ProHoster > Blogs > Administrācija > DPI iestatījumu iezīmes

DPI iestatījumu iezīmes

Å is raksts neaptver pilnu DPI pielāgoÅ”anu un visu, kas kopā ir saistÄ«ts, un teksta zinātniskā vērtÄ«ba ir minimāla. Bet tas apraksta vienkārŔāko veidu, kā apiet DPI, ko daudzi uzņēmumi nav ņēmuÅ”i vērā.

DPI iestatījumu iezīmes

1. atruna: Å”im rakstam ir pētniecisks raksturs, un tas nevienu nemudina kaut ko darÄ«t vai izmantot. Ideja ir balstÄ«ta uz personÄ«go pieredzi, un visas lÄ«dzÄ«bas ir nejauÅ”as.

BrÄ«dinājums Nr. 2: raksts neatklāj AtlantÄ«das noslēpumus, Svētā Grāla meklējumus un citus Visuma noslēpumus; viss materiāls ir brÄ«vi pieejams un, iespējams, ir aprakstÄ«ts vairāk nekā vienu reizi par Habrē. (neatradu, bÅ«Å”u pateicÄ«gs par saiti)

Tiem, kas ir izlasījuŔi brīdinājumus, sāksim.

Kas ir DPI?

DPI jeb Deep Packet Inspection ir tehnoloÄ£ija statistikas datu uzkrāŔanai, tÄ«kla pakeÅ”u pārbaudei un filtrÄ“Å”anai, analizējot ne tikai pakeÅ”u galvenes, bet arÄ« pilnu trafika saturu OSI modeļa lÄ«meņos no otrā un augstākā lÄ«meņa, kas ļauj atklāt un filtrēt. bloķēt vÄ«rusus, filtrēt informāciju, kas neatbilst noteiktiem kritērijiem.

Ir divi DPI savienojuma veidi, kas ir aprakstīti ValdikSS vietnē github:

Pasīvs DPI

DPI ir savienots ar pakalpojumu sniedzēja tÄ«klu paralēli (nevis griezumā), izmantojot pasÄ«vo optisko sadalÄ«tāju vai izmantojot lietotāju radÄ«tās trafika spoguļoÅ”anu. Å is savienojums nepalēnina pakalpojumu sniedzēja tÄ«kla ātrumu nepietiekamas DPI veiktspējas gadÄ«jumā, tāpēc to izmanto lielie pakalpojumu sniedzēji. DPI ar Å”o savienojuma veidu var tehniski tikai noteikt mēģinājumu pieprasÄ«t aizliegtu saturu, bet ne apturēt to. Lai apietu Å”o ierobežojumu un bloķētu piekļuvi aizliegtai vietnei, DPI nosÅ«ta lietotājam, kurÅ” pieprasa bloķētu URL, speciāli izstrādātu HTTP paketi ar novirzÄ«Å”anu uz pakalpojumu sniedzēja apakÅ”lapu, it kā Ŕādu atbildi bÅ«tu nosÅ«tÄ«jis pats pieprasÄ«tais resurss (sÅ«tÄ«tāja IP). adrese un TCP secÄ«ba ir viltota). Tā kā DPI ir fiziski tuvāk lietotājam nekā pieprasÄ«tā vietne, viltotā atbilde sasniedz lietotāja ierÄ«ci ātrāk nekā reālā atbilde no vietnes.

Aktīvs DPI

Active DPI - DPI, kas parastajā veidā savienots ar pakalpojumu sniedzēja tÄ«klu, tāpat kā jebkura cita tÄ«kla ierÄ«ce. Pakalpojumu sniedzējs konfigurē marÅ”rutÄ“Å”anu tā, lai DPI saņemtu trafiku no lietotājiem uz bloķētām IP adresēm vai domēniem, un pēc tam DPI izlemj, vai atļaut vai bloķēt trafiku. AktÄ«vā DPI var pārbaudÄ«t gan izejoÅ”o, gan ienākoÅ”o trafiku, tomēr, ja pakalpojumu sniedzējs izmanto DPI tikai vietņu bloÄ·Ä“Å”anai no reÄ£istra, tas visbiežāk tiek konfigurēts, lai pārbaudÄ«tu tikai izejoÅ”o trafiku.

No savienojuma veida ir atkarÄ«ga ne tikai trafika bloÄ·Ä“Å”anas efektivitāte, bet arÄ« DPI slodze, tāpēc ir iespējams skenēt nevis visu trafiku, bet tikai noteiktus:

"Normāls" DPI

ā€œParastaisā€ DPI ir DPI, kas filtrē noteikta veida trafiku tikai visbiežāk Å”im tipa portos. Piemēram, ā€œparastaisā€ DPI nosaka un bloķē aizliegtu HTTP trafiku tikai 80. portā, bet HTTPS trafiku ā€” 443. portā. Šāda veida DPI neizsekos aizliegtu saturu, ja nosÅ«tāt pieprasÄ«jumu ar bloķētu URL uz nebloķētu IP vai ne. standarta ports.

"Pilns" DPI

AtŔķirÄ«bā no ā€œparastāā€ DPI, Ŕāda veida DPI klasificē trafiku neatkarÄ«gi no IP adreses un porta. Tādā veidā bloķētās vietnes netiks atvērtas pat tad, ja izmantojat starpniekserveri pavisam citā portā un atbloķētā IP adresē.

Izmantojot DPI

Lai nesamazinātu datu pārsÅ«tÄ«Å”anas ātrumu, jums ir jāizmanto ā€œNormalā€ pasÄ«vais DPI, kas ļauj efektÄ«vi? bloķēt kādu? resursi, noklusējuma konfigurācija izskatās Ŕādi:

  • HTTP filtrs tikai 80. portā
  • HTTPS tikai 443. portā
  • BitTorrent tikai portos 6881-6889

Bet problēmas sākas, ja resurss izmantos citu portu, lai nezaudētu lietotājus, tad jums būs jāpārbauda katrs iepakojums, piemēram, varat norādīt:

  • HTTP darbojas portā 80 un 8080
  • HTTPS portā 443 un 8443
  • BitTorrent jebkurā citā joslā

Å Ä« iemesla dēļ jums bÅ«s jāpārslēdzas uz ā€œActiveā€ DPI vai jāizmanto bloÄ·Ä“Å”ana, izmantojot papildu DNS serveri.

BloķēŔana, izmantojot DNS

Viens no veidiem, kā bloķēt piekļuvi resursam, ir pārtvert DNS pieprasÄ«jumu, izmantojot vietējo DNS serveri, un atgriezt lietotājam IP adresi, nevis nepiecieÅ”amo resursu. Bet tas nedod garantētu rezultātu, jo ir iespējams novērst adreÅ”u viltoÅ”anu:

1. iespēja: saimniekdatora faila rediģēŔana (darbvirsmai)

Hosts fails ir jebkuras operētājsistēmas neatņemama sastāvdaļa, kas ļauj to izmantot vienmēr. Lai piekļūtu resursam, lietotājam ir:

  1. Uzziniet vajadzīgā resursa IP adresi
  2. Atveriet resursdatora failu rediģēŔanai (nepiecieÅ”amas administratora tiesÄ«bas), kas atrodas Å”eit:
    • Linux: /etc/hosts
    • Windows: %WinDir%System32driversetchosts
  3. Pievienojiet rindiņu Ŕādā formātā:
  4. Saglabājiet izmaiņas

Å Ä«s metodes priekÅ”rocÄ«ba ir tās sarežģītÄ«ba un prasÄ«ba pēc administratora tiesÄ«bām.

2. iespēja: DoH (DNS, izmantojot HTTPS) vai DoT (DNS, izmantojot TLS)

Å Ä«s metodes ļauj aizsargāt DNS pieprasÄ«jumu no viltoÅ”anas, izmantojot Å”ifrÄ“Å”anu, taču ievieÅ”anu neatbalsta visas lietojumprogrammas. ApskatÄ«sim, cik vienkārÅ”a ir DoH iestatÄ«Å”ana Mozilla Firefox versijai 66 no lietotāja puses:

  1. Iet uz adresi about: config pārlūkprogrammā Firefox
  2. Apstipriniet, ka lietotājs uzņemas visu risku
  3. Mainiet parametra vērtību tīkls.trr.režīms par:
    • 0 - atspējot TRR
    • 1 - automātiska izvēle
    • 2 - pēc noklusējuma iespējojiet DoH
  4. Mainīt parametru network.trr.uri izvēloties DNS serveri
    • Cloudflare DNS: mozilla.cloudflare-dns.com/dns-query
    • GoogleDNS: dns.google.com/experimental
  5. Mainīt parametru network.trr.boostrapAddress par:
    • Ja ir atlasÄ«ts Cloudflare DNS: 1.1.1.1
    • Ja ir atlasÄ«ts Google DNS: 8.8.8.8
  6. Mainiet parametra vērtību network.security.esni.enabled par patiess
  7. Pārbaudiet, vai iestatījumi ir pareizi, izmantojot Cloudflare pakalpojums

Lai gan Ŕī metode ir sarežģītāka, lietotājam nav nepiecieŔamas administratora tiesības, un ir daudz citu veidu, kā nodroŔināt DNS pieprasījumu, kas nav aprakstīti Ŕajā rakstā.

3. iespēja (mobilajām ierÄ«cēm):

Izmantojot lietotni Cloudflare, lai android Šø IOS.

TestēŔana

Lai pārbaudītu piekļuves trūkumu resursiem, uz laiku tika iegādāts Krievijas Federācijā bloķēts domēns:

Secinājums

Ceru, ka Å”is raksts bÅ«s noderÄ«gs un mudinās ne tikai administratorus izprast tēmu sÄ«kāk, bet arÄ« sniegs izpratni, ka resursi vienmēr bÅ«s lietotāja pusē, un jaunu risinājumu meklÄ“Å”anai jābÅ«t viņu neatņemamai sastāvdaļai.

Noderīgas saites

Papildinājums ārpus rakstaCloudflare testu nevar pabeigt Tele2 operatora tīklā, un pareizi konfigurēts DPI bloķē piekļuvi testa vietai.
P.S. Pagaidām Å”is ir pirmais pakalpojumu sniedzējs, kas pareizi bloķē resursus.

Avots: www.habr.com

Pievieno komentāru