Оваа статија не опфаќа целосно прилагодување на DPI и сè што е поврзано заедно, а научната вредност на текстот е минимална. Но, тој го опишува наједноставниот начин да се заобиколи DPI, што многу компании не го земаа предвид.
Одрекување број 1: Оваа статија е од истражувачка природа и не поттикнува никого да прави или користи нешто. Идејата се заснова на лично искуство, а сите сличности се случајни.
Предупредување бр. 2: статијата не ги открива тајните на Атлантида, потрагата по Светиот Грал и другите мистерии на универзумот; целиот материјал е слободно достапен и можеби е опишан повеќе од еднаш на Хабре. (Не најдов, би бил благодарен за врската)
За оние кои ги прочитале предупредувањата, да почнеме.
Што е DPI?
DPI или Deep Packet Inspection е технологија за акумулирање статистички податоци, проверка и филтрирање мрежни пакети преку анализа на не само заглавија на пакети, туку и целосна содржина на сообраќај на нивоа на моделот OSI од второто и повисокото, што ви овозможува да откриете и блокирајте вируси, филтрирајте информации што не ги исполнуваат одредените критериуми.
Постојат два типа на DPI конекција, кои се опишани ВалдикССна github:
Пасивен DPI
DPI поврзан со мрежата на провајдерот паралелно (не во пресек) или преку пасивен оптички разделувач, или користејќи пресликување на сообраќајот што потекнува од корисниците. Оваа врска не ја забавува брзината на мрежата на провајдерот во случај на недоволна изведба на DPI, поради што ја користат големите провајдери. DPI со овој тип на поврзување технички може само да открие обид за барање забранета содржина, но не и да го запре. За да се заобиколи ова ограничување и да се блокира пристапот до забранета локација, DPI му испраќа на корисникот кој бара блокирана URL-адреса, специјално изработен HTTP пакет со пренасочување кон никулецот на давателот, како таков одговор да е испратен од самиот баран ресурс (IP на испраќачот адресата и TCP секвенцата се фалсификувани). Бидејќи DPI е физички поблиску до корисникот отколку бараната локација, лажниот одговор стигнува до уредот на корисникот побрзо од вистинскиот одговор од страницата.
Активен DPI
Активен DPI - DPI поврзан на мрежата на провајдерот на вообичаен начин, како и секој друг мрежен уред. Давателот го конфигурира рутирањето така што DPI добива сообраќај од корисниците до блокирани IP адреси или домени, а DPI потоа одлучува дали да дозволи или блокира сообраќај. Активниот DPI може да ги проверува и појдовниот и дојдовниот сообраќај, меѓутоа, доколку давателот користи DPI само за блокирање на сајтови од регистарот, тој најчесто е конфигуриран да го проверува само појдовниот сообраќај.
Не само ефективноста на блокирањето сообраќај, туку и оптоварувањето на DPI зависи од типот на врската, така што е можно да не се скенира целиот сообраќај, туку само одредени:
„Нормално“ DPI
„Редовниот“ DPI е DPI што филтрира одреден тип сообраќај само на најчестите порти за тој тип. На пример, „обичен“ DPI открива и блокира забранет сообраќај HTTP само на портата 80, HTTPS сообраќај на портата 443. Овој тип на DPI нема да следи забранета содржина ако испратите барање со блокирана URL адреса на неблокирана IP адреса или не стандардна порта.
„Целосно“ DPI
За разлика од „редовниот“ DPI, овој тип на DPI го класифицира сообраќајот без оглед на IP адресата и портата. На овој начин, блокираните страници нема да се отворат дури и ако користите прокси-сервер на сосема друга порта и одблокирана IP адреса.
Користење на DPI
За да не ја намалите стапката на пренос на податоци, треба да користите „Нормално“ пасивно DPI, што ви овозможува ефикасно? блокирам некој? ресурси, стандардната конфигурација изгледа вака:
HTTP филтер само на портата 80
HTTPS само на портата 443
BitTorrent само на портите 6881-6889
Но, проблемите почнуваат ако ресурсот ќе користи друга порта за да не ги изгуби корисниците, тогаш ќе треба да го проверите секој пакет, на пример, можете да дадете:
HTTP работи на портите 80 и 8080
HTTPS на портите 443 и 8443
BitTorrent на кој било друг бенд
Поради ова, ќе мора или да се префрлите на „Активен“ DPI или да користите блокирање со помош на дополнителен DNS-сервер.
Блокирање со помош на DNS
Еден начин да се блокира пристапот до ресурс е да се пресретне барањето за DNS користејќи локален DNS сервер и да му се врати на корисникот IP адреса „никулец“ наместо потребниот ресурс. Но, ова не дава загарантиран резултат, бидејќи е можно да се спречи измама на адресата:
Опција 1: Уредување на датотеката на домаќините (за работна површина)
Датотеката на домаќините е составен дел на секој оперативен систем, што ви овозможува секогаш да ја користите. За да пристапи до ресурсот, корисникот мора:
Дознајте ја IP адресата на потребниот ресурс
Отворете ја датотеката домаќини за уредување (потребни се администраторски права), лоцирана во:
Linux: /etc/hosts
Windows: %WinDir%System32driversetchosts
Додадете линија во формат:
Зачувајте ги промените
Предноста на овој метод е неговата сложеност и барањето за администраторски права.
Опција 2: DoH (DNS преку HTTPS) или DoT (DNS преку TLS)
Овие методи ви дозволуваат да го заштитите вашето барање за DNS од измама користејќи шифрирање, но имплементацијата не е поддржана од сите апликации. Ајде да ја разгледаме леснотијата на поставување DoH за верзијата 66 на Mozilla Firefox од страната на корисникот:
Иако овој метод е покомплексен, не бара од корисникот да има администраторски права и има многу други начини за обезбедување на барање за DNS кои не се опишани во овој напис.
Опција 3 (за мобилни уреди):
Користење на апликацијата Cloudflare за да Андроид и IOS.
Тестирање
За да се провери недостатокот на пристап до ресурсите, привремено беше купен домен блокиран во Руската Федерација:
Се надевам дека оваа статија ќе биде корисна и ќе ги поттикне не само администраторите да ја разберат темата подетално, туку и ќе даде разбирање дека ресурсите секогаш ќе бидат на страната на корисникот, а потрагата по нови решенија треба да биде составен дел за нив.
Додаток надвор од статијатаТестот Cloudflare не може да се заврши на мрежата на операторот Tele2, а правилно конфигуриран DPI го блокира пристапот до локацијата за тестирање.
П.С. Досега ова е првиот провајдер кој правилно ги блокира ресурсите.