Ciri tetapan DPI

Artikel ini tidak merangkumi pelarasan DPI penuh dan semua yang disambungkan bersama, dan nilai saintifik teks adalah minimum. Tetapi ia menerangkan cara paling mudah untuk memintas DPI, yang tidak diambil kira oleh banyak syarikat.

Penafian #1: Artikel ini bersifat penyelidikan dan tidak menggalakkan sesiapa untuk melakukan atau menggunakan apa-apa. Idea ini berdasarkan pengalaman peribadi, dan sebarang persamaan adalah rawak.

Amaran No. 2: artikel itu tidak mendedahkan rahsia Atlantis, pencarian Holy Grail dan misteri alam semesta yang lain; semua bahan tersedia secara percuma dan mungkin telah diterangkan lebih daripada sekali di Habré. (Saya tidak menjumpainya, saya akan berterima kasih atas pautan itu)

Bagi mereka yang telah membaca amaran, mari kita mulakan.

Apakah DPI?

DPI atau Deep Packet Inspection ialah teknologi untuk mengumpul data statistik, menyemak dan menapis paket rangkaian dengan menganalisis bukan sahaja pengepala paket, tetapi juga kandungan penuh trafik pada tahap model OSI dari yang kedua dan lebih tinggi, yang membolehkan anda mengesan dan menyekat virus, menapis maklumat yang tidak memenuhi kriteria yang ditetapkan .

Terdapat dua jenis sambungan DPI, yang diterangkan ValdikSS pada github:

DPI pasif

DPI disambungkan ke rangkaian pembekal secara selari (bukan dalam potongan) sama ada melalui pembahagi optik pasif, atau menggunakan pencerminan trafik yang berasal daripada pengguna. Sambungan ini tidak memperlahankan kelajuan rangkaian pembekal sekiranya prestasi DPI tidak mencukupi, itulah sebabnya ia digunakan oleh pembekal besar. DPI dengan jenis sambungan ini secara teknikal hanya dapat mengesan percubaan untuk meminta kandungan terlarang, tetapi tidak menghentikannya. Untuk memintas sekatan ini dan menyekat akses ke tapak yang dilarang, DPI menghantar pengguna yang meminta URL disekat paket HTTP yang direka khas dengan ubah hala ke halaman rintisan penyedia, seolah-olah respons sedemikian dihantar oleh sumber yang diminta itu sendiri (IP pengirim alamat dan urutan TCP dipalsukan). Oleh kerana DPI secara fizikalnya lebih dekat dengan pengguna berbanding tapak yang diminta, respons palsu sampai ke peranti pengguna lebih cepat daripada respons sebenar daripada tapak tersebut.

DPI aktif

DPI Aktif - DPI disambungkan ke rangkaian pembekal dengan cara biasa, seperti mana-mana peranti rangkaian lain. Pembekal mengkonfigurasi penghalaan supaya DPI menerima trafik daripada pengguna ke alamat IP atau domain yang disekat, dan DPI kemudian memutuskan sama ada untuk membenarkan atau menyekat trafik. DPI aktif boleh memeriksa kedua-dua trafik keluar dan masuk, namun, jika pembekal menggunakan DPI hanya untuk menyekat tapak daripada pendaftaran, ia selalunya dikonfigurasikan untuk memeriksa trafik keluar sahaja.

Bukan sahaja keberkesanan penyekatan lalu lintas, tetapi juga beban pada DPI bergantung pada jenis sambungan, jadi adalah mungkin untuk tidak mengimbas semua lalu lintas, tetapi hanya yang tertentu:

DPI "Biasa".

DPI "biasa" ialah DPI yang menapis jenis trafik tertentu hanya pada port paling biasa untuk jenis itu. Sebagai contoh, DPI "biasa" mengesan dan menyekat trafik HTTP yang dilarang hanya pada port 80, trafik HTTPS pada port 443. DPI jenis ini tidak akan menjejaki kandungan yang dilarang jika anda menghantar permintaan dengan URL yang disekat ke IP yang tidak disekat atau bukan- pelabuhan standard.

DPI "Penuh".

Tidak seperti DPI "biasa", DPI jenis ini mengklasifikasikan trafik tanpa mengira alamat IP dan port. Dengan cara ini, tapak yang disekat tidak akan dibuka walaupun anda menggunakan pelayan proksi pada port yang berbeza sama sekali dan alamat IP yang dinyahsekat.

Menggunakan DPI

Untuk tidak mengurangkan kadar pemindahan data, anda perlu menggunakan DPI pasif "Normal", yang membolehkan anda melakukannya dengan berkesan? sekat mana-mana? sumber, konfigurasi lalai kelihatan seperti ini:

• Penapis HTTP hanya pada port 80
• HTTPS hanya pada port 443
• BitTorrent hanya pada port 6881-6889

Tetapi masalah bermula jika sumber akan menggunakan port yang berbeza supaya tidak kehilangan pengguna, maka anda perlu menyemak setiap pakej, contohnya anda boleh memberikan:

• HTTP berfungsi pada port 80 dan 8080
• HTTPS pada port 443 dan 8443
• BitTorrent pada mana-mana band lain

Oleh sebab itu, anda perlu sama ada bertukar kepada DPI "Aktif" atau menggunakan penyekatan menggunakan pelayan DNS tambahan.

Menyekat menggunakan DNS

Satu cara untuk menyekat akses kepada sumber ialah memintas permintaan DNS menggunakan pelayan DNS tempatan dan mengembalikan alamat IP "stub" kepada pengguna dan bukannya sumber yang diperlukan. Tetapi ini tidak memberikan hasil yang terjamin, kerana adalah mungkin untuk mengelakkan penipuan alamat:

Pilihan 1: Mengedit fail hos (untuk desktop)

Fail hos adalah bahagian penting dalam mana-mana sistem pengendalian, yang membolehkan anda sentiasa menggunakannya. Untuk mengakses sumber, pengguna mesti:

1. Ketahui alamat IP sumber yang diperlukan
2. Buka fail hos untuk diedit (hak pentadbir diperlukan), terletak di:
   • Linux: /etc/hosts
   • Windows: %WinDir%System32driversthosts
3. Tambah baris dalam format:
4. Simpan perubahan

Kelebihan kaedah ini adalah kerumitannya dan keperluan untuk hak pentadbir.

Pilihan 2: DoH (DNS melalui HTTPS) atau DoT (DNS melalui TLS)

Kaedah ini membolehkan anda melindungi permintaan DNS anda daripada menipu menggunakan penyulitan, tetapi pelaksanaannya tidak disokong oleh semua aplikasi. Mari kita lihat kemudahan menyediakan DoH untuk Mozilla Firefox versi 66 dari sisi pengguna:

1. Pergi ke alamat about: config dalam Firefox
2. Sahkan bahawa pengguna menanggung semua risiko
3. Tukar nilai parameter rangkaian.trr.mod pada:
   • 0 — lumpuhkan TRR
   • 1 - pemilihan automatik
   • 2 - dayakan DoH secara lalai
4. Tukar parameter rangkaian.trr.uri memilih pelayan DNS
   • DNS Cloudflare: mozilla.cloudflare-dns.com/dns-query
   • DNS Google: dns.google.com/experimental
5. Tukar parameter network.trr.boostrapAddress pada:
   • Jika DNS Cloudflare dipilih: 1.1.1.1
   • Jika DNS Google dipilih: 8.8.8.8
6. Tukar nilai parameter network.security.esni.enabled pada benar
7. Semak sama ada tetapan adalah betul menggunakan Perkhidmatan Cloudflare

Walaupun kaedah ini lebih kompleks, ia tidak memerlukan pengguna untuk mempunyai hak pentadbir, dan terdapat banyak cara lain untuk menjamin permintaan DNS yang tidak diterangkan dalam artikel ini.

Pilihan 3 (untuk peranti mudah alih):

Menggunakan apl Cloudflare untuk Android и IOS.

Ujian

Untuk menyemak kekurangan akses kepada sumber, domain yang disekat di Persekutuan Rusia telah dibeli buat sementara waktu:

• Semakan HTTP + port 80
• Semakan HTTP + port 8080
• Semakan HTTPS + port 443
• Semakan HTTPS + port 8443

Kesimpulan

Saya berharap artikel ini berguna dan akan menggalakkan bukan sahaja pentadbir untuk memahami topik dengan lebih terperinci, tetapi juga akan memberi pemahaman bahawa sumber akan sentiasa berada di pihak pengguna, dan pencarian untuk penyelesaian baharu harus menjadi bahagian penting bagi mereka.

Pautan berguna

• Melaksanakan standard SNI Disulitkan dalam Firefox
• Pintas DPI luar talian

Tambahan di luar artikelUjian Cloudflare tidak dapat diselesaikan pada rangkaian operator Tele2, dan DPI yang dikonfigurasikan dengan betul menghalang akses ke tapak ujian.
P.S. Setakat ini ini adalah penyedia pertama yang menyekat sumber dengan betul.

Sumber: www.habr.com