DPI nustatymų ypatybės

Šis straipsnis neapima visiško DPI koregavimo ir visko, kas susiję, o mokslinė teksto vertė yra minimali. Tačiau jame aprašomas paprasčiausias būdas apeiti DPI, į kurį daugelis įmonių neatsižvelgė.

1 atsisakymas: šis straipsnis yra tiriamojo pobūdžio ir nieko neskatina daryti ar naudoti. Idėja paremta asmenine patirtimi, o bet kokie panašumai yra atsitiktiniai.

Įspėjimas Nr. 2: straipsnis neatskleidžia Atlantidos paslapčių, Šventojo Gralio paieškos ir kitų visatos paslapčių; visa medžiaga yra laisvai prieinama ir galbūt ne kartą buvo aprašyta Habré. (neradau, būčiau dėkingas už nuorodą)

Tiems, kurie perskaitė įspėjimus, pradėkime.

Kas yra DPI?

DPI arba Deep Packet Inspection yra technologija, skirta kaupti statistinius duomenis, tikrinti ir filtruoti tinklo paketus, analizuojant ne tik paketų antraštes, bet ir visą srauto turinį OSI modelio lygiais nuo antrojo ir aukštesnio lygio, leidžianti aptikti ir blokuoti virusus, filtruoti informaciją, kuri neatitinka nurodytų kriterijų .

Yra du DPI ryšio tipai, kurie aprašyti ValdikSS github'e:

Pasyvus DPI

DPI prijungtas prie tiekėjo tinklo lygiagrečiai (ne pertraukoje) per pasyvų optinį skirstytuvą arba naudojant srauto, gaunamo iš vartotojų, atspindėjimą. Šis ryšys nesumažina tiekėjo tinklo greičio esant nepakankamam DPI našumui, todėl jį naudoja dideli tiekėjai. DPI su šiuo ryšio tipu techniškai gali tik aptikti bandymą prašyti uždrausto turinio, bet ne sustabdyti. Siekdamas apeiti šį apribojimą ir blokuoti prieigą prie draudžiamos svetainės, DPI siunčia užblokuoto URL vartotojui specialiai sukurtą HTTP paketą su peradresavimu į teikėjo puslapį, tarsi toks atsakymas būtų išsiųstas paties prašomo šaltinio (siuntėjo IP). adresas ir TCP seka yra suklastoti). Kadangi DPI yra fiziškai arčiau vartotojo nei prašoma svetainė, suklastotas atsakymas pasiekia vartotojo įrenginį greičiau nei tikrasis atsakymas iš svetainės.

Aktyvus DPI

Aktyvus DPI - DPI prijungtas prie teikėjo tinklo įprastu būdu, kaip ir bet kuris kitas tinklo įrenginys. Teikėjas sukonfigūruoja maršrutą taip, kad DPI gautų srautą iš vartotojų į užblokuotus IP adresus arba domenus, o tada DPI nuspręstų, ar leisti, ar blokuoti srautą. Aktyvus DPI gali tikrinti tiek išeinantį, tiek įeinantį srautą, tačiau jei teikėjas naudoja DPI tik svetainėms blokuoti iš registro, dažniausiai jis sukonfigūruojamas tikrinti tik išeinantį srautą.

Nuo ryšio tipo priklauso ne tik srauto blokavimo efektyvumas, bet ir DPI apkrova, todėl galima nuskaityti ne visą srautą, o tik tam tikrus:

"Normalus" DPI

„Įprastas“ DPI yra DPI, kuris filtruoja tam tikro tipo srautą tik dažniausiai to tipo prievaduose. Pavyzdžiui, „įprastas“ DPI aptinka ir blokuoja draudžiamą HTTP srautą tik 80 prievade, HTTPS srautą – 443 prievade. Šio tipo DPI nestebės draudžiamo turinio, jei siunčiate užklausą su užblokuotu URL adresu neužblokuotu IP arba ne. standartinis prievadas.

„Visas“ DPI

Skirtingai nuo „įprasto“ DPI, šio tipo DPI klasifikuoja srautą neatsižvelgiant į IP adresą ir prievadą. Tokiu būdu užblokuotos svetainės neatsidarys, net jei tarpinį serverį naudojate visiškai kitame prievade ir atblokuotu IP adresu.

Naudojant DPI

Kad nesumažėtų duomenų perdavimo sparta, reikia naudoti „Normalų“ pasyvųjį DPI, kuris leidžia efektyviai? blokuoti bet kurį? išteklių, numatytoji konfigūracija atrodo taip:

• HTTP filtras tik 80 prievade
• HTTPS tik 443 prievade
• BitTorrent tik 6881-6889 prievaduose

Bet problemos prasideda, jei išteklius naudos kitą prievadą, kad neprarastų vartotojų, tada turėsite patikrinti kiekvieną paketą, pavyzdžiui, galite pateikti:

• HTTP veikia 80 ir 8080 prievaduose
• HTTPS 443 ir 8443 prievaduose
• BitTorrent bet kurioje kitoje juostoje

Dėl šios priežasties turėsite arba perjungti į „Active“ DPI, arba naudoti blokavimą naudodami papildomą DNS serverį.

Blokavimas naudojant DNS

Vienas iš būdų blokuoti prieigą prie ištekliaus yra perimti DNS užklausą naudojant vietinį DNS serverį ir grąžinti vartotojui ne reikalingą šaltinį, o „stuburo“ IP adresą. Tačiau tai neduoda garantuoto rezultato, nes galima užkirsti kelią adreso klastojimui:

1 parinktis: pagrindinio kompiuterio failo redagavimas (staliniam kompiuteriui)

Failas „Hosts“ yra neatsiejama bet kurios operacinės sistemos dalis, todėl galite juo visada naudotis. Norėdami pasiekti šaltinį, vartotojas turi:

1. Sužinokite reikiamo šaltinio IP adresą
2. Atidarykite pagrindinio kompiuterio failą redaguoti (reikalingos administratoriaus teisės), esantį:
   • Linux: /etc/hosts
   • „Windows“: %WinDir%System32driversetchosts
3. Pridėkite eilutę tokiu formatu:
4. Išsaugokite pakeitimus

Šio metodo pranašumas yra jo sudėtingumas ir administratoriaus teisių reikalavimas.

2 parinktis: DoH (DNS per HTTPS) arba DoT (DNS per TLS)

Šie metodai leidžia apsaugoti DNS užklausą nuo klastojimo naudojant šifravimą, tačiau įgyvendinimą palaiko ne visos programos. Pažiūrėkime, kaip paprasta nustatyti DoH Mozilla Firefox 66 versijai iš vartotojo pusės:

1. Eiti į adresą about: config „Firefox“.
2. Patvirtinkite, kad vartotojas prisiima visą riziką
3. Pakeiskite parametro reikšmę network.trr.mode apie:
   • 0 - išjungti TRR
   • 1 - automatinis pasirinkimas
   • 2 – įgalinkite DoH pagal numatytuosius nustatymus
4. Keisti parametrą network.trr.uri pasirenkant DNS serverį
   • Cloudflare DNS: mozilla.cloudflare-dns.com/dns-query
   • „Google DNS“: dns.google.com/experimental
5. Keisti parametrą network.trr.boostrapAddress apie:
   • Jei pasirinktas Cloudflare DNS: 1.1.1.1
   • Jei pasirinktas Google DNS: 8.8.8.8
6. Pakeiskite parametro reikšmę network.security.esni.įjungta apie tiesa
7. Patikrinkite, ar nustatymai yra teisingi naudodami „Cloudflare“ paslauga

Nors šis metodas yra sudėtingesnis, jam nereikia administratoriaus teisių, be to, yra daugybė kitų šiame straipsnyje neaprašytų būdų apsaugoti DNS užklausą.

3 parinktis (mobiliesiems įrenginiams):

Naudodami Cloudflare programą norėdami Android и IOS.

Bandymai

Norint patikrinti, ar nėra prieigos prie išteklių, buvo laikinai įsigytas Rusijos Federacijoje užblokuotas domenas:

• HTTP patikra + 80 prievadas
• HTTP patikra + 8080 prievadas
• HTTPS patikra + 443 prievadas
• HTTPS patikra + 8443 prievadas

išvada

Tikiuosi, kad šis straipsnis bus naudingas ir paskatins ne tik administratorius išsamiau suprasti temą, bet ir leis suprasti, kad ištekliai visada bus vartotojo pusėje, o naujų sprendimų paieška turėtų būti neatsiejama jų dalis.

Naudingos nuorodos

• Šifruoto SNI standarto įdiegimas „Firefox“.
• DPI apėjimas neprisijungus

Papildymas už straipsnio ribų„Cloudflare“ testas negali būti užbaigtas „Tele2“ operatoriaus tinkle, o tinkamai sukonfigūruotas DPI blokuoja prieigą prie bandymo vietos.
P.S. Kol kas tai pirmasis teikėjas, kuris tinkamai blokuoja išteklius.

Šaltinis: www.habr.com