Карактеристики на поставките за DPI

Оваа статија не опфаќа целосно прилагодување на DPI и сè што е поврзано заедно, а научната вредност на текстот е минимална. Но, тој го опишува наједноставниот начин да се заобиколи DPI, што многу компании не го земаа предвид.

Одрекување број 1: Оваа статија е од истражувачка природа и не поттикнува никого да прави или користи нешто. Идејата се заснова на лично искуство, а сите сличности се случајни.

Предупредување бр. 2: статијата не ги открива тајните на Атлантида, потрагата по Светиот Грал и другите мистерии на универзумот; целиот материјал е слободно достапен и можеби е опишан повеќе од еднаш на Хабре. (Не најдов, би бил благодарен за врската)

За оние кои ги прочитале предупредувањата, да почнеме.

Што е DPI?

DPI или Deep Packet Inspection е технологија за акумулирање статистички податоци, проверка и филтрирање мрежни пакети преку анализа на не само заглавија на пакети, туку и целосна содржина на сообраќај на нивоа на моделот OSI од второто и повисокото, што ви овозможува да откриете и блокирајте вируси, филтрирајте информации што не ги исполнуваат одредените критериуми.

Постојат два типа на DPI конекција, кои се опишани ВалдикСС на github:

Пасивен DPI

DPI поврзан со мрежата на провајдерот паралелно (не во пресек) или преку пасивен оптички разделувач, или користејќи пресликување на сообраќајот што потекнува од корисниците. Оваа врска не ја забавува брзината на мрежата на провајдерот во случај на недоволна изведба на DPI, поради што ја користат големите провајдери. DPI со овој тип на поврзување технички може само да открие обид за барање забранета содржина, но не и да го запре. За да се заобиколи ова ограничување и да се блокира пристапот до забранета локација, DPI му испраќа на корисникот кој бара блокирана URL-адреса, специјално изработен HTTP пакет со пренасочување кон никулецот на давателот, како таков одговор да е испратен од самиот баран ресурс (IP на испраќачот адресата и TCP секвенцата се фалсификувани). Бидејќи DPI е физички поблиску до корисникот отколку бараната локација, лажниот одговор стигнува до уредот на корисникот побрзо од вистинскиот одговор од страницата.

Активен DPI

Активен DPI - DPI поврзан на мрежата на провајдерот на вообичаен начин, како и секој друг мрежен уред. Давателот го конфигурира рутирањето така што DPI добива сообраќај од корисниците до блокирани IP адреси или домени, а DPI потоа одлучува дали да дозволи или блокира сообраќај. Активниот DPI може да ги проверува и појдовниот и дојдовниот сообраќај, меѓутоа, доколку давателот користи DPI само за блокирање на сајтови од регистарот, тој најчесто е конфигуриран да го проверува само појдовниот сообраќај.

Не само ефективноста на блокирањето сообраќај, туку и оптоварувањето на DPI зависи од типот на врската, така што е можно да не се скенира целиот сообраќај, туку само одредени:

„Нормално“ DPI

„Редовниот“ DPI е DPI што филтрира одреден тип сообраќај само на најчестите порти за тој тип. На пример, „обичен“ DPI открива и блокира забранет сообраќај HTTP само на портата 80, HTTPS сообраќај на портата 443. Овој тип на DPI нема да следи забранета содржина ако испратите барање со блокирана URL адреса на неблокирана IP адреса или не стандардна порта.

„Целосно“ DPI

За разлика од „редовниот“ DPI, овој тип на DPI го класифицира сообраќајот без оглед на IP адресата и портата. На овој начин, блокираните страници нема да се отворат дури и ако користите прокси-сервер на сосема друга порта и одблокирана IP адреса.

Користење на DPI

За да не ја намалите стапката на пренос на податоци, треба да користите „Нормално“ пасивно DPI, што ви овозможува ефикасно? блокирам некој? ресурси, стандардната конфигурација изгледа вака:

• HTTP филтер само на портата 80
• HTTPS само на портата 443
• BitTorrent само на портите 6881-6889

Но, проблемите почнуваат ако ресурсот ќе користи друга порта за да не ги изгуби корисниците, тогаш ќе треба да го проверите секој пакет, на пример, можете да дадете:

• HTTP работи на портите 80 и 8080
• HTTPS на портите 443 и 8443
• BitTorrent на кој било друг бенд

Поради ова, ќе мора или да се префрлите на „Активен“ DPI или да користите блокирање со помош на дополнителен DNS-сервер.

Блокирање со помош на DNS

Еден начин да се блокира пристапот до ресурс е да се пресретне барањето за DNS користејќи локален DNS сервер и да му се врати на корисникот IP адреса „никулец“ наместо потребниот ресурс. Но, ова не дава загарантиран резултат, бидејќи е можно да се спречи измама на адресата:

Опција 1: Уредување на датотеката на домаќините (за работна површина)

Датотеката на домаќините е составен дел на секој оперативен систем, што ви овозможува секогаш да ја користите. За да пристапи до ресурсот, корисникот мора:

1. Дознајте ја IP адресата на потребниот ресурс
2. Отворете ја датотеката домаќини за уредување (потребни се администраторски права), лоцирана во:
   • Linux: /etc/hosts
   • Windows: %WinDir%System32driversetchosts
3. Додадете линија во формат:
4. Зачувајте ги промените

Предноста на овој метод е неговата сложеност и барањето за администраторски права.

Опција 2: DoH (DNS преку HTTPS) или DoT (DNS преку TLS)

Овие методи ви дозволуваат да го заштитите вашето барање за DNS од измама користејќи шифрирање, но имплементацијата не е поддржана од сите апликации. Ајде да ја разгледаме леснотијата на поставување DoH за верзијата 66 на Mozilla Firefox од страната на корисникот:

1. Одете на адресата за: конфиг во Firefox
2. Потврдете дека корисникот го презема целиот ризик
3. Променете ја вредноста на параметарот мрежа.trr.режим на:
   • 0 - оневозможи TRR
   • 1 - автоматско избирање
   • 2 - стандардно овозможете DoH
4. Променете го параметарот мрежа.trr.uri избирање на DNS сервер
   • Cloudflare DNS: mozilla.cloudflare-dns.com/dns-query
   • GoogleDNS: dns.google.com/experimental
5. Променете го параметарот network.trr.boostrapAddress на:
   • Ако е избран Cloudflare DNS: 1.1.1.1
   • Ако е избран Google DNS: 8.8.8.8
6. Променете ја вредноста на параметарот мрежа.безбедност.есни.овозможено на вистина
7. Проверете дали поставките се точни со користење Услуга Cloudflare

Иако овој метод е покомплексен, не бара од корисникот да има администраторски права и има многу други начини за обезбедување на барање за DNS кои не се опишани во овој напис.

Опција 3 (за мобилни уреди):

Користење на апликацијата Cloudflare за да Андроид и IOS.

Тестирање

За да се провери недостатокот на пристап до ресурсите, привремено беше купен домен блокиран во Руската Федерација:

• Проверка на HTTP + порта 80
• Проверка на HTTP + порта 8080
• Проверка на HTTPS + порта 443
• Проверка на HTTPS + порта 8443

Заклучок

Се надевам дека оваа статија ќе биде корисна и ќе ги поттикне не само администраторите да ја разберат темата подетално, туку и ќе даде разбирање дека ресурсите секогаш ќе бидат на страната на корисникот, а потрагата по нови решенија треба да биде составен дел за нив.

Корисни линкови

• Имплементирање на шифриран SNI стандард во Firefox
• Офлајн бајпас на DPI

Додаток надвор од статијатаТестот Cloudflare не може да се заврши на мрежата на операторот Tele2, а правилно конфигуриран DPI го блокира пристапот до локацијата за тестирање.
П.С. Досега ова е првиот провајдер кој правилно ги блокира ресурсите.

Извор: www.habr.com