Fonctiounen vun DPI Astellungen

Dësen Artikel deckt net voll DPI Upassung an alles matenee verbonnen, an de wëssenschaftleche Wäert vum Text ass minimal. Awer et beschreift den einfachste Wee fir d'DPI ëmzegoen, déi vill Firmen net berücksichtegt hunn.

Verzichterklärung #1: Dësen Artikel ass vun enger Fuerschung Natur an encouragéiert keen eppes ze maachen oder ze benotzen. D'Iddi baséiert op perséinlecher Erfahrung, an all Ähnlechkeeten sinn zoufälleg.

Предупреждение №2: в статье не раскрываются тайны Атлантиды, поиска Святого Грааля и иные загадки вселенной, весь материал находится в свободном доступе и возможно не раз был описан на Хабре. (я не нашел, за ссылку буду признателен)

Fir déi, déi d'Warnunge gelies hunn, loosst eis ufänken.

Wat ass DPI?

DPI oder Deep Packet Inspection ass eng Technologie fir statistesch Donnéeën ze sammelen, Netzwierkpakete ze kontrolléieren an ze filteren andeems Dir net nëmmen Packet Header analyséiert, awer och de ganzen Inhalt vum Traffic op Niveauen vum OSI Modell vum zweeten a méi héijen, wat Iech erlaabt z'entdecken an Viren blockéieren, Informatioun filteren déi net spezifizéierte Critèren entsprécht.

Et ginn zwou Zorte vun DPI Verbindung, déi beschriwwe ginn ValdikSS op github:

Passiv DPI

DPI verbonne mat de Provider Reseau parallel (net an engem Schnëtt) entweder duerch eng passiv opteschen splitter, oder benotzt Spigelen vun Verkéier aus Benotzer stamen. Dës Verbindung verlangsamt net d'Geschwindegkeet vum Netz vum Provider am Fall vun net genuch DPI Leeschtung, dofir gëtt se vu grousse Provider benotzt. DPI mat dëser Verbindung Typ kann technesch nëmmen e Versuch entdecken verbueden Inhalt ze froen, awer net ophalen. Fir dës Restriktioun ëmzegoen an den Zougang zu engem verbuedenen Site ze blockéieren, schéckt DPI dem Benotzer, deen eng blockéiert URL freet, e speziell erstallt HTTP-Paket mat engem Viruleedung op d'Säit vum Provider, wéi wann esou eng Äntwert vun der ugefrote Ressource selwer geschéckt gouf (d'IP vum Sender). Adress an TCP Sequenz sinn geschmied). Well den DPI kierperlech méi no beim Benotzer ass wéi de ugefrote Site, erreecht d'spoofed Äntwert de Benotzer säin Apparat méi séier wéi déi richteg Äntwert vum Site.

Aktiv DPI

Aktiv DPI - DPI verbonne mam Netz vum Provider op déi üblech Manéier, wéi all aner Netzwierkapparat. De Provider konfiguréiert Routing sou datt DPI Traffic vu Benotzer op blockéiert IP Adressen oder Domänen kritt, an DPI entscheet dann ob den Traffic erlaabt oder blockéiert. Aktiv DPI ka souwuel den ausgaangenen an den erakommenen Traffic inspektéieren, awer, wann de Provider DPI benotzt nëmme fir Siten aus der Registry ze blockéieren, ass et meeschtens konfiguréiert fir nëmmen den ausgaangenen Traffic z'inspektéieren.

Net nëmmen d'Effektivitéit vum Trafficblocking, awer och d'Laascht op DPI hänkt vun der Aart vun der Verbindung of, sou datt et méiglech ass net all Traffic ze scannen, awer nëmme bestëmmte:

"Normal" DPI

E "normalen" DPI ass en DPI deen eng gewëssen Zort Traffic filtert nëmmen op déi meescht üblech Ports fir dës Zort. Zum Beispill detektéiert a blockéiert e "regelméissegen" DPI verbuedenen HTTP-Traffic nëmmen um Hafen 80, HTTPS-Traffic um Hafen 443. Dës Zort vun DPI wäert verbuedenen Inhalt net verfollegen wann Dir eng Ufro mat enger blockéierter URL op eng net blockéiert IP schéckt oder net- Standard Hafen.

"Voll" DPI

Am Géigesaz zu "normalen" DPI klasséiert dës Zort DPI Traffic onofhängeg vun der IP Adress an den Hafen. Op dës Manéier ginn gespaarte Siten net op, och wann Dir e Proxy-Server op engem komplett aneren Hafen an onblockéierter IP Adress benotzt.

Benotzt DPI

Fir d'Datentransferrate net ze reduzéieren, musst Dir "Normal" passiv DPI benotzen, wat Iech erlaabt effektiv? een blockéieren? Ressourcen, gesäit d'Standardkonfiguratioun esou aus:

• HTTP Filter nëmmen um Port 80
• HTTPS nëmmen um Hafen 443
• BitTorrent nëmmen op Häfen 6881-6889

Mee Problemer fänken wann d'Ressource wäert en aneren Hafen benotzen fir d'Benotzer net ze verléieren, da musst Dir all Package kontrolléieren, zum Beispill kënnt Dir ginn:

• HTTP funktionnéiert um Port 80 an 8080
• HTTPS um Port 443 an 8443
• BitTorrent op all aner Band

Dofir musst Dir entweder op "Aktiv" DPI wiesselen oder d'Blockéierung benotze mat engem zousätzlechen DNS-Server.

Blockéieren mat DNS

Ee Wee fir den Zougang zu enger Ressource ze blockéieren ass d'DNS-Ufro mat engem lokalen DNS-Server ze interceptéieren an de Benotzer eng "Stub" IP Adress zréckzeginn anstatt déi erfuerderlech Ressource. Mä dëst gëtt net e garantéiert Resultat, well et méiglech ass Adress spoofing ze verhënneren:

Optioun 1: D'Hostdatei änneren (fir Desktop)

D'Hostdatei ass en integralen Deel vun all Betribssystem, wat Iech erlaabt et ëmmer ze benotzen. Fir Zougang zu der Ressource ze kréien, muss de Benotzer:

1. Fannt d'IP Adress vun der erfuerderter Ressource eraus
2. Öffnen d'Hostdatei fir z'änneren (Administrator Rechter erfuerderlech), an:
   • Linux: /etc/hosts
   • Windows: %WinDir%System32driversetchosts
3. Füügt eng Zeil am Format un:
4. Späichert Ännerungen

De Virdeel vun dëser Method ass seng Komplexitéit an d'Ufuerderung fir Administrator Rechter.

Optioun 2: DoH (DNS iwwer HTTPS) oder DoT (DNS iwwer TLS)

Dës Methoden erlaben Iech Är DNS-Ufro vu Spoofing mat Verschlësselung ze schützen, awer d'Ëmsetzung gëtt net vun all Applikatiounen ënnerstëtzt. Loosst eis d'Liichtegkeet kucken fir DoH fir Mozilla Firefox Versioun 66 vun der Säit vum Benotzer opzestellen:

1. Gitt op d'Adress iwwer: config am Firefox
2. Bestätegt datt de Benotzer all Risiko iwwerhëlt
3. Изменить значение параметра network.trr.mode un:
   • 0 - deaktivéieren TRR
   • 1 - automatesch Auswiel
   • 2 - aktivéiert DoH par défaut
4. Parameter änneren network.trr.uri auswielen DNS Server
   • Cloudflare DNS: mozilla.cloudflare-dns.com/dns-query
   • GoogleDNS: dns.google.com/experimental
5. Parameter änneren network.trr.boostrapAddress un:
   • Wann Cloudflare DNS ausgewielt gëtt: 1.1.1.1
   • Wann Google DNS ausgewielt ass: 8.8.8.8
6. Изменить значение параметра network.security.esni.enabled op richteg
7. Kontrolléiert datt d'Astellunge richteg sinn benotzt Cloudflare Service

Och wann dës Method méi komplex ass, erfuerdert et net datt de Benotzer Administratorrechter huet, an et gi vill aner Weeër fir eng DNS-Ufro ze sécheren, déi net an dësem Artikel beschriwwe ginn.

Optioun 3 (fir mobilen Apparater):

Benotzt d'Cloudflare App fir Android и iOS.

Testen

Fir de Mangel un Zougang zu Ressourcen z'iwwerpréiwen, gouf en Domain blockéiert an der russescher Federatioun temporär kaaft:

• HTTP Check + Port 80
• HTTP Check + Port 8080
• HTTPS Check + Port 443
• HTTPS Check + Port 8443

Konklusioun

Ech hoffen dësen Artikel wäert nëtzlech sinn a wäert net nëmmen Administrateuren encouragéieren d'Thema méi detailléiert ze verstoen, awer och e Verständnis ginn datt Ressourcen wäerten ëmmer op der Säit vum Benotzer sinn, an d'Sich no neie Léisunge soll en integralen Deel fir si sinn.

Nëtzlech Adressen

• Ëmsetzung vum verschlësselte SNI Standard am Firefox
• Offline DPI Bypass

Zousatz ausserhalb vum ArtikelDe Cloudflare Test kann net am Tele2 Bedreiwernetz ofgeschloss ginn, an e korrekt konfiguréierten DPI blockéiert den Zougang zum Test Site.
P.S. Bis elo ass dëst den éischte Fournisseur fir d'Ressourcen korrekt ze blockéieren.

Source: will.com