DPI тохиргооны онцлогууд

Энэ нийтлэлд бүрэн DPI тохируулга болон хоорондоо холбогдсон бүх зүйлийг тусгаагүй бөгөөд текстийн шинжлэх ухааны үнэ цэнэ хамгийн бага юм. Гэхдээ энэ нь олон компаниуд анхаарч үзээгүй DPI-ийг тойрч гарах хамгийн энгийн аргыг тайлбарласан болно.

Анхааруулга №1: Энэхүү нийтлэл нь судалгааны шинж чанартай бөгөөд хэн нэгнийг юу ч хийх, ашиглахыг уриалаагүй болно. Энэ санаа нь хувийн туршлага дээр үндэслэсэн бөгөөд аливаа ижил төстэй байдал нь санамсаргүй байдлаар тохиолддог.

Анхааруулга №2: Нийтлэлд Атлантисын нууц, Ариун Граил хайлт болон орчлон ертөнцийн бусад нууцыг задруулаагүй, бүх материалыг чөлөөтэй авах боломжтой бөгөөд Хабре дээр нэгээс олон удаа тайлбарласан байж магадгүй юм. (Би үүнийг олсонгүй, би холбоосыг өгсөнд талархах болно)

Анхааруулгыг уншсан хүмүүст зориулж эхэлцгээе.

DPI гэж юу вэ?

DPI буюу Deep Packet Inspection нь статистик мэдээлэл хуримтлуулах, сүлжээний пакетуудыг шалгах, шүүх технологи бөгөөд зөвхөн пакетийн толгойг төдийгүй OSI загварын XNUMX ба түүнээс дээш түвшний траффикийн бүрэн агуулгыг шинжилж, илрүүлж, илрүүлэх боломжийг олгодог. вирусыг блоклох, заасан шалгуурыг хангаагүй мэдээллийг шүүх .

Хоёр төрлийн DPI холболт байдаг бөгөөд тэдгээрийг тайлбарласан болно ValdikSS github дээр:

Идэвхгүй DPI

DPI нь идэвхгүй оптик задлагчаар эсвэл хэрэглэгчээс ирж буй траффикийн толин тусгал ашиглан үйлчилгээ үзүүлэгчийн сүлжээнд зэрэгцэн холбогдсон (заавал биш). Энэ холболт нь DPI-ийн гүйцэтгэл хангалтгүй тохиолдолд үйлчилгээ үзүүлэгчийн сүлжээний хурдыг удаашруулдаггүй тул томоохон үйлчилгээ үзүүлэгчид үүнийг ашигладаг. Энэ төрлийн холболттой DPI нь зөвхөн хориотой контентыг хүсэх оролдлогыг техникийн хувьд илрүүлж чадна, гэхдээ үүнийг зогсоож чадахгүй. Энэхүү хязгаарлалтыг давж, хориотой сайт руу нэвтрэхийг хориглохын тулд DPI нь блоклогдсон URL хаягийг хүссэн хэрэглэгч рүү тусгайлан боловсруулсан HTTP пакетийг үйлчилгээ үзүүлэгчийн stub хуудас руу чиглүүлж илгээдэг. хаяг болон TCP дараалал хуурамч байна). DPI нь хүссэн сайтаас илүү хэрэглэгчтэй ойр байдаг тул хуурамч хариулт нь тухайн сайтын бодит хариултаас илүү хурдан хэрэглэгчийн төхөөрөмжид хүрдэг.

Идэвхтэй DPI

Идэвхтэй DPI - бусад сүлжээний төхөөрөмжийн нэгэн адил үйлчилгээ үзүүлэгчийн сүлжээнд ердийн аргаар холбогдсон DPI. Үйлчилгээ үзүүлэгч нь чиглүүлэлтийн тохиргоог хийдэг бөгөөд ингэснээр DPI нь блоклогдсон IP хаягууд эсвэл домайнууд руу хэрэглэгчдээс траффик хүлээн авах ба DPI нь траффикийг зөвшөөрөх эсвэл хаах эсэхээ шийддэг. Идэвхтэй DPI нь гарч байгаа болон ирж буй траффикийг хоёуланг нь шалгаж чаддаг боловч хэрэв үйлчилгээ үзүүлэгч нь DPI-г зөвхөн бүртгэлээс сайтуудыг хаахын тулд ашигладаг бол ихэнхдээ зөвхөн гарч буй траффикийг шалгахаар тохируулагдсан байдаг.

Зөвхөн замын хөдөлгөөнийг хаах үр нөлөө төдийгүй DPI-ийн ачаалал нь холболтын төрлөөс хамаардаг тул бүх траффикийг сканнердах боломжгүй, зөвхөн заримыг нь сканнердах боломжтой.

"Хэвийн" DPI

"Энгийн" DPI нь тодорхой төрлийн траффикийг зөвхөн тухайн төрлийн хамгийн түгээмэл портууд дээр шүүдэг DPI юм. Жишээлбэл, "энгийн" DPI нь зөвхөн 80-р порт дээр, HTTPS-ийн урсгалыг 443-р порт дээр илрүүлж, блоклодог. Хэрэв та блоклогдсон URL-тай хүсэлтийг блокоос гаргаагүй IP руу илгээвэл энэ төрлийн DPI нь хориглосон контентыг хянахгүй. стандарт порт.

"Бүрэн" DPI

"Ердийн" DPI-ээс ялгаатай нь энэ төрлийн DPI нь IP хаяг болон портоос үл хамааран урсгалыг ангилдаг. Ингэснээр та огт өөр порт болон блокоос гарсан IP хаяг дээр прокси сервер ашиглаж байсан ч хаагдсан сайтууд нээгдэхгүй.

DPI ашиглаж байна

Өгөгдөл дамжуулах хурдыг бууруулахгүйн тулд та "Хэвийн" идэвхгүй DPI ашиглах хэрэгтэй бөгөөд энэ нь танд үр дүнтэй ажиллах боломжийг олгодог. аль нэгийг нь хаах уу? нөөцийн хувьд өгөгдмөл тохиргоо дараах байдалтай байна.

• Зөвхөн 80 порт дээр HTTP шүүлтүүр
• HTTPS зөвхөн 443 порт дээр
• BitTorrent нь зөвхөн 6881-6889 портууд дээр

Гэхдээ асуудал эхэлнэ нөөц нь хэрэглэгчдийг алдахгүйн тулд өөр порт ашиглах болно, дараа нь та багц бүрийг шалгах хэрэгтэй болно, жишээ нь та дараахийг өгч болно:

• HTTP нь 80 ба 8080 порт дээр ажилладаг
• 443 ба 8443 порт дээрх HTTPS
• BitTorrent өөр ямар ч хамтлаг дээр

Үүнээс болж та "Идэвхтэй" DPI руу шилжих эсвэл нэмэлт DNS сервер ашиглан блоклох шаардлагатай болно.

DNS ашиглан хаах

Нөөц рүү хандах хандалтыг хаах нэг арга бол локал DNS сервер ашиглан DNS хүсэлтийг таслан зогсоож, хэрэглэгчдэд шаардлагатай эх сурвалжаас илүү "sub" IP хаягийг буцааж өгөх явдал юм. Гэхдээ энэ нь баталгаатай үр дүнг өгөхгүй, учир нь хаягийг хуурамчаар үйлдэхээс урьдчилан сэргийлэх боломжтой.

Сонголт 1: Хост файлыг засварлах (ширээний компьютерт)

Хост файл нь аливаа үйлдлийн системийн салшгүй хэсэг бөгөөд үүнийг үргэлж ашиглах боломжийг олгодог. Нөөцөд хандахын тулд хэрэглэгч дараахь зүйлийг хийх ёстой.

1. Шаардлагатай нөөцийн IP хаягийг олж мэдээрэй
2. Засварлахын тулд хост файлыг нээнэ үү (администраторын эрх шаардлагатай).
   • Линукс: /etc/hosts
   • Windows: %WinDir%System32driversetchosts
3. Форматаар мөр нэмнэ үү: <нөөцийн нэр>
4. Өөрчлөлтүүдийг хадгалах

Энэ аргын давуу тал нь түүний нарийн төвөгтэй байдал, администраторын эрхийн шаардлага юм.

Сонголт 2: DoH (HTTPS дээр DNS) эсвэл DoT (TLS дээр DNS)

Эдгээр аргууд нь шифрлэлт ашиглан DNS хүсэлтээ хууран мэхлэхээс хамгаалах боломжийг олгодог боловч хэрэгжилтийг бүх програмууд дэмждэггүй. Хэрэглэгчийн талаас Mozilla Firefox-ын 66-р хувилбарт DoH-г тохируулах хялбар байдлыг харцгаая.

1. хаяг руу оч тухай: config Firefox дээр
2. Хэрэглэгч бүх эрсдэлийг хүлээж байгаа эсэхийг баталгаажуулна уу
3. Параметрийн утгыг өөрчлөх network.trr.mode дээр:
   • 0 - TRR-г идэвхгүй болгох
   • 1 - автомат сонголт
   • 2 - DoH-г анхдагчаар идэвхжүүлнэ
4. Параметрийг өөрчлөх network.trr.uri DNS серверийг сонгох
   • Cloudflare DNS: mozilla.cloudflare-dns.com/dns-query
   • GoogleDNS: dns.google.com/experimental
5. Параметрийг өөрчлөх network.trr.boostrapAddress дээр:
   • Cloudflare DNS сонгосон бол: 1.1.1.1
   • Хэрэв Google DNS сонгосон бол: 8.8.8.8
6. Параметрийн утгыг өөрчлөх network.security.esni.enabled тухай үнэн
7. Тохиргоог ашиглан зөв эсэхийг шалгана уу Cloudflare үйлчилгээ

Хэдийгээр энэ арга нь илүү төвөгтэй боловч хэрэглэгчээс администраторын эрхтэй байхыг шаарддаггүй бөгөөд DNS хүсэлтийг хамгаалах өөр олон арга байдаг бөгөөд үүнийг энэ зүйлд тайлбарлаагүй болно.

Сонголт 3 (хөдөлгөөнт төхөөрөмжийн хувьд):

Cloudflare програмыг ашиглан Android и IOS.

Тест хийх

Нөөцөд нэвтрэх эрхгүй байгаа эсэхийг шалгахын тулд ОХУ-д хаагдсан домэйныг түр хугацаагаар худалдаж авсан.

• HTTP шалгах + порт 80
• HTTP шалгах + порт 8080
• HTTPS шалгах + порт 443
• HTTPS шалгах + порт 8443

дүгнэлт

Энэ нийтлэл нь хэрэг болно гэж найдаж байна, зөвхөн админуудад сэдвийг илүү нарийвчлан ойлгоход түлхэц өгөхөөс гадна энэ талаар ойлголт өгөх болно. нөөц нь үргэлж хэрэглэгчийн талд байх бөгөөд шинэ шийдлүүдийг хайх нь тэдний хувьд салшгүй хэсэг байх ёстой.

Ашигтай холбоосууд

• Firefox дээр шифрлэгдсэн SNI стандартыг хэрэгжүүлж байна
• Офлайн DPI тойрч гарах

Өгүүллийн гаднах нэмэлтCloudflare тестийг Tele2 операторын сүлжээнд дуусгах боломжгүй бөгөөд зөв тохируулсан DPI нь туршилтын сайт руу нэвтрэх боломжийг хаадаг.
Жич Энэ бол нөөцийг зөв блоклосон анхны үйлчилгээ үзүүлэгч юм.

Эх сурвалж: www.habr.com