Karatteristiċi tas-settings tad-DPI

Dan l-artikolu ma jkoprix l-aġġustament sħiħ tad-DPI u dak kollu konness flimkien, u l-valur xjentifiku tat-test huwa minimu. Iżda jiddeskrivi l-aktar mod sempliċi biex tevita d-DPI, li ħafna kumpaniji ma kkunsidrawx.

Ċaħda #1: Dan l-artikolu huwa ta 'natura ta' riċerka u ma jħeġġeġ lil ħadd biex jagħmel jew juża xi ħaġa. L-idea hija bbażata fuq esperjenza personali, u kwalunkwe xebh huwa każwali.

Twissija Nru 2: l-artiklu ma jiżvelax is-sigrieti ta 'Atlantis, it-tfittxija għall-Gral Imqaddes u misteri oħra tal-univers; il-materjal kollu huwa disponibbli b'xejn u jista' jkun ġie deskritt aktar minn darba fuq Habré. (Ma sibtx, inkun grat tal-link)

Għal dawk li qraw it-twissijiet, ejja nibdew.

X'inhu DPI?

DPI jew Deep Packet Inspection hija teknoloġija għall-akkumulazzjoni tad-dejta statistika, l-iċċekkjar u l-iffiltrar tal-pakketti tan-netwerk billi tanalizza mhux biss headers tal-pakketti, iżda wkoll il-kontenut sħiħ tat-traffiku f'livelli tal-mudell OSI mit-tieni u ogħla, li jippermettilek tiskopri u jimblokka l-viruses, iffiltra informazzjoni li ma tissodisfax kriterji speċifikati .

Hemm żewġ tipi ta 'konnessjoni DPI, li huma deskritti ValdikSS fuq github:

DPI passiv

DPI konness man-netwerk tal-fornitur b'mod parallel (mhux f'qatgħa) jew permezz ta 'splitter ottiku passiv, jew bl-użu ta' riflessjoni tat-traffiku li joriġina mill-utenti. Din il-konnessjoni ma tnaqqasx il-veloċità tan-netwerk tal-fornitur f'każ ta 'prestazzjoni DPI insuffiċjenti, u huwa għalhekk li tintuża minn fornituri kbar. DPI b'dan it-tip ta' konnessjoni teknikament jista' jiskopri biss tentattiv biex jitlob kontenut ipprojbit, iżda mhux iwaqqafh. Biex taqbeż din ir-restrizzjoni u timblokka l-aċċess għal sit ipprojbit, DPI jibgħat lill-utent li jitlob URL imblukkat pakkett HTTP magħmul apposta b'redirect lejn il-paġna stub tal-fornitur, bħallikieku tweġiba bħal din intbagħtet mir-riżors mitlub innifsu (l-IP tal-mittent. l-indirizz u s-sekwenza TCP huma falsifikati). Minħabba li d-DPI huwa fiżikament eqreb lejn l-utent mis-sit mitlub, ir-rispons spoofed jilħaq l-apparat tal-utent aktar malajr mir-rispons reali mis-sit.

DPI attiv

DPI attiv - DPI konness man-netwerk tal-fornitur bil-mod tas-soltu, bħal kull apparat tan-netwerk ieħor. Il-fornitur jikkonfigura r-rotot sabiex id-DPI jirċievi traffiku mill-utenti għal indirizzi IP jew oqsma mblukkati, u DPI mbagħad jiddeċiedi jekk jippermettix jew jimblokka t-traffiku. DPI attiv jista 'jispezzjona kemm it-traffiku ħerġin kif ukoll dak li jidħol, madankollu, jekk il-fornitur juża DPI biss biex jimblokka s-siti mir-reġistru, ħafna drabi huwa kkonfigurat biex jispezzjona biss it-traffiku ħerġin.

Mhux biss l-effettività tal-imblukkar tat-traffiku, iżda wkoll it-tagħbija fuq DPI tiddependi fuq it-tip ta 'konnessjoni, għalhekk huwa possibbli li ma tiskennjax it-traffiku kollu, iżda ċerti biss:

DPI "Normali".

DPI "regolari" huwa DPI li jiffiltra ċertu tip ta 'traffiku biss fuq l-aktar portijiet komuni għal dak it-tip. Pereżempju, DPI "regolari" jiskopri u jimblokka t-traffiku HTTP ipprojbit fuq il-port 80 biss, it-traffiku HTTPS fuq il-port 443. Dan it-tip ta' DPI mhux se jsegwi kontenut ipprojbit jekk tibgħat talba b'URL imblukkat għal IP mhux imblukkata jew mhux imblukkata. port standard.

DPI "Sħiħ".

B'differenza DPI "regolari", dan it-tip ta 'DPI jikklassifika t-traffiku irrispettivament mill-indirizz IP u l-port. Dan il-mod, is-siti imblukkati ma jinfetħux anki jekk tuża proxy server fuq port kompletament differenti u indirizz IP żblokkat.

Bl-użu DPI

Sabiex ma tnaqqasx ir-rata tat-trasferiment tad-dejta, għandek bżonn tuża DPI passiv "Normali", li jippermettilek li effettivament? jimblokka xi? riżorsi, il-konfigurazzjoni default tidher bħal din:

• Filtru HTTP biss fuq il-port 80
• HTTPS biss fuq il-port 443
• BitTorrent biss fuq il-portijiet 6881-6889

Imma l-problemi jibdew jekk ir-riżors se juża port differenti sabiex ma jitlifx l-utenti, allura jkollok tiċċekkja kull pakkett, pereżempju tista' tagħti:

• HTTP jaħdem fuq il-port 80 u 8080
• HTTPS fuq il-port 443 u 8443
• BitTorrent fuq kwalunkwe band oħra

Minħabba dan, ikollok jew taqleb għal DPI "Attiv" jew tuża l-imblukkar billi tuża server DNS addizzjonali.

Imblukkar bl-użu tad-DNS

Mod wieħed biex jimblokka l-aċċess għal riżors huwa li tinterċetta t-talba DNS billi tuża server DNS lokali u tirritorna lill-utent indirizz IP "stub" aktar milli r-riżors meħtieġ. Iżda dan ma jagħtix riżultat garantit, peress li huwa possibbli li jiġi evitat li l-indirizz spoofing:

Għażla 1: Editjar tal-fajl hosts (għal desktop)

Il-fajl hosts huwa parti integrali minn kwalunkwe sistema operattiva, li tippermettilek li dejjem tużah. Biex jaċċessa r-riżorsa, l-utent irid:

1. Sib l-indirizz IP tar-riżors meħtieġ
2. Iftaħ il-fajl hosts għall-editjar (id-drittijiet tal-amministratur meħtieġa), li jinsab fi:
   • Linux: /etc/hosts
   • Windows: %WinDir%System32driversetchosts
3. Żid linja fil-format:
4. Ħlief bidliet

Il-vantaġġ ta 'dan il-metodu huwa l-kumplessità tiegħu u r-rekwiżit għal drittijiet ta' amministratur.

Għażla 2: DoH (DNS fuq HTTPS) jew DoT (DNS fuq TLS)

Dawn il-metodi jippermettulek tipproteġi t-talba tad-DNS tiegħek minn spoofing bl-użu tal-kriptaġġ, iżda l-implimentazzjoni mhix appoġġata mill-applikazzjonijiet kollha. Ejja nħarsu lejn il-faċilità li titwaqqaf DoH għal Mozilla Firefox verżjoni 66 min-naħa tal-utent:

1. Mur fl-indirizz dwar: konfigurazzjoni fil-Firefox
2. Ikkonferma li l-utent jassumi r-riskju kollu
3. Ibdel il-valur tal-parametru network.trr.mode fuq:
   • 0 - tiddiżattiva TRR
   • 1 - għażla awtomatika
   • 2 - jippermettu DoH awtomatikament
4. Ibdel il-parametru network.trr.uri tagħżel server DNS
   • Cloudflare DNS: mozilla.cloudflare-dns.com/dns-query
   • GoogleDNS: dns.google.com/experimental
5. Ibdel il-parametru network.trr.boostrapAddress fuq:
   • Jekk jintgħażel Cloudflare DNS: 1.1.1.1
   • Jekk jintgħażel Google DNS: 8.8.8.8
6. Ibdel il-valur tal-parametru network.security.esni.enabled fuq veru
7. Iċċekkja li s-settings huma korretti bl-użu Servizz Cloudflare

Għalkemm dan il-metodu huwa aktar kumpless, ma jeħtieġx li l-utent ikollu drittijiet ta 'amministratur, u hemm ħafna modi oħra biex tiġi żgurata talba DNS li mhumiex deskritti f'dan l-artikolu.

Għażla 3 (għall-apparat mobbli):

Bl-użu tal-app Cloudflare biex Android и IOS.

Ittestjar

Biex tiċċekkja n-nuqqas ta' aċċess għar-riżorsi, inxtara temporanjament dominju imblukkat fil-Federazzjoni Russa:

• Iċċekkja HTTP + port 80
• Iċċekkja HTTP + port 8080
• Iċċekkja HTTPS + port 443
• Iċċekkja HTTPS + port 8443

Konklużjoni

Nittama li dan l-artikolu jkun utli u mhux biss jinkoraġġixxi lill-amministraturi jifhmu s-suġġett f'aktar dettall, iżda jagħti wkoll fehim li riżorsi dejjem se jkunu fuq in-naħa tal-utent, u t-tfittxija għal soluzzjonijiet ġodda għandha tkun parti integrali għalihom.

Links utli

• L-implimentazzjoni tal-istandard SNI Encrypted f'Firefox
• Offline DPI Bypass

Żieda barra l-artikoluIt-test Cloudflare ma jistax jitlesta fuq in-netwerk tal-operatur Tele2, u DPI konfigurat b'mod korrett jimblokka l-aċċess għas-sit tat-test.
P.S. S'issa dan huwa l-ewwel fornitur li jimblokka r-riżorsi b'mod korrett.

Sors: www.habr.com