DPI iestatījumu iezīmes

Šis raksts neaptver pilnu DPI pielāgošanu un visu, kas kopā ir saistīts, un teksta zinātniskā vērtība ir minimāla. Bet tas apraksta vienkāršāko veidu, kā apiet DPI, ko daudzi uzņēmumi nav ņēmuši vērā.

1. atruna: šim rakstam ir pētniecisks raksturs, un tas nevienu nemudina kaut ko darīt vai izmantot. Ideja ir balstīta uz personīgo pieredzi, un visas līdzības ir nejaušas.

Brīdinājums Nr. 2: raksts neatklāj Atlantīdas noslēpumus, Svētā Grāla meklējumus un citus Visuma noslēpumus; viss materiāls ir brīvi pieejams un, iespējams, Centrā ir aprakstīts vairāk nekā vienu reizi. (neatradu, būšu pateicīgs par saiti)

Tiem, kas ir izlasījuši brīdinājumus, sāksim.

Kas ir DPI?

DPI jeb Deep Packet Inspection ir tehnoloģija statistikas datu uzkrāšanai, tīkla pakešu pārbaudei un filtrēšanai, analizējot ne tikai pakešu galvenes, bet arī pilnu trafika saturu OSI modeļa līmeņos no otrā un augstākā līmeņa, kas ļauj atklāt un filtrēt. bloķēt vīrusus, filtrēt informāciju, kas neatbilst noteiktiem kritērijiem.

Ir divi DPI savienojuma veidi, kas ir aprakstīti ValdikSS vietnē github:

Pasīvs DPI

DPI ir savienots ar pakalpojumu sniedzēja tīklu paralēli (nevis griezumā), izmantojot pasīvo optisko sadalītāju vai izmantojot lietotāju radītās trafika spoguļošanu. Šis savienojums nepalēnina pakalpojumu sniedzēja tīkla ātrumu nepietiekamas DPI veiktspējas gadījumā, tāpēc to izmanto lielie pakalpojumu sniedzēji. DPI ar šo savienojuma veidu var tehniski tikai noteikt mēģinājumu pieprasīt aizliegtu saturu, bet ne apturēt to. Lai apietu šo ierobežojumu un bloķētu piekļuvi aizliegtai vietnei, DPI nosūta lietotājam, kurš pieprasa bloķētu URL, speciāli izstrādātu HTTP paketi ar novirzīšanu uz pakalpojumu sniedzēja apakšlapu, it kā šādu atbildi būtu nosūtījis pats pieprasītais resurss (sūtītāja IP). adrese un TCP secība ir viltota). Tā kā DPI ir fiziski tuvāk lietotājam nekā pieprasītā vietne, viltotā atbilde sasniedz lietotāja ierīci ātrāk nekā reālā atbilde no vietnes.

Aktīvs DPI

Active DPI - DPI, kas parastajā veidā savienots ar pakalpojumu sniedzēja tīklu, tāpat kā jebkura cita tīkla ierīce. Pakalpojumu sniedzējs konfigurē maršrutēšanu tā, lai DPI saņemtu trafiku no lietotājiem uz bloķētām IP adresēm vai domēniem, un pēc tam DPI izlemj, vai atļaut vai bloķēt trafiku. Aktīvā DPI var pārbaudīt gan izejošo, gan ienākošo trafiku, tomēr, ja pakalpojumu sniedzējs izmanto DPI tikai vietņu bloķēšanai no reģistra, tas visbiežāk tiek konfigurēts, lai pārbaudītu tikai izejošo trafiku.

No savienojuma veida ir atkarīga ne tikai trafika bloķēšanas efektivitāte, bet arī DPI slodze, tāpēc ir iespējams skenēt nevis visu trafiku, bet tikai noteiktus:

"Normāls" DPI

“Parastais” DPI ir DPI, kas filtrē noteikta veida trafiku tikai visbiežāk šim tipa portos. Piemēram, “parastais” DPI nosaka un bloķē aizliegtu HTTP trafiku tikai 80. portā, bet HTTPS trafiku — 443. portā. Šāda veida DPI neizsekos aizliegtu saturu, ja nosūtāt pieprasījumu ar bloķētu URL uz nebloķētu IP vai ne. standarta ports.

"Pilns" DPI

Atšķirībā no “parastā” DPI, šāda veida DPI klasificē trafiku neatkarīgi no IP adreses un porta. Tādā veidā bloķētās vietnes netiks atvērtas pat tad, ja izmantojat starpniekserveri pavisam citā portā un atbloķētā IP adresē.

Izmantojot DPI

Lai nesamazinātu datu pārsūtīšanas ātrumu, jums ir jāizmanto “Normal” pasīvais DPI, kas ļauj efektīvi? bloķēt kādu? resursi, noklusējuma konfigurācija izskatās šādi:

• HTTP filtrs tikai 80. portā
• HTTPS tikai 443. portā
• BitTorrent tikai portos 6881-6889

Bet problēmas sākas, ja resurss izmantos citu portu, lai nezaudētu lietotājus, tad jums būs jāpārbauda katrs iepakojums, piemēram, varat norādīt:

• HTTP darbojas portā 80 un 8080
• HTTPS portā 443 un 8443
• BitTorrent jebkurā citā joslā

Šī iemesla dēļ jums būs jāpārslēdzas uz “Active” DPI vai jāizmanto bloķēšana, izmantojot papildu DNS serveri.

Bloķēšana, izmantojot DNS

Viens no veidiem, kā bloķēt piekļuvi resursam, ir pārtvert DNS pieprasījumu, izmantojot vietējo DNS serveri, un atgriezt lietotājam IP adresi, nevis nepieciešamo resursu. Bet tas nedod garantētu rezultātu, jo ir iespējams novērst adrešu viltošanu:

1. iespēja: saimniekdatora faila rediģēšana (darbvirsmai)

Hosts fails ir jebkuras operētājsistēmas neatņemama sastāvdaļa, kas ļauj to izmantot vienmēr. Lai piekļūtu resursam, lietotājam ir:

1. Uzziniet vajadzīgā resursa IP adresi
2. Atveriet resursdatora failu rediģēšanai (nepieciešamas administratora tiesības), kas atrodas šeit:
   • Linux: /etc/hosts
   • Windows: %WinDir%System32driversetchosts
3. Pievienojiet rindiņu šādā formātā:
4. Saglabājiet izmaiņas

Šīs metodes priekšrocība ir tās sarežģītība un prasība pēc administratora tiesībām.

2. iespēja: DoH (DNS, izmantojot HTTPS) vai DoT (DNS, izmantojot TLS)

Šīs metodes ļauj aizsargāt DNS pieprasījumu no viltošanas, izmantojot šifrēšanu, taču ieviešanu neatbalsta visas lietojumprogrammas. Apskatīsim, cik vienkārša ir DoH iestatīšana Mozilla Firefox versijai 66 no lietotāja puses:

1. Iet uz adresi about: config pārlūkprogrammā Firefox
2. Apstipriniet, ka lietotājs uzņemas visu risku
3. Maina parametra vērtību tīkls.trr.režīms par:
   • 0 - atspējot TRR
   • 1 - automātiska izvēle
   • 2 - pēc noklusējuma iespējojiet DoH
4. Mainīt parametru network.trr.uri izvēloties DNS serveri
   • Cloudflare DNS: mozilla.cloudflare-dns.com/dns-query
   • GoogleDNS: dns.google.com/experimental
5. Mainīt parametru network.trr.boostrapAddress par:
   • Ja ir atlasīts Cloudflare DNS: 1.1.1.1
   • Ja ir atlasīts Google DNS: 8.8.8.8
6. Maina parametra vērtību network.security.esni.enabled par patiess
7. Pārbaudiet, vai iestatījumi ir pareizi, izmantojot Cloudflare pakalpojums

Lai gan šī metode ir sarežģītāka, lietotājam nav nepieciešamas administratora tiesības, un ir daudz citu veidu, kā nodrošināt DNS pieprasījumu, kas nav aprakstīti šajā rakstā.

3. iespēja (mobilajām ierīcēm):

Izmantojot lietotni Cloudflare, lai android и IOS.

Testēšana

Lai pārbaudītu piekļuves trūkumu resursiem, uz laiku tika iegādāts Krievijas Federācijā bloķēts domēns:

• HTTP pārbaude + ports 80
• HTTP pārbaude + ports 8080
• HTTPS pārbaude + 443. ports
• HTTPS pārbaude + 8443. ports

Secinājums

Ceru, ka šis raksts būs noderīgs un mudinās ne tikai administratorus izprast tēmu sīkāk, bet arī sniegs izpratni, ka resursi vienmēr būs lietotāja pusē, un jaunu risinājumu meklēšanai jābūt viņu neatņemamai sastāvdaļai.

Noderīgas saites

• Šifrētā SNI standarta ieviešana pārlūkprogrammā Firefox
• Bezsaistes DPI apiešana

Papildinājums ārpus rakstaCloudflare testu nevar pabeigt Tele2 operatora tīklā, un pareizi konfigurēts DPI bloķē piekļuvi testa vietai.
P.S. Pagaidām šis ir pirmais pakalpojumu sniedzējs, kas pareizi bloķē resursus.

Avots: www.habr.com