Taybetmendiyên mîhengên DPI

Ev gotar sererastkirina DPI-ya tevahî û her tiştê ku bi hev ve girêdayî ye nagire, û nirxa zanistî ya nivîsê hindik e. Lê ew awayê herî hêsan danasîna DPI-ê, ku gelek pargîdaniyan hesab nekiriye, diyar dike.

Daxuyaniya #1: Ev gotar xwezayek lêkolînê ye û kesek teşwîq nake ku tiştek bike an bikar bîne. Fikir li ser bingeha ezmûna kesane ye, û her wekhevî ne rast e.

Hişyarî No. (Min ew nedît, ez ê ji bo girêdanê spasdar bim)

Ji bo yên ku hişyarî xwendine, em dest pê bikin.

DPI çi ye?

DPI an Deep Packet Inspection teknolojiyek e ji bo berhevkirina daneyên îstatîstîkî, kontrolkirin û fîlterkirina pakêtên torê bi analîzkirina ne tenê sernavên pakêtê, lê di heman demê de naveroka tevahî seyrûseferê di astên modela OSI de ji ya duyemîn û bilindtir, ku dihêle hûn tespît bikin û vîrusan asteng bikin, agahdariya ku pîvanên diyarkirî nagirin fîlter bikin.

Du celeb girêdana DPI-ê hene, ku têne diyar kirin ValdikSS li ser github:

DPI-ya pasîf

DPI bi tora pêşkêşkarê ve bi paralelî ve girêdayî ye (ne di qutbûnê de) an bi navgînek veqetankerek optîkî ya pasîf, an jî bi karanîna neynikê ya seyrûsefera ku ji bikarhêneran tê. Ev pêwend di rewşa kêmbûna performansa DPI-ê de leza tora pêşkêşker kêm nake, ji ber vê yekê ew ji hêla pêşkêşkerên mezin ve tê bikar anîn. DPI bi vî rengî girêdanê re teknîkî tenê dikare hewldanek ji bo daxwaza naveroka qedexe nas bike, lê nehêle. Ji bo derbaskirina vê sînorkirinê û astengkirina gihîştina malperek qedexe, DPI ji bikarhênerê ku URL-ya astengkirî daxwaz dike pakêtek HTTP-ya taybetî hatî çêkirin bi beralîkirina rûpela stûyê pêşkêşker re dişîne, mîna ku bersivek weha ji hêla çavkaniya daxwazkirî bixwe ve hatî şandin (IP-ya şanderê navnîşan û rêza TCP têne çêkirin). Ji ber ku DPI ji hêla fizîkî ve ji malpera daxwazkirî nêzîkê bikarhêner e, bersiva xapînok ji bersiva rastîn a malperê zûtir digihîje cîhaza bikarhêner.

DPI-ya çalak

DPI-ya çalak - DPI-ya ku bi torgilokê pêşkêşkerê ve girêdayî ye, mîna her amûrek torê ya din. Pêşkêşkar rêgezê mîheng dike da ku DPI seyrûseferê ji bikarhêneran bigire heya navnîşanên IP-yê an domên astengkirî, û DPI dûv re biryar dide ka destûr bide an seyrûseferê asteng bike. DPI-ya aktîf dikare hem seyrûsefera derketinê û hem jî ya tê vekolîne, lêbelê, heke pêşkêşker DPI-yê tenê bikar bîne da ku malperan ji qeydê asteng bike, ew pir caran tête mîheng kirin ku tenê seyrûsefera derketinê kontrol bike.

Ne tenê bandora astengkirina trafîkê, lê di heman demê de barkirina li ser DPI-yê jî bi celebê pêwendiyê ve girêdayî ye, ji ber vê yekê ne gengaz e ku hûn hemî seyrûseferê, lê tenê hin hinan bişopînin:

DPI "Normal".

DPI-ya "birêkûpêk" DPI-yek e ku celebek trafîkê tenê li ser portên herî gelemperî ji bo wî celebî fîlter dike. Mînakî, DPI-ya "bi rêkûpêk" seyrûsefera HTTP ya qedexe tenê li porta 80-ê, trafîka HTTPS-ê li porta 443-ê nas dike û asteng dike. Heke hûn daxwazek bi URL-ya astengkirî ji IP-ya ne-blokekirî re bişînin an jî ne-hilweşîn, ev celeb DPI naveroka qedexekirî naşopîne. port standard.

DPI "Tajî".

Berevajî DPI-ya "birêkûpêk", ev celeb DPI bêyî navnîşana IP û portê seyrûseferê dabeş dike. Bi vî rengî, malperên astengkirî dê venebin heke hûn serverek proxy-ê li ser portek bi tevahî cûda û navnîşana IP-ya blokekirî bikar bînin bikar tînin.

Bikaranîna DPI

Ji bo ku hûn rêjeya veguheztina daneyê kêm nekin, hûn hewce ne ku DPI-ya pasîf "Normal" bikar bînin, ku destûrê dide te ku bi bandor? yekî asteng bike? çavkaniyan, veavakirina xwerû bi vî rengî xuya dike:

• Parzûna HTTP tenê li porta 80
• HTTPS tenê li porta 443
• BitTorrent tenê li ser portên 6881-6889

Lê eger pirsgirêk dest pê bikin çavkanî dê portek cûda bikar bîne da ku bikarhêner winda neke, wê hingê hûn neçar in ku her pakêtê kontrol bikin, mînakî hûn dikarin bidin:

• HTTP li port 80 û 8080 dixebite
• HTTPS li porta 443 û 8443
• BitTorrent li ser her komek din

Ji ber vê yekê, hûn ê neçar bibin ku an DPI-ya "Çalak" veguherînin an jî bi karanîna serverek DNS-ê ya din astengkirinê bikar bînin.

Astengkirina bikaranîna DNS

Yek rê ji bo astengkirina gihîştina çavkaniyek ev e ku meriv daxwaza DNS-ê bi karanîna serverek DNS-ya herêmî bigire û ji bikarhêner re navnîşana IP-ya "stub" ji çavkaniyek hewce vegerîne. Lê ev encamek garantî nade, ji ber ku mimkun e ku pêşî li xapandina navnîşan were girtin:

Vebijêrk 1: Guhertina pelê mêvandar (ji bo sermaseyê)

Pelê mêvandar beşek yekbûyî ya her pergala xebitandinê ye, ku dihêle hûn her gav wê bikar bînin. Ji bo gihîştina çavkaniyê, bikarhêner divê:

1. Navnîşana IP ya çavkaniya pêwîst bibînin
2. Ji bo guherandinê pelê mêvandar vekin (mafên rêveberê hewce ne), ku li:
   • Linux: /etc/hosts
   • Windows: %WinDir%System32driversetchosts
3. Di formatê de rêzek zêde bikin: <navê çavkaniyê>
4. Guherandinan tomar bikin

Avantaja vê rêbazê tevliheviya wê û hewcedariya mafên rêveberiyê ye.

Vebijêrk 2: DoH (DNS ser HTTPS) an DoT (DNS li ser TLS)

Van rêbazan dihêle hûn daxwaza DNS-ya xwe ji xapandinê bi karanîna şîfrekirinê biparêzin, lê pêkanîn ji hêla hemî serlêdanan ve nayê piştgirî kirin. Ka em li hêsaniya sazkirina DoH-ê ji bo Mozilla Firefox guhertoya 66-ê ji hêla bikarhêner ve binihêrin:

1. Biçe navnîşanê about: config li Firefox
2. Piştrast bikin ku bikarhêner hemî xetereyê digire
3. Biguherîne nirxa parametre network.trr.mode li ser:
   • 0 - TRR neçalak bike
   • 1 - Hilbijartina otomatîk
   • 2 - DoH ji hêla xwerû ve çalak bike
4. Parametre biguherînin network.trr.uri hilbijartina servera DNS
   • Cloudflare DNS: mozilla.cloudflare-dns.com/dns-query
   • GoogleDNS: dns.google.com/experimental
5. Parametre biguherînin network.trr.boostrapAddress li ser:
   • Ger Cloudflare DNS were hilbijartin: 1.1.1.1
   • Heke Google DNS-ê hatî hilbijartin: 8.8.8.8
6. Biguherîne nirxa parametre network.security.esni.enabled li ser rast
7. Kontrol bikin ku bi karanîna mîhengan rast in xizmeta Cloudflare

Her çend ev rêbaz tevlihevtir e, ew ne hewce ye ku bikarhêner xwediyê mafên rêveberiyê be, û gelek awayên din jî hene ku daxwazek DNS-ê ewle bikin ku di vê gotarê de nehatine vegotin.

Vebijêrk 3 (ji bo cîhazên mobîl):

Bikaranîna sepana Cloudflare ji bo Android и iOS.

Îmtîhanê

Ji bo kontrolkirina nebûna gihîştina çavkaniyan, domainek ku li Federasyona Rûsyayê hate asteng kirin bi demkî hate kirîn:

• Kontrola HTTP + porta 80
• Kontrola HTTP + porta 8080
• Kontrola HTTPS + porta 443
• Kontrola HTTPS + porta 8443

encamê

Ez hêvî dikim ku ev gotar dê kêrhatî be û ne tenê rêvebiran teşwîq bike ku mijarê bi hûrgulî fam bikin, lê di heman demê de dê têgihiştinek jî bide çavkanî dê her gav li alîyê bikarhêner bin, û lêgerîna çareseriyên nû divê ji wan re bibe parçeyek bingehîn.

Girêdanên bikarhêner

• Pêkanîna standarda SNI ya şîfrekirî di Firefox de
• DPI Bypass negirêdayî

Zêdekirina derveyî gotarêTesta Cloudflare nekare li ser tora operatorê Tele2 biqede, û DPI-ya rast vesazkirî gihîştina malpera ceribandinê asteng dike.
PS Heya nuha ev pêşkêşkarê yekem e ku bi rast çavkaniyan asteng dike.

Source: www.habr.com