DPI жөндөөлөрүнүн өзгөчөлүктөрү

Бул макалада толук DPI тууралоо камтылбайт жана баары биригип, тексттин илимий мааниси минималдуу. Бирок ал көптөгөн компаниялар эске албаган DPIди айланып өтүүнүн эң жөнөкөй жолун сүрөттөйт.

Жоопкерчиликтен баш тартуу №1: Бул макала изилдөө мүнөзүнө ээ жана эч кимди эч нерсе кылууга же колдонууга үндөбөйт. Идея жеке тажрыйбага негизделген жана кандайдыр бир окшоштуктар туш келди.

Эскертүү №2: макалада Атлантиданын сырлары, Ыйык Граилди издөө жана ааламдын башка сырлары ачылбайт, бардык материалдар эркин жеткиликтүү жана Хабреде бир нече жолу сүрөттөлгөн болушу мүмкүн. (Тапкан жокмун, шилтеме үчүн ыраазы болом)

Эскертүүлөрдү окугандар үчүн баштайлы.

DPI деген эмне?

DPI же Deep Packet Inspection – бул статистикалык маалыматтарды топтоо, пакеттердин аталыштарын гана эмес, ошондой эле экинчи жана андан жогору OSI моделинин деңгээлдериндеги трафиктин толук мазмунун талдоо аркылуу тармак пакеттерин текшерүү жана чыпкалоо технологиясы, бул сизге аныктоого жана аныктоого мүмкүндүк берет. вирустарды бөгөттөө, көрсөтүлгөн критерийлерге жооп бербеген маалыматты чыпкалоо .

Сүрөттөлгөн DPI байланышынын эки түрү бар ValdikSS github боюнча:

Пассивдүү DPI

DPI провайдер тармагына параллелдүү (кесип эмес) пассивдүү оптикалык бөлгүч аркылуу же колдонуучулардан келип чыккан трафикти чагылдыруу аркылуу туташкан. Бул туташуу DPI жетишсиз болгон учурда провайдердин тармагынын ылдамдыгын басаңдатпайт, ошондуктан аны ири провайдерлер колдонушат. Бул туташуунун түрү менен DPI техникалык жактан тыюу салынган мазмунду суроо аракетин гана аныктай алат, бирок аны токтото албайт. Бул чектөөнү айланып өтүү жана тыюу салынган сайтка кирүү мүмкүнчүлүгүн бөгөттөө үчүн, DPI бөгөттөлгөн URL'ди сураган колдонуучуга провайдердин тактоо барагына багыттоо менен атайын иштелип чыккан HTTP пакетин жөнөтөт, мындай жооп суралган ресурс (жөнөтүүчүнүн IP дареги) тарабынан жөнөтүлгөндөй. дарек жана TCP ырааттуулугу жасалма). DPI суралган сайтка караганда колдонуучуга физикалык жактан жакыныраак болгондуктан, жасалма жооп сайттан келген реалдуу жоопко караганда колдонуучунун түзмөгүнө тезирээк жетет.

Активдүү DPI

Active DPI - провайдердин тармагына кадимки жол менен туташкан DPI, башка тармак түзмөктөрү сыяктуу. Провайдер маршрутту конфигурациялайт, ошентип DPI колдонуучулардан бөгөттөлгөн IP даректерге же домендерге трафикти кабыл алат жана DPI андан кийин трафикке уруксат берүү же бөгөт коюуну чечет. Активдүү DPI чыгуучу жана кирүүчү трафикти текшере алат, бирок провайдер DPI сайттарды реестрден бөгөттөө үчүн гана колдонсо, ал көбүнчө чыгуучу трафикти гана текшерүү үчүн конфигурацияланат.

Трафикти бөгөттөөнүн эффективдүүлүгү гана эмес, DPIдеги жүктөм да туташуунун түрүнө жараша болот, андыктан бардык трафикти эмес, айрымдарын гана сканерлөөгө болот:

"Кадимки" DPI

“Кадимки” DPI – бул трафиктин белгилүү бир түрүн ошол түр үчүн эң кеңири таралган порттордо гана чыпкалаган DPI. Мисалы, “кадимки” DPI 80-портто гана тыюу салынган HTTP трафикти, 443-портто HTTPS трафикти аныктайт жана бөгөттөйт. Эгер бөгөттөлгөн URL менен сурамды бөгөттөн чыгарылбаган IP же башка дарекке жөнөтсөңүз, DPI бул түрү тыюу салынган мазмунга көз салбайт. стандарттуу порт.

"Толук" DPI

"Кадимки" DPIден айырмаланып, DPI бул түрү IP дарегине жана портуна карабастан трафикти классификациялайт. Ошентип, бөгөттөлгөн сайттар сиз прокси серверди такыр башка портто жана бөгөттөн чыгарылбаган IP даректе колдонуп жатсаңыз да ачылбайт.

DPI колдонуу

Маалыматтарды берүү ылдамдыгын төмөндөтпөө үчүн, сиз эффективдүү кылууга мүмкүндүк берген "Нормалдуу" пассивдүү DPI колдонушуңуз керек? кандайдыр бир бөгөт коюу? ресурстар, демейки конфигурация төмөнкүдөй көрүнөт:

• HTTP чыпкасы 80 портунда гана
• HTTPS 443 портунда гана
• BitTorrent 6881-6889 портторунда гана

Бирок көйгөйлөр башталат ресурс колдонуучуларды жоготуп албаш үчүн башка портту колдонот, анда ар бир пакетти текшерүү керек болот, мисалы, сиз бере аласыз:

• HTTP 80 жана 8080 портунда иштейт
• 443 жана 8443 портунда HTTPS
• BitTorrent башка топтордо

Ушундан улам, сиз "Активдүү" DPIге өтүшүңүз керек же кошумча DNS сервери аркылуу бөгөт коюуну колдонушуңуз керек болот.

DNS аркылуу бөгөттөө

Ресурска кирүү мүмкүнчүлүгүн бөгөттөөнүн бир жолу жергиликтүү DNS серверинин жардамы менен DNS суроо-талапты кармап калуу жана колдонуучуга талап кылынган ресурстун ордуна "талап" IP дарегин кайтаруу. Бирок бул кепилденген натыйжа бербейт, анткени даректин бурмалоосуна жол бербөөгө болот:

1-вариант: Хост файлын түзөтүү (иш тактасы үчүн)

Хост файлы ар кандай операциялык системанын ажырагыс бөлүгү болуп саналат, аны ар дайым колдонууга мүмкүндүк берет. Ресурска кирүү үчүн колдонуучу:

1. Керектүү ресурстун IP дарегин табыңыз
2. Түзөтүү үчүн хост файлын ачыңыз (администратордун укуктары талап кылынат), жайгашкан:
   • Linux: /etc/hosts
   • Windows: %WinDir%System32driversetchosts
3. Форматта сапты кошуңуз:
4. өзгөртүүлөрдү сактоо

Бул ыкманын артыкчылыгы анын татаалдыгы жана администратордун укуктарына болгон талап болуп саналат.

2-вариант: DoH (HTTPS аркылуу DNS) же DoT (TLS аркылуу DNS)

Бул ыкмалар сизге DNS сурамыңызды шифрлөө аркылуу жасалмалоодон коргоого мүмкүндүк берет, бирок ишке ашыруу бардык тиркемелер тарабынан колдоого алынбайт. Келгиле, колдонуучу тарабынан Mozilla Firefox 66 версиясы үчүн DoH орнотуунун оңойлугун карап көрөлү:

1. Дарекке барыңыз жөнүндө: тарам Firefoxто
2. Колдонуучу бардык тобокелдиктерди өзүнө алаарын ырастаңыз
3. Параметрдин маанисин өзгөртүү network.trr.mode боюнча:
   • 0 - TRR өчүрүү
   • 1 - автоматтык тандоо
   • 2 - демейки боюнча DoH иштетүү
4. Параметрди өзгөртүү network.trr.uri DNS серверин тандоо
   • Cloudflare DNS: mozilla.cloudflare-dns.com/dns-query
   • GoogleDNS: dns.google.com/experimental
5. Параметрди өзгөртүү network.trr.boostrapAddress боюнча:
   • Cloudflare DNS тандалган болсо: 1.1.1.1
   • Эгер Google DNS тандалган болсо: 8.8.8.8
6. Параметрдин маанисин өзгөртүү network.security.esni.enabled боюнча чыныгы
7. Колдонуу менен орнотуулар туура экендигин текшериңиз Cloudflare кызматы

Бул ыкма татаалыраак болгону менен, колдонуучудан администратордук укуктарга ээ болушун талап кылбайт жана бул макалада сүрөттөлбөгөн DNS сурамдарын коргоонун башка көптөгөн жолдору бар.

3-вариант (мобилдик түзмөктөр үчүн):

Cloudflare колдонмосун колдонуу үчүн Android и IOS.

тестирлөө

Ресурстарга жетүүнүн жоктугун текшерүү үчүн Россия Федерациясында бөгөттөлгөн домен убактылуу сатылып алынган:

• HTTP + порт 80 текшерүү
• HTTP + порт 8080 текшерүү
• HTTPS текшерүү + порт 443
• HTTPS текшерүү + порт 8443

жыйынтыктоо

Бул макала пайдалуу болот деп үмүттөнөм жана администраторлорду теманы тереңирээк түшүнүүгө гана эмес, ошондой эле түшүнүк берет деп ишенем. ресурстар дайыма колдонуучу тарапта болот жана жаңы чечимдерди издөө алар үчүн ажырагыс бөлүгү болушу керек.

Пайдалуу шилтемелер

• Firefox ичинде Шифрленген SNI стандартын ишке ашыруу
• Offline DPI айланып өтүү

Макаладан тышкары кошумчаCloudflare тестин Tele2 операторунун тармагында бүтүрүү мүмкүн эмес жана туура конфигурацияланган DPI тесттик сайтка кирүүнү бөгөттөйт.
P.S. Азырынча бул ресурстарды туура бөгөттөө үчүн биринчи провайдер.

Source: www.habr.com