Dan l-artikolu ma jkoprix l-aġġustament sħiħ tad-DPI u dak kollu konness flimkien, u l-valur xjentifiku tat-test huwa minimu. Iżda jiddeskrivi l-aktar mod sempliċi biex tevita d-DPI, li ħafna kumpaniji ma kkunsidrawx.
Ċaħda #1: Dan l-artikolu huwa ta 'natura ta' riċerka u ma jħeġġeġ lil ħadd biex jagħmel jew juża xi ħaġa. L-idea hija bbażata fuq esperjenza personali, u kwalunkwe xebh huwa każwali.
Twissija Nru 2: l-artiklu ma jiżvelax is-sigrieti ta 'Atlantis, it-tfittxija għall-Gral Imqaddes u misteri oħra tal-univers; il-materjal kollu huwa disponibbli b'xejn u jista' jkun ġie deskritt aktar minn darba fuq Habré. (Ma sibtx, inkun grat tal-link)
Għal dawk li qraw it-twissijiet, ejja nibdew.
X'inhu DPI?
DPI jew Deep Packet Inspection hija teknoloġija għall-akkumulazzjoni tad-dejta statistika, l-iċċekkjar u l-iffiltrar tal-pakketti tan-netwerk billi tanalizza mhux biss headers tal-pakketti, iżda wkoll il-kontenut sħiħ tat-traffiku f'livelli tal-mudell OSI mit-tieni u ogħla, li jippermettilek tiskopri u jimblokka l-viruses, iffiltra informazzjoni li ma tissodisfax kriterji speċifikati .
Hemm żewġ tipi ta 'konnessjoni DPI, li huma deskritti ValdikSSfuq github:
DPI passiv
DPI konness man-netwerk tal-fornitur b'mod parallel (mhux f'qatgħa) jew permezz ta 'splitter ottiku passiv, jew bl-użu ta' riflessjoni tat-traffiku li joriġina mill-utenti. Din il-konnessjoni ma tnaqqasx il-veloċità tan-netwerk tal-fornitur f'każ ta 'prestazzjoni DPI insuffiċjenti, u huwa għalhekk li tintuża minn fornituri kbar. DPI b'dan it-tip ta' konnessjoni teknikament jista' jiskopri biss tentattiv biex jitlob kontenut ipprojbit, iżda mhux iwaqqafh. Biex taqbeż din ir-restrizzjoni u timblokka l-aċċess għal sit ipprojbit, DPI jibgħat lill-utent li jitlob URL imblukkat pakkett HTTP magħmul apposta b'redirect lejn il-paġna stub tal-fornitur, bħallikieku tweġiba bħal din intbagħtet mir-riżors mitlub innifsu (l-IP tal-mittent. l-indirizz u s-sekwenza TCP huma falsifikati). Minħabba li d-DPI huwa fiżikament eqreb lejn l-utent mis-sit mitlub, ir-rispons spoofed jilħaq l-apparat tal-utent aktar malajr mir-rispons reali mis-sit.
DPI attiv
DPI attiv - DPI konness man-netwerk tal-fornitur bil-mod tas-soltu, bħal kull apparat tan-netwerk ieħor. Il-fornitur jikkonfigura r-rotot sabiex id-DPI jirċievi traffiku mill-utenti għal indirizzi IP jew oqsma mblukkati, u DPI mbagħad jiddeċiedi jekk jippermettix jew jimblokka t-traffiku. DPI attiv jista 'jispezzjona kemm it-traffiku ħerġin kif ukoll dak li jidħol, madankollu, jekk il-fornitur juża DPI biss biex jimblokka s-siti mir-reġistru, ħafna drabi huwa kkonfigurat biex jispezzjona biss it-traffiku ħerġin.
Mhux biss l-effettività tal-imblukkar tat-traffiku, iżda wkoll it-tagħbija fuq DPI tiddependi fuq it-tip ta 'konnessjoni, għalhekk huwa possibbli li ma tiskennjax it-traffiku kollu, iżda ċerti biss:
DPI "Normali".
DPI "regolari" huwa DPI li jiffiltra ċertu tip ta 'traffiku biss fuq l-aktar portijiet komuni għal dak it-tip. Pereżempju, DPI "regolari" jiskopri u jimblokka t-traffiku HTTP ipprojbit fuq il-port 80 biss, it-traffiku HTTPS fuq il-port 443. Dan it-tip ta' DPI mhux se jsegwi kontenut ipprojbit jekk tibgħat talba b'URL imblukkat għal IP mhux imblukkata jew mhux imblukkata. port standard.
DPI "Sħiħ".
B'differenza DPI "regolari", dan it-tip ta 'DPI jikklassifika t-traffiku irrispettivament mill-indirizz IP u l-port. Dan il-mod, is-siti imblukkati ma jinfetħux anki jekk tuża proxy server fuq port kompletament differenti u indirizz IP żblokkat.
Bl-użu DPI
Sabiex ma tnaqqasx ir-rata tat-trasferiment tad-dejta, għandek bżonn tuża DPI passiv "Normali", li jippermettilek li effettivament? jimblokka xi? riżorsi, il-konfigurazzjoni default tidher bħal din:
Filtru HTTP biss fuq il-port 80
HTTPS biss fuq il-port 443
BitTorrent biss fuq il-portijiet 6881-6889
Imma l-problemi jibdew jekk ir-riżors se juża port differenti sabiex ma jitlifx l-utenti, allura jkollok tiċċekkja kull pakkett, pereżempju tista' tagħti:
HTTP jaħdem fuq il-port 80 u 8080
HTTPS fuq il-port 443 u 8443
BitTorrent fuq kwalunkwe band oħra
Minħabba dan, ikollok jew taqleb għal DPI "Attiv" jew tuża l-imblukkar billi tuża server DNS addizzjonali.
Imblukkar bl-użu tad-DNS
Mod wieħed biex jimblokka l-aċċess għal riżors huwa li tinterċetta t-talba DNS billi tuża server DNS lokali u tirritorna lill-utent indirizz IP "stub" aktar milli r-riżors meħtieġ. Iżda dan ma jagħtix riżultat garantit, peress li huwa possibbli li jiġi evitat li l-indirizz spoofing:
Għażla 1: Editjar tal-fajl hosts (għal desktop)
Il-fajl hosts huwa parti integrali minn kwalunkwe sistema operattiva, li tippermettilek li dejjem tużah. Biex jaċċessa r-riżorsa, l-utent irid:
Sib l-indirizz IP tar-riżors meħtieġ
Iftaħ il-fajl hosts għall-editjar (id-drittijiet tal-amministratur meħtieġa), li jinsab fi:
Linux: /etc/hosts
Windows: %WinDir%System32driversetchosts
Żid linja fil-format:
Ħlief bidliet
Il-vantaġġ ta 'dan il-metodu huwa l-kumplessità tiegħu u r-rekwiżit għal drittijiet ta' amministratur.
Għażla 2: DoH (DNS fuq HTTPS) jew DoT (DNS fuq TLS)
Dawn il-metodi jippermettulek tipproteġi t-talba tad-DNS tiegħek minn spoofing bl-użu tal-kriptaġġ, iżda l-implimentazzjoni mhix appoġġata mill-applikazzjonijiet kollha. Ejja nħarsu lejn il-faċilità li titwaqqaf DoH għal Mozilla Firefox verżjoni 66 min-naħa tal-utent:
Għalkemm dan il-metodu huwa aktar kumpless, ma jeħtieġx li l-utent ikollu drittijiet ta 'amministratur, u hemm ħafna modi oħra biex tiġi żgurata talba DNS li mhumiex deskritti f'dan l-artikolu.
Nittama li dan l-artikolu jkun utli u mhux biss jinkoraġġixxi lill-amministraturi jifhmu s-suġġett f'aktar dettall, iżda jagħti wkoll fehim li riżorsi dejjem se jkunu fuq in-naħa tal-utent, u t-tfittxija għal soluzzjonijiet ġodda għandha tkun parti integrali għalihom.
Żieda barra l-artikoluIt-test Cloudflare ma jistax jitlesta fuq in-netwerk tal-operatur Tele2, u DPI konfigurat b'mod korrett jimblokka l-aċċess għas-sit tat-test.
P.S. S'issa dan huwa l-ewwel fornitur li jimblokka r-riżorsi b'mod korrett.