DPI ဆက်တင်များ၏ အင်္ဂါရပ်များ

ဤဆောင်းပါးသည် DPI ချိန်ညှိမှု အပြည့်အစုံနှင့် ချိတ်ဆက်ထားသည့်အရာအားလုံးကို အကျုံးမဝင်ပါ၊ နှင့် စာသား၏ သိပ္ပံပညာတန်ဖိုးမှာ အနည်းငယ်မျှသာဖြစ်သည်။ သို့သော် ကုမ္ပဏီများစွာက ထည့်သွင်းစဉ်းစားခြင်းမရှိသော DPI ကို ကျော်ဖြတ်ရန် အရိုးရှင်းဆုံးနည်းလမ်းကို ဖော်ပြသည်။

ငြင်းဆိုချက် #1- ဤဆောင်းပါးသည် သုတေသနသဘောသဘာဝဖြစ်ပြီး မည်သည့်အရာကိုမျှ ပြုလုပ်ရန် သို့မဟုတ် အသုံးပြုရန် မည်သူကိုမျှ မတိုက်တွန်းပါ။ အိုင်ဒီယာသည် ကိုယ်ရေးကိုယ်တာ အတွေ့အကြုံအပေါ် အခြေခံပြီး ဆင်တူမှုများသည် ကျပန်းဖြစ်သည်။

Предупреждение №2: в статье не раскрываются тайны Атлантиды, поиска Святого Грааля и иные загадки вселенной, весь материал находится в свободном доступе и возможно не раз был описан на Хабе. (я не нашел, за ссылку буду признателен)

သတိပေးချက်များကို ဖတ်ရှုပြီးသူများအတွက် စတင်လိုက်ရအောင်။

DPI ဆိုတာဘာလဲ။

DPI သို့မဟုတ် Deep Packet Inspection သည် ဒေတာပက်ကေ့ဂျ်များ စုဆောင်းခြင်း၊ စစ်ဆေးခြင်းနှင့် စစ်ထုတ်ခြင်းအတွက် ပက်ကတ်ခေါင်းစီးများသာမက OSI မော်ဒယ်အဆင့်မှ ဒုတိယနှင့် အထက်အဆင့်များမှ ဒေတာအသွားအလာ အပြည့်အစုံကို ခွဲခြမ်းစိတ်ဖြာခြင်းဖြင့် ကွန်ရက်ပက်ကေ့ခ်ျများကို စစ်ဆေးခြင်းနှင့် စစ်ထုတ်ခြင်းဆိုင်ရာ နည်းပညာတစ်ခုဖြစ်ပြီး၊ ဗိုင်းရပ်စ်များကို ပိတ်ဆို့ခြင်း၊ သတ်မှတ်ထားသော စံနှုန်းများနှင့် မကိုက်ညီသော အချက်အလက်များကို စစ်ထုတ်ပါ။

ဖော်ပြထားသည့် DPI ချိတ်ဆက်မှု နှစ်မျိုးရှိသည်။ ValdikSS github တွင်:

Passive DPI

DPI သည် passive optical splitter မှတဆင့်ဖြစ်စေ အပြိုင် (ဖြတ်တောက်ခြင်းမဟုတ်ပါ) ဝန်ဆောင်မှုပေးသူကွန်ရက်သို့ ချိတ်ဆက်ခြင်း သို့မဟုတ် အသုံးပြုသူများမှအစပြုသော လမ်းကြောင်းကို ရောင်ပြန်ဟပ်ခြင်းတို့ကို အသုံးပြုခြင်း။ DPI စွမ်းဆောင်ရည် မလုံလောက်သောအခါတွင် ဤချိတ်ဆက်မှုသည် ဝန်ဆောင်မှုပေးသူ၏ကွန်ရက်အမြန်နှုန်းကို နှောင့်နှေးစေမည်မဟုတ်သောကြောင့် ၎င်းကို ပံ့ပိုးသူကြီးများက အသုံးပြုကြသည်။ ဤချိတ်ဆက်မှုအမျိုးအစားဖြင့် DPI သည် တားမြစ်ထားသောအကြောင်းအရာကို တောင်းဆိုရန် ကြိုးပမ်းမှုကို နည်းပညာပိုင်းအရသာ ရှာဖွေနိုင်သော်လည်း ၎င်းကို ရပ်တန့်မည်မဟုတ်ပါ။ ဤကန့်သတ်ချက်ကို ကျော်လွှားပြီး တားမြစ်ထားသောဆိုက်သို့ ဝင်ရောက်ခွင့်ကို ပိတ်ပင်ရန်၊ DPI သည် ပံ့ပိုးပေးသူ၏ ပင်မစာမျက်နှာသို့ ပြန်လည်ညွှန်းပေးခြင်းဖြင့် ပိတ်ဆို့ထားသော URL တစ်ခုတောင်းဆိုသည့် သုံးစွဲသူအား ပေးပို့သည့် အရင်းအမြစ်၏ ပင်တိုင်စာမျက်နှာသို့ ပြန်လည်ညွှန်းပေးခြင်းဖြင့် ထိုသို့သောတုံ့ပြန်မှုကို ပေးပို့သည် (ပေးပို့သူ၏ IP၊ လိပ်စာနှင့် TCP အစီအစဥ်ကို အတုအပ)။ DPI သည် တောင်းဆိုထားသော site ထက် အသုံးပြုသူနှင့် ပိုမိုနီးစပ်သောကြောင့်၊ အတုအယောင်တုံ့ပြန်မှုသည် ဆိုက်မှ အမှန်တကယ်တုံ့ပြန်မှုထက် သုံးစွဲသူ၏စက်ပစ္စည်းသို့ ပိုမိုမြန်ဆန်စွာရောက်ရှိပါသည်။

အသက်ဝင်သော DPI

Active DPI - DPI သည် အခြားကွန်ရက်စက်ပစ္စည်းများကဲ့သို့ ပုံမှန်နည်းလမ်းဖြင့် ဝန်ဆောင်မှုပေးသူ၏ကွန်ရက်သို့ ချိတ်ဆက်ထားသည်။ ဝန်ဆောင်မှုပေးသူသည် ပိတ်ဆို့ထားသော IP လိပ်စာများ သို့မဟုတ် ဒိုမိန်းများသို့ အသုံးပြုသူများထံမှ DPI အသွားအလာကို လက်ခံရရှိစေရန် လမ်းကြောင်းသတ်မှတ်ပေးကာ DPI သည် ယာဉ်အသွားအလာကို ခွင့်ပြုရန် သို့မဟုတ် ပိတ်ဆို့ရန် ဆုံးဖြတ်သည်။ Active DPI သည် အထွက်နှင့် အဝင်အသွားအလာ နှစ်မျိုးလုံးကို စစ်ဆေးနိုင်သော်လည်း၊ ဝန်ဆောင်မှုပေးသူက မှတ်ပုံတင်ခြင်းမှ ဆိုက်များကို ပိတ်ဆို့ရန် DPI ကိုသာ အသုံးပြုပါက၊ အထွက်အသွားအလာများကိုသာ စစ်ဆေးရန် မကြာခဏ စီစဉ်ပေးထားသည်။

အသွားအလာပိတ်ဆို့ခြင်း၏ ထိရောက်မှုသာမက DPI ပေါ်ရှိ ဝန်သည် ချိတ်ဆက်မှုအမျိုးအစားပေါ် မူတည်သောကြောင့် အသွားအလာအားလုံးကို စကင်န်မဖတ်ဘဲ အချို့သော အရာများကိုသာ စစ်ဆေးနိုင်သည်-

"ပုံမှန်" DPI

"ပုံမှန်" DPI သည် ထိုအမျိုးအစားအတွက် အသုံးအများဆုံး port များပေါ်တွင်သာ လမ်းကြောင်းအချို့ကို စစ်ထုတ်သည့် DPI တစ်ခုဖြစ်သည်။ ဥပမာအားဖြင့်၊ "ပုံမှန်" DPI သည် တားမြစ်ထားသော HTTP အသွားအလာကို ဆိပ်ကမ်း 80၊ ဆိပ်ကမ်း 443 ရှိ HTTPS အသွားအလာတွင်သာ ရှာဖွေတွေ့ရှိပြီး ပိတ်ဆို့ထားသည်။ ဤ DPI အမျိုးအစားသည် တားမြစ်ထားသောအကြောင်းအရာကို သင်ပိတ်ဆို့ထားသော URL တစ်ခု သို့မဟုတ် မပိတ်ဆို့ထားသော IP သို့ တောင်းဆိုချက်တစ်ခုပေးပို့ပါက တားမြစ်ထားသောအကြောင်းအရာကို ခြေရာခံမည်မဟုတ်ပါ။ စံဆိပ်ကမ်း။

"အပြည့်အဝ" DPI

"ပုံမှန်" DPI နှင့်မတူဘဲ၊ ဤ DPI အမျိုးအစားသည် IP လိပ်စာနှင့် ပို့တ်ကို မခွဲခြားဘဲ အသွားအလာကို အမျိုးအစားခွဲခြားသည်။ ဤနည်းအားဖြင့်၊ သင်သည် လုံးဝခြားနားသော ဆိပ်ကမ်းနှင့် ပိတ်ဆို့ထားသော IP လိပ်စာပေါ်တွင် ပရောက်စီဆာဗာကို အသုံးပြုနေသော်လည်း ပိတ်ဆို့ထားသောဆိုက်များသည် ဖွင့်မည်မဟုတ်ပါ။

DPI ကိုအသုံးပြုခြင်း။

ဒေတာလွှဲပြောင်းမှုနှုန်းကို လျှော့ချရန် သင်သည် ထိထိရောက်ရောက် ခွင့်ပြုနိုင်သည့် "Normal" passive DPI ကို အသုံးပြုရန် လိုအပ်သည်။ တစ်ခုခုကို ပိတ်ဆို့လိုပါသလား။ အရင်းအမြစ်များ၊ ပုံသေဖွဲ့စည်းပုံပုံစံသည် ဤကဲ့သို့ဖြစ်သည်-

• HTTP filter သည် port 80 တွင်သာ
• HTTPS သည် port 443 တွင်သာ
• BitTorrent သည် port 6881-6889 တွင်သာ

ဒါပေမယ့် ပြဿနာတွေ ပေါ်လာရင် အသုံးပြုသူများ မဆုံးရှုံးစေရန် အရင်းအမြစ်သည် မတူညီသော port တစ်ခုကို အသုံးပြုပါမည်။ဥပမာအားဖြင့် သင်ပေးနိုင်သော ပက်ကေ့ခ်ျတစ်ခုစီကို စစ်ဆေးရန် လိုအပ်ပါသည်။

• HTTP သည် port 80 နှင့် 8080 တွင်အလုပ်လုပ်သည်။
• ဆိပ်ကမ်း 443 နှင့် 8443 တွင် HTTPS
• အခြားမည်သည့် band တွင်မဆို BitTorrent

ထို့အတွက်ကြောင့် သင်သည် "Active" DPI သို့ ပြောင်းရန် သို့မဟုတ် နောက်ထပ် DNS ဆာဗာကို အသုံးပြု၍ ပိတ်ဆို့ခြင်းကို အသုံးပြုရပါမည်။

DNS ကို အသုံးပြု၍ ပိတ်ဆို့ခြင်း။

အရင်းအမြစ်တစ်ခုထံ ဝင်ရောက်ခွင့်ကို ပိတ်ဆို့ရန် နည်းလမ်းတစ်ခုမှာ ပြည်တွင်း DNS ဆာဗာကို အသုံးပြု၍ DNS တောင်းဆိုမှုကို ကြားဖြတ်ပြီး လိုအပ်သော အရင်းအမြစ်များထက် အသုံးပြုသူကို “stub” IP လိပ်စာကို ပြန်ပေးခြင်းဖြစ်သည်။ သို့သော် လိပ်စာအတုအယောင်ကို တားဆီးရန် ဖြစ်နိုင်သောကြောင့် ၎င်းသည် အာမခံရလဒ်ကို မပေးပေ။

ရွေးချယ်မှု 1- hosts ဖိုင်ကို တည်းဖြတ်ခြင်း (ဒက်စ်တော့အတွက်)

hosts file သည် မည်သည့် operating system ၏ မရှိမဖြစ် အစိတ်အပိုင်းတစ်ခုဖြစ်ပြီး ၎င်းကို သင်အမြဲသုံးနိုင်သည်။ အရင်းအမြစ်ကိုဝင်ရောက်ရန်၊ အသုံးပြုသူသည်-

1. လိုအပ်သောအရင်းအမြစ်၏ IP လိပ်စာကိုရှာဖွေပါ။
2. တည်းဖြတ်ရန်အတွက် hosts ဖိုင်ကိုဖွင့်ပါ (စီမံခန့်ခွဲသူ၏အခွင့်အရေးများ လိုအပ်သည်)၊
   • Linux- /etc/hosts
   • Windows- %WinDir%System32driversetchosts
3. ဖော်မတ်တွင် စာကြောင်းထည့်ပါ <အရင်းအမြစ်အမည်>
4. အပြောင်းအလဲများကို Save

ဤနည်းလမ်း၏အားသာချက်မှာ ၎င်း၏ရှုပ်ထွေးမှုနှင့် စီမံခန့်ခွဲသူအခွင့်အရေးများအတွက် လိုအပ်ချက်ဖြစ်သည်။

ရွေးချယ်မှု 2- DoH (DNS မှ HTTPS) သို့မဟုတ် DoT (TLS မှ DNS)

ဤနည်းလမ်းများသည် သင်၏ DNS တောင်းဆိုမှုကို ကုဒ်ဝှက်ခြင်းကို အသုံးပြု၍ အတုအယောင်ပြုလုပ်ခြင်းမှ ကာကွယ်ပေးနိုင်သော်လည်း အကောင်အထည်ဖော်မှုကို အပလီကေးရှင်းအားလုံးမှ မပံ့ပိုးပါ။ Mozilla Firefox ဗားရှင်း 66 အတွက် DoH ကို အသုံးပြုသူဘက်မှ လွယ်ကူစွာ ထည့်သွင်းကြည့်ရှုကြပါစို့။

1. လိပ်စာသို့သွားပါ။ about: config ကို Firefox တွင်
2. အသုံးပြုသူသည် အန္တရာယ်အားလုံးကို ယူဆကြောင်း အတည်ပြုပါ။
3. Изменит значение параметра network.trr.mode on:
   • 0 - TRR ကို ပိတ်ပါ။
   • 1 - အလိုအလျောက်ရွေးချယ်မှု
   • 2 - ပုံမှန်အားဖြင့် DoH ကို ဖွင့်ပါ။
4. ကန့်သတ်ချက်ပြောင်းပါ။ network.trr.uri DNS server ကိုရွေးချယ်ခြင်း။
   • Cloudflare DNS- mozilla.cloudflare-dns.com/dns-query
   • Google DNS- dns.google.com/experimental
5. ကန့်သတ်ချက်ပြောင်းပါ။ network.trr.boostrapလိပ်စာ on:
   • Cloudflare DNS ကိုရွေးချယ်ပါက- 1.1.1.1
   • Google DNS ကို ရွေးချယ်ပါက 8.8.8.8
6. Изменит значение параметра network.security.esni.enabled အပေါ် စစ်မှန်တဲ့
7. ဆက်တင်များကို အသုံးပြု၍ မှန်ကန်ကြောင်း စစ်ဆေးပါ။ Cloudflare ဝန်ဆောင်မှု

ဤနည်းလမ်းသည် ပိုမိုရှုပ်ထွေးသော်လည်း၊ အသုံးပြုသူသည် စီမံခန့်ခွဲပိုင်ခွင့်ရှိရန် မလိုအပ်ဘဲ၊ ဤဆောင်းပါးတွင် ဖော်ပြမထားသော DNS တောင်းဆိုမှုကို လုံခြုံစေရန် အခြားနည်းလမ်းများစွာရှိပါသည်။

ရွေးချယ်မှု 3 (မိုဘိုင်းစက်ပစ္စည်းများအတွက်)

Cloudflare အက်ပ်ကို အသုံးပြုခြင်း။ အန်းဒရွိုက် и IOS ကို.

စမ်းသပ်ခြင်း

အရင်းအမြစ်များသို့ ဝင်ရောက်ခွင့်မရှိခြင်းအား စစ်ဆေးရန်အတွက် ရုရှားဖက်ဒရေးရှင်းတွင် ပိတ်ဆို့ထားသော ဒိုမိန်းတစ်ခုကို ယာယီဝယ်ယူခဲ့သည်-

• HTTP check + port 80
• HTTP check + port 8080
• HTTPS check + port 443
• HTTPS check + port 8443

ကောက်ချက်

ဤဆောင်းပါးသည် အသုံးဝင်မည်ဟု မျှော်လင့်ပြီး အက်ဒမင်များသည် အကြောင်းအရာကို ပိုမိုအသေးစိတ်နားလည်ရန် အားပေးရုံသာမက နားလည်မှုလည်း ပေးစွမ်းနိုင်လိမ့်မည်ဟု မျှော်လင့်ပါသည်။ အရင်းအမြစ်များသည် သုံးစွဲသူ၏ဘက်တွင် အမြဲရှိနေမည်ဖြစ်ပြီး၊ ဖြေရှင်းချက်အသစ်များကို ရှာဖွေခြင်းသည် ၎င်းတို့အတွက် မရှိမဖြစ်အစိတ်အပိုင်းတစ်ခု ဖြစ်သင့်သည်။

အသုံးဝင်သောလင့်များ

• Firefox တွင် Encrypted SNI စံနှုန်းကို အကောင်အထည်ဖော်ခြင်း။
• အော့ဖ်လိုင်း DPI ရှောင်ကွင်း

ဆောင်းပါးအပြင်မှာ ထပ်လောင်းပါ။Cloudflare စမ်းသပ်မှုကို Tele2 အော်ပရေတာကွန်ရက်တွင် ပြီးမြောက်အောင် မလုပ်ဆောင်နိုင်ပါ၊ မှန်ကန်စွာပြင်ဆင်ထားသော DPI သည် စမ်းသပ်ဆိုက်သို့ ဝင်ရောက်ခွင့်ကို ပိတ်ဆို့ထားသည်။
PS ယခုအချိန်အထိ ၎င်းသည် အရင်းအမြစ်များကို မှန်ကန်စွာပိတ်ဆို့သည့် ပထမဆုံးပံ့ပိုးပေးသူဖြစ်သည်။

source: www.habr.com