Ity lahatsoratra ity dia tsy mirakitra ny fanitsiana DPI feno sy ny zava-drehetra mifandray, ary kely indrindra ny lanjan'ny siantifika amin'ny lahatsoratra. Saingy mamaritra ny fomba tsotra indrindra handosirana ny DPI, izay tsy noraisin'ny orinasa maro.
Disclaimer #1: Ity lahatsoratra ity dia natao fikarohana ary tsy mamporisika na iza na iza hanao na hampiasa na inona na inona. Ny hevitra dia mifototra amin'ny traikefa manokana, ary ny fitoviana rehetra dia kisendrasendra.
Fampitandremana No. 2: ny lahatsoratra dia tsy manambara ny tsiambaratelon'ny Atlantis, ny fitadiavana ny Holy Grail sy ny mistery hafa amin'izao tontolo izao; azo alaina maimaim-poana ny fitaovana rehetra ary mety ho nofaritana mihoatra ny indray mandeha ao amin'ny Habré. (Tsy hitako izany, ho velom-pankasitrahana aho noho ny rohy)
Ho an'ireo izay efa namaky ny fampitandremana, andao hanomboka.
Inona no atao hoe DPI?
DPI na Deep Packet Inspection dia teknôlôjia hanangonana angon-drakitra statistika, fisavana sy fanivanana ny fonosana tambajotra amin'ny alàlan'ny famakafakana tsy ny lohatenin'ny fonosana, fa koa ny votoatin'ny fifamoivoizana amin'ny haavon'ny modely OSI manomboka amin'ny faharoa sy ambony, izay ahafahanao mamantatra sy sakana ny viriosy, sivana vaovao tsy mahafeno fepetra voafaritra .
Misy karazany roa ny fifandraisana DPI, izay voalaza :
DPI passive
DPI mifandray amin'ny tambajotran'ny mpamatsy mifanandrify (tsy tapaka) na amin'ny alàlan'ny splitter optika passive, na amin'ny fampiasana fitaratra amin'ny fifamoivoizana avy amin'ny mpampiasa. Ity fifandraisana ity dia tsy mampiadana ny hafainganam-pandehan'ny tambajotran'ny mpamatsy raha toa ka tsy ampy ny fahombiazan'ny DPI, ka izany no antony ampiasain'ny mpamatsy lehibe. Ny DPI amin'ity karazana fifandraisana ity dia afaka mahita ara-teknika fotsiny ny fikasana hangataka votoaty voarara, fa tsy manakana izany. Mba hialana amin'ity famerana ity sy hanakanana ny fidirana amin'ny tranokala voarara, dia mandefa fonosana HTTP noforonina manokana amin'ny mpampiasa ny DPI mangataka URL voasakana miaraka amin'ny fandefasana mankany amin'ny pejin'ny mpanome tolotra, toy ny hoe nalefan'ny loharano nangatahana mihitsy ny valinteny toy izany (ny Ny adiresy IP sy ny filaharan'ny TCP dia hosoka). Satria ny DPI dia akaiky kokoa ny mpampiasa noho ny toerana nangatahana, ny valin-kafatra voasoloky dia tonga any amin'ny fitaovan'ny mpampiasa haingana kokoa noho ny tena valiny avy amin'ny tranokala.
DPI mavitrika
DPI mavitrika - DPI mifandray amin'ny tambajotran'ny mpamatsy amin'ny fomba mahazatra, toy ny fitaovana tambajotra hafa. Ny mpamatsy dia manitsy ny lalana mba handraisan'ny DPI fifamoivoizana avy amin'ny mpampiasa mankany amin'ny adiresy IP na sehatra voasakana, ary avy eo dia manapa-kevitra ny DPI na hamela na hanakana ny fifamoivoizana. Ny DPI mavitrika dia afaka manara-maso ny fifamoivoizana mivoaka sy miditra, na izany aza, raha mampiasa DPI fotsiny ny mpanome tolotra mba hanakanana ny tranokala amin'ny rejisitra, dia matetika izy io no namboarina mba hijery ny fifamoivoizana mivoaka fotsiny.
Tsy ny fahombiazan'ny fanakanana ny fifamoivoizana ihany, fa ny enta-mavesatra amin'ny DPI dia miankina amin'ny karazana fifandraisana, noho izany dia azo atao ny tsy mijery ny fifamoivoizana rehetra, fa ny sasany ihany:
"Normal" DPI
DPI "mahazatra" dia DPI izay manivana karazana fifamoivoizana sasany amin'ny seranana mahazatra indrindra amin'io karazana io ihany. Ohatra, ny DPI "ara-dalàna" dia mahita sy manakana ny fifamoivoizana HTTP voarara amin'ny seranana 80, ny fifamoivoizana HTTPS amin'ny seranan-tsambo 443. Ity karazana DPI ity dia tsy hanara-maso ny votoaty voarara raha mandefa fangatahana miaraka amin'ny URL voasakana amin'ny IP tsy voasakana na tsy- seranan-tsambo manara-penitra.
DPI "feno".
Tsy toy ny DPI "mahazatra", ity karazana DPI ity dia manasokajy ny fifamoivoizana na inona na inona adiresy IP sy seranan-tsambo. Amin'izany fomba izany dia tsy hisokatra ny tranokala voasakana na dia mampiasa mpizara proxy aza ianao amin'ny seranana hafa tanteraka sy adiresy IP tsy voasakana.
Mampiasa DPI
Mba tsy hampihenana ny tahan'ny famindrana angon-drakitra, dia mila mampiasa DPI passive "Normal", izay ahafahanao mahomby? sakana any? loharanon-karena, ny configuration default dia toy izao:
- Sivana HTTP amin'ny seranana 80 ihany
- HTTPS amin'ny port 443 ihany
- BitTorrent amin'ny port 6881-6889 ihany
Saingy manomboka ny olana raha hampiasa seranana hafa ny loharano mba tsy hahavery ny mpampiasa, dia tsy maintsy manamarina ny fonosana tsirairay ianao, ohatra azonao omena:
- Ny HTTP dia miasa amin'ny port 80 sy 8080
- HTTPS amin'ny port 443 sy 8443
- BitTorrent amin'ny tarika hafa
Noho izany dia tsy maintsy mifindra amin'ny DPI "Active" ianao na mampiasa fanakanana mampiasa mpizara DNS fanampiny.
Fanakanana mampiasa DNS
Ny fomba iray hanakanana ny fidirana amin'ny loharano iray dia ny manakana ny fangatahana DNS amin'ny fampiasana mpizara DNS eo an-toerana ary mamerina ny adiresy IP "stub" ho an'ny mpampiasa fa tsy ny loharano ilaina. Saingy tsy manome vokatra azo antoka izany, satria azo atao ny misoroka ny fandrobana adiresy:
Safidy 1: Fanovana ny rakitra mpampiantrano (ho an'ny desktop)
Ny rakitra mpampiantrano dia ampahany manan-danja amin'ny rafitra fiasa rehetra, izay ahafahanao mampiasa azy foana. Mba hidirana amin'ny loharano, ny mpampiasa dia tsy maintsy:
- Fantaro ny adiresy IP an'ny loharano ilaina
- Sokafy ny rakitra mpampiantrano ho an'ny fanitsiana (takina ny zon'ny mpitantana), hita ao amin'ny:
- Linux: /etc/hosts
- Windows: %WinDir%System32driversthosts
- Manampia tsipika amin'ny endrika:
- Tehirizo ireo fanovana
Ny tombony amin'ity fomba ity dia ny fahasarotany sy ny fitakiana ny zon'ny mpitantana.
Safidy 2: DoH (DNS amin'ny HTTPS) na DoT (DNS amin'ny TLS)
Ireo fomba ireo dia ahafahanao miaro ny fangatahanao DNS amin'ny fanodinkodinana amin'ny fampiasana encryption, saingy tsy tohanan'ny fampiharana rehetra ny fampiharana. Andeha hojerentsika ny fanamorana ny fametrahana ny DoH ho an'ny Mozilla Firefox version 66 avy amin'ny mpampiasa:
- Mandehana any amin'ny adiresy amin'ny Firefox
- Hamafiso fa ny mpampiasa dia mandray ny risika rehetra
- Hanova ny sandan'ny paramètre network.trr.mode on:
- 0 - esory ny TRR
- 1 - safidy mandeha ho azy
- 2 - avelao ny DoH amin'ny alàlan'ny default
- Hanova paramètre network.trr.uri mifidy mpizara DNS
- Cloudflare DNS:
- GoogleDNS:
- Hanova paramètre network.trr.boostrapAddress on:
- Raha voafidy ny Cloudflare DNS: 1.1.1.1
- Raha voafidy ny Google DNS: 8.8.8.8
- Hanova ny sandan'ny paramètre network.security.esni.enabled amin'ny marina
- Hamarino fa marina ny fampiasa amin'ny fampiasana
Na dia sarotra kokoa aza ity fomba ity, dia tsy mitaky ny zon'ny mpitantana ny mpampiasa, ary misy fomba maro hafa hiantohana ny fangatahana DNS izay tsy voalaza ato amin'ity lahatsoratra ity.
Safidy 3 (ho an'ny fitaovana finday):
Mampiasa ny fampiharana Cloudflare mba и .
fitiliana
Mba hanamarinana ny tsy fahampian'ny fidirana amin'ny loharanon-karena dia novidina vonjimaika ny sehatra voasakana tao amin'ny Federasiona Rosiana:
famaranana
Manantena aho fa hahasoa ity lahatsoratra ity ary tsy hamporisika ny mpitantana fotsiny hahatakatra ny lohahevitra amin'ny antsipiriany bebe kokoa, fa hanome fahatakarana koa izany. ny loharanon-karena dia ho eo amin'ny lafin'ny mpampiasa, ary ny fitadiavana vahaolana vaovao dia tokony ho ampahany manan-danja amin'izy ireo.
rohy mahasoa
Fanampiny ivelan'ny lahatsoratraNy fitsapana Cloudflare dia tsy vita amin'ny tambajotran'ny mpandraharaha Tele2, ary ny DPI voalamina tsara dia manakana ny fidirana amin'ny tranokala fitsapana.
P.S. Hatreto dia io no mpamatsy voalohany nanakana ny loharanon-karena.
Source: www.habr.com