉ាស៊ីន (សម្រាប់កុំព្យូទ័រលើតុ)

ឯកសារម៉ាស៊ីនគឺជាផ្នែកសំខាន់នៃប្រព័ន្ធប្រតិបត្តិការណាមួយដែលអនុញ្ញាតឱ្យអ្នកប្រើវាជានិច្ច។ ដើម្បីចូលប្រើធនធាន អ្នកប្រើប្រាស់ត្រូវ៖

1. ស្វែងរកអាសយដ្ឋាន IP នៃធនធានដែលត្រូវការ
2. បើកឯកសារ hosts សម្រាប់កែសម្រួល (ទាមទារសិទ្ធិអ្នកគ្រប់គ្រង) ដែលមានទីតាំងនៅ៖
   • លីនុច៖ /etc/hosts
   • វីនដូ៖ %WinDir%System32driversetchosts
3. បន្ថែមបន្ទាត់ក្នុងទម្រង់៖ <ឈ្មោះធនធាន>
4. រក្សាទុកការផ្លាស់ប្តូរ

អត្ថប្រយោជន៍នៃវិធីសាស្រ្តនេះគឺភាពស្មុគស្មាញរបស់វានិងតម្រូវការសម្រាប់សិទ្ធិអ្នកគ្រប់គ្រង។

ជម្រើសទី 2៖ DoH (DNS លើ HTTPS) ឬ DoT (DNS លើ TLS)

វិធីសាស្រ្តទាំងនេះអនុញ្ញាតឱ្យអ្នកការពារសំណើ DNS របស់អ្នកពីការក្លែងបន្លំដោយប្រើការអ៊ិនគ្រីប ប៉ុន្តែការអនុវត្តមិនត្រូវបានគាំទ្រដោយកម្មវិធីទាំងអស់នោះទេ។ សូមក្រឡេកមើលភាពងាយស្រួលនៃការដំឡើង DoH សម្រាប់ Mozilla Firefox កំណែ 66 ពីខាងអ្នកប្រើប្រាស់៖

1. ទៅអាសយដ្ឋាន អំពី: config នៅក្នុង Firefox
2. បញ្ជាក់ថាអ្នកប្រើប្រាស់សន្មត់ថាមានហានិភ័យទាំងអស់។
3. Изменит значение параметра network.trr.mode បើក៖
   • 0 - បិទ TRR
   • 1 - ការជ្រើសរើសដោយស្វ័យប្រវត្តិ
   • 2 - បើក DoH តាមលំនាំដើម
4. ផ្លាស់ប្តូរប៉ារ៉ាម៉ែត្រ network.trr.uri ការជ្រើសរើសម៉ាស៊ីនមេ DNS
   • Cloudflare DNS៖ mozilla.cloudflare-dns.com/dns-query
   • Google DNS៖ dns.google.com/experimental
5. ផ្លាស់ប្តូរប៉ារ៉ាម៉ែត្រ network.trr.boostrap អាស័យដ្ឋាន បើក៖
   • ប្រសិនបើ Cloudflare DNS ត្រូវបានជ្រើសរើស៖ 1.1.1.1
   • ប្រសិនបើ Google DNS ត្រូវបានជ្រើសរើស៖ 8.8.8.8
6. Изменит значение параметра network.security.esni.enabled នៅលើ ជាការពិត
7. ពិនិត្យមើលថាការកំណត់ត្រឹមត្រូវដោយប្រើ សេវាកម្ម Cloudflare

ទោះបីជាវិធីសាស្ត្រនេះស្មុគស្មាញជាងក៏ដោយ វាមិនតម្រូវឱ្យអ្នកប្រើប្រាស់មានសិទ្ធិជាអ្នកគ្រប់គ្រងទេ ហើយមានវិធីជាច្រើនទៀតដើម្បីធានានូវសំណើ DNS ដែលមិនត្រូវបានពិពណ៌នានៅក្នុងអត្ថបទនេះ។

ជម្រើសទី 3 (សម្រាប់ឧបករណ៍ចល័ត):

ការប្រើប្រាស់កម្មវិធី Cloudflare ទៅ ប្រព័ន្ធប្រតិបត្តិការ Android и ប្រព័ន្ធប្រតិបត្តិការ iOS.

សាកល្បង

ដើម្បីពិនិត្យមើលការខ្វះខាតនៃការចូលប្រើធនធាន ដែនដែលត្រូវបានរារាំងនៅក្នុងសហព័ន្ធរុស្ស៊ីត្រូវបានទិញជាបណ្ដោះអាសន្ន៖

• ពិនិត្យ HTTP + ច្រក 80
• ពិនិត្យ HTTP + ច្រក 8080
• ពិនិត្យ HTTPS + ច្រក 443
• ពិនិត្យ HTTPS + ច្រក 8443

សេចក្តីសន្និដ្ឋាន

ខ្ញុំសង្ឃឹមថាអត្ថបទនេះនឹងមានប្រយោជន៍ ហើយនឹងលើកទឹកចិត្តមិនត្រឹមតែអ្នកគ្រប់គ្រងឱ្យយល់អំពីប្រធានបទនេះឱ្យកាន់តែលម្អិតប៉ុណ្ណោះទេ ប៉ុន្តែក៏នឹងផ្តល់នូវការយល់ដឹងផងដែរ។ ធនធាននឹងស្ថិតនៅខាងអ្នកប្រើប្រាស់ជានិច្ច ហើយការស្វែងរកដំណោះស្រាយថ្មីគួរតែជាផ្នែកសំខាន់មួយសម្រាប់ពួកគេ។

តំណមានប្រយោជន៍

• ការអនុវត្តស្តង់ដារ SNI ដែលបានអ៊ិនគ្រីបនៅក្នុង Firefox
• ផ្លូវកាត់ DPI ក្រៅបណ្តាញ

ការបន្ថែមនៅខាងក្រៅអត្ថបទការធ្វើតេស្ត Cloudflare មិនអាចបញ្ចប់នៅលើបណ្តាញប្រតិបត្តិករ Tele2 បានទេ ហើយ DPI ដែលបានកំណត់រចនាសម្ព័ន្ធត្រឹមត្រូវរារាំងការចូលទៅកាន់គេហទំព័រសាកល្បង។
PS រហូតមកដល់ពេលនេះនេះគឺជាអ្នកផ្តល់សេវាទីមួយដែលទប់ស្កាត់ធនធានឱ្យបានត្រឹមត្រូវ។

ប្រភព: www.habr.com