Å is raksts neaptver pilnu DPI pielÄgoÅ”anu un visu, kas kopÄ ir saistÄ«ts, un teksta zinÄtniskÄ vÄrtÄ«ba ir minimÄla. Bet tas apraksta vienkÄrÅ”Äko veidu, kÄ apiet DPI, ko daudzi uzÅÄmumi nav ÅÄmuÅ”i vÄrÄ.
1. atruna: Å”im rakstam ir pÄtniecisks raksturs, un tas nevienu nemudina kaut ko darÄ«t vai izmantot. Ideja ir balstÄ«ta uz personÄ«go pieredzi, un visas lÄ«dzÄ«bas ir nejauÅ”as.
BrÄ«dinÄjums Nr. 2: raksts neatklÄj AtlantÄ«das noslÄpumus, SvÄtÄ GrÄla meklÄjumus un citus Visuma noslÄpumus; viss materiÄls ir brÄ«vi pieejams un, iespÄjams, ir aprakstÄ«ts vairÄk nekÄ vienu reizi par HabrÄ. (neatradu, bÅ«Å”u pateicÄ«gs par saiti)
Tiem, kas ir izlasÄ«juÅ”i brÄ«dinÄjumus, sÄksim.
Kas ir DPI?
DPI jeb Deep Packet Inspection ir tehnoloÄ£ija statistikas datu uzkrÄÅ”anai, tÄ«kla pakeÅ”u pÄrbaudei un filtrÄÅ”anai, analizÄjot ne tikai pakeÅ”u galvenes, bet arÄ« pilnu trafika saturu OSI modeļa lÄ«meÅos no otrÄ un augstÄkÄ lÄ«meÅa, kas ļauj atklÄt un filtrÄt. bloÄ·Ät vÄ«rusus, filtrÄt informÄciju, kas neatbilst noteiktiem kritÄrijiem.
DPI ir savienots ar pakalpojumu sniedzÄja tÄ«klu paralÄli (nevis griezumÄ), izmantojot pasÄ«vo optisko sadalÄ«tÄju vai izmantojot lietotÄju radÄ«tÄs trafika spoguļoÅ”anu. Å is savienojums nepalÄnina pakalpojumu sniedzÄja tÄ«kla Ätrumu nepietiekamas DPI veiktspÄjas gadÄ«jumÄ, tÄpÄc to izmanto lielie pakalpojumu sniedzÄji. DPI ar Å”o savienojuma veidu var tehniski tikai noteikt mÄÄ£inÄjumu pieprasÄ«t aizliegtu saturu, bet ne apturÄt to. Lai apietu Å”o ierobežojumu un bloÄ·Ätu piekļuvi aizliegtai vietnei, DPI nosÅ«ta lietotÄjam, kurÅ” pieprasa bloÄ·Ätu URL, speciÄli izstrÄdÄtu HTTP paketi ar novirzÄ«Å”anu uz pakalpojumu sniedzÄja apakÅ”lapu, it kÄ Å”Ädu atbildi bÅ«tu nosÅ«tÄ«jis pats pieprasÄ«tais resurss (sÅ«tÄ«tÄja IP). adrese un TCP secÄ«ba ir viltota). TÄ kÄ DPI ir fiziski tuvÄk lietotÄjam nekÄ pieprasÄ«tÄ vietne, viltotÄ atbilde sasniedz lietotÄja ierÄ«ci ÄtrÄk nekÄ reÄlÄ atbilde no vietnes.
Aktīvs DPI
Active DPI - DPI, kas parastajÄ veidÄ savienots ar pakalpojumu sniedzÄja tÄ«klu, tÄpat kÄ jebkura cita tÄ«kla ierÄ«ce. Pakalpojumu sniedzÄjs konfigurÄ marÅ”rutÄÅ”anu tÄ, lai DPI saÅemtu trafiku no lietotÄjiem uz bloÄ·ÄtÄm IP adresÄm vai domÄniem, un pÄc tam DPI izlemj, vai atļaut vai bloÄ·Ät trafiku. AktÄ«vÄ DPI var pÄrbaudÄ«t gan izejoÅ”o, gan ienÄkoÅ”o trafiku, tomÄr, ja pakalpojumu sniedzÄjs izmanto DPI tikai vietÅu bloÄ·ÄÅ”anai no reÄ£istra, tas visbiežÄk tiek konfigurÄts, lai pÄrbaudÄ«tu tikai izejoÅ”o trafiku.
No savienojuma veida ir atkarÄ«ga ne tikai trafika bloÄ·ÄÅ”anas efektivitÄte, bet arÄ« DPI slodze, tÄpÄc ir iespÄjams skenÄt nevis visu trafiku, bet tikai noteiktus:
"NormÄls" DPI
āParastaisā DPI ir DPI, kas filtrÄ noteikta veida trafiku tikai visbiežÄk Å”im tipa portos. PiemÄram, āparastaisā DPI nosaka un bloÄ·Ä aizliegtu HTTP trafiku tikai 80. portÄ, bet HTTPS trafiku ā 443. portÄ. Å Äda veida DPI neizsekos aizliegtu saturu, ja nosÅ«tÄt pieprasÄ«jumu ar bloÄ·Ätu URL uz nebloÄ·Ätu IP vai ne. standarta ports.
"Pilns" DPI
AtŔķirÄ«bÄ no āparastÄā DPI, Å”Äda veida DPI klasificÄ trafiku neatkarÄ«gi no IP adreses un porta. TÄdÄ veidÄ bloÄ·ÄtÄs vietnes netiks atvÄrtas pat tad, ja izmantojat starpniekserveri pavisam citÄ portÄ un atbloÄ·ÄtÄ IP adresÄ.
Izmantojot DPI
Lai nesamazinÄtu datu pÄrsÅ«tÄ«Å”anas Ätrumu, jums ir jÄizmanto āNormalā pasÄ«vais DPI, kas ļauj efektÄ«vi? bloÄ·Ät kÄdu? resursi, noklusÄjuma konfigurÄcija izskatÄs Å”Ädi:
HTTP filtrs tikai 80. portÄ
HTTPS tikai 443. portÄ
BitTorrent tikai portos 6881-6889
Bet problÄmas sÄkas, ja resurss izmantos citu portu, lai nezaudÄtu lietotÄjus, tad jums bÅ«s jÄpÄrbauda katrs iepakojums, piemÄram, varat norÄdÄ«t:
HTTP darbojas portÄ 80 un 8080
HTTPS portÄ 443 un 8443
BitTorrent jebkurÄ citÄ joslÄ
Å Ä« iemesla dÄļ jums bÅ«s jÄpÄrslÄdzas uz āActiveā DPI vai jÄizmanto bloÄ·ÄÅ”ana, izmantojot papildu DNS serveri.
BloÄ·ÄÅ”ana, izmantojot DNS
Viens no veidiem, kÄ bloÄ·Ät piekļuvi resursam, ir pÄrtvert DNS pieprasÄ«jumu, izmantojot vietÄjo DNS serveri, un atgriezt lietotÄjam IP adresi, nevis nepiecieÅ”amo resursu. Bet tas nedod garantÄtu rezultÄtu, jo ir iespÄjams novÄrst adreÅ”u viltoÅ”anu:
Hosts fails ir jebkuras operÄtÄjsistÄmas neatÅemama sastÄvdaļa, kas ļauj to izmantot vienmÄr. Lai piekļūtu resursam, lietotÄjam ir:
Uzziniet vajadzÄ«gÄ resursa IP adresi
Atveriet resursdatora failu rediÄ£ÄÅ”anai (nepiecieÅ”amas administratora tiesÄ«bas), kas atrodas Å”eit:
Linux: /etc/hosts
Windows: %WinDir%System32driversetchosts
Pievienojiet rindiÅu Å”ÄdÄ formÄtÄ:
SaglabÄjiet izmaiÅas
Å Ä«s metodes priekÅ”rocÄ«ba ir tÄs sarežģītÄ«ba un prasÄ«ba pÄc administratora tiesÄ«bÄm.
2. iespÄja: DoH (DNS, izmantojot HTTPS) vai DoT (DNS, izmantojot TLS)
Å Ä«s metodes ļauj aizsargÄt DNS pieprasÄ«jumu no viltoÅ”anas, izmantojot Å”ifrÄÅ”anu, taÄu ievieÅ”anu neatbalsta visas lietojumprogrammas. ApskatÄ«sim, cik vienkÄrÅ”a ir DoH iestatÄ«Å”ana Mozilla Firefox versijai 66 no lietotÄja puses:
Iet uz adresi about: config pÄrlÅ«kprogrammÄ Firefox
Lai gan Ŕī metode ir sarežģītÄka, lietotÄjam nav nepiecieÅ”amas administratora tiesÄ«bas, un ir daudz citu veidu, kÄ nodroÅ”inÄt DNS pieprasÄ«jumu, kas nav aprakstÄ«ti Å”ajÄ rakstÄ.
3. iespÄja (mobilajÄm ierÄ«cÄm):
Izmantojot lietotni Cloudflare, lai android Šø IOS.
TestÄÅ”ana
Lai pÄrbaudÄ«tu piekļuves trÅ«kumu resursiem, uz laiku tika iegÄdÄts Krievijas FederÄcijÄ bloÄ·Äts domÄns:
Ceru, ka Å”is raksts bÅ«s noderÄ«gs un mudinÄs ne tikai administratorus izprast tÄmu sÄ«kÄk, bet arÄ« sniegs izpratni, ka resursi vienmÄr bÅ«s lietotÄja pusÄ, un jaunu risinÄjumu meklÄÅ”anai jÄbÅ«t viÅu neatÅemamai sastÄvdaļai.
PapildinÄjums Ärpus rakstaCloudflare testu nevar pabeigt Tele2 operatora tÄ«klÄ, un pareizi konfigurÄts DPI bloÄ·Ä piekļuvi testa vietai.
P.S. PagaidÄm Å”is ir pirmais pakalpojumu sniedzÄjs, kas pareizi bloÄ·Ä resursus.