Vlastnosti nastavení DPI

Tento článok nepokrýva úplnú úpravu DPI a všetko, čo je spolu spojené, a vedecká hodnota textu je minimálna. Ale popisuje najjednoduchší spôsob, ako obísť DPI, s ktorým veľa spoločností nepočítalo.

Vyhlásenie č. 1: Tento článok má výskumný charakter a nikoho nenabáda, aby niečo robil ani používal. Myšlienka je založená na osobnej skúsenosti a akékoľvek podobnosti sú náhodné.

Upozornenie č.2: článok neodhaľuje tajomstvá Atlantídy, pátrania po Svätom grále a iných tajomstvách vesmíru, všetok materiál je voľne dostupný a možno bol na Habrém popísaný viackrát. (nenašiel som, budem vďačný za link)

Pre tých, ktorí si prečítali varovania, začnime.

Čo je DPI?

DPI alebo Deep Packet Inspection je technológia na zhromažďovanie štatistických údajov, kontrolu a filtrovanie sieťových paketov analýzou nielen hlavičiek paketov, ale aj celého obsahu prevádzky na úrovniach modelu OSI od druhej a vyššej, čo umožňuje zistiť a blokovať vírusy, filtrovať informácie, ktoré nespĺňajú zadané kritériá.

Existujú dva typy pripojenia DPI, ktoré sú opísané ValdikSS na githube:

Pasívne DPI

DPI pripojené k sieti poskytovateľa paralelne (nie v reze) buď cez pasívny optický rozbočovač, alebo pomocou zrkadlenia prevádzky pochádzajúcej od používateľov. Toto pripojenie nespomaľuje rýchlosť siete poskytovateľa v prípade nedostatočného výkonu DPI, preto ho využívajú veľkí poskytovatelia. DPI s týmto typom pripojenia dokáže technicky iba detekovať pokus o vyžiadanie zakázaného obsahu, ale nie ho zastaviť. Aby DPI obišlo toto obmedzenie a zablokovalo prístup na zakázanú stránku, pošle používateľovi žiadajúcemu o blokovanú URL špeciálne vytvorený HTTP paket s presmerovaním na stub stránku poskytovateľa, ako keby takúto odpoveď odoslal samotný požadovaný zdroj (IP odosielateľa adresa a sekvencia TCP sú sfalšované). Keďže DPI je fyzicky bližšie k používateľovi ako požadovaná stránka, sfalšovaná odpoveď sa dostane do zariadenia používateľa rýchlejšie ako skutočná odpoveď zo stránky.

Aktívne DPI

Aktívne DPI - DPI pripojené k sieti poskytovateľa obvyklým spôsobom, ako každé iné sieťové zariadenie. Poskytovateľ nakonfiguruje smerovanie tak, aby DPI prijímalo prevádzku od používateľov na zablokované IP adresy alebo domény a DPI sa potom rozhodne, či prevádzku povolí alebo zablokuje. Aktívne DPI môže kontrolovať odchádzajúce aj prichádzajúce prenosy, ak však poskytovateľ používa DPI iba na blokovanie stránok z registra, najčastejšie je nakonfigurovaný tak, aby kontroloval iba odchádzajúce prenosy.

Nielen efektivita blokovania prevádzky, ale aj zaťaženie DPI závisí od typu pripojenia, takže je možné nekontrolovať všetku komunikáciu, ale iba určitú:

"Normálne" DPI

„Bežné“ DPI je DPI, ktoré filtruje určitý typ prevádzky iba na najbežnejších portoch pre tento typ. Napríklad „bežné“ DPI zisťuje a blokuje zakázaný prenos HTTP iba ​​na porte 80, prenos HTTPS na porte 443. Tento typ DPI nebude sledovať zakázaný obsah, ak odošlete požiadavku so zablokovanou URL na neblokovanú IP alebo štandardný port.

"Plné" DPI

Na rozdiel od „bežného“ DPI tento typ DPI klasifikuje prevádzku bez ohľadu na IP adresu a port. Týmto spôsobom sa zablokované stránky neotvoria, aj keď používate proxy server na úplne inom porte a odblokovanej IP adrese.

Pomocou DPI

Aby ste neznížili rýchlosť prenosu dát, musíte použiť „normálne“ pasívne DPI, ktoré vám umožní efektívne? blokovať nejaké? zdrojov, predvolená konfigurácia vyzerá takto:

• HTTP filter iba na porte 80
• HTTPS iba na porte 443
• BitTorrent len ​​na portoch 6881-6889

Problémy však začínajú, ak zdroj použije iný port, aby nestratil používateľov, potom budete musieť skontrolovať každý balík, napríklad môžete zadať:

• HTTP funguje na portoch 80 a 8080
• HTTPS na portoch 443 a 8443
• BitTorrent na akomkoľvek inom pásme

Z tohto dôvodu budete musieť prepnúť na „Aktívne“ DPI alebo použiť blokovanie pomocou dodatočného servera DNS.

Blokovanie pomocou DNS

Jedným zo spôsobov, ako zablokovať prístup k zdroju, je zachytiť požiadavku DNS pomocou lokálneho servera DNS a vrátiť používateľovi „stub“ IP adresu namiesto požadovaného zdroja. To však neposkytuje zaručený výsledok, pretože je možné zabrániť falšovaniu adresy:

Možnosť 1: Úprava súboru hosts (pre počítač)

Súbor hosts je neoddeliteľnou súčasťou každého operačného systému, čo vám umožňuje ho vždy používať. Na prístup k zdroju musí používateľ:

1. Zistite IP adresu požadovaného zdroja
2. Otvorte súbor hosts na úpravu (vyžadujú sa práva správcu), ktorý sa nachádza v:
   • Linux: /etc/hosts
   • Windows: %WinDir%System32driversetchosts
3. Pridajte riadok vo formáte:
4. Uložte zmeny

Výhodou tohto spôsobu je jeho komplexnosť a požiadavka na administrátorské práva.

Možnosť 2: DoH (DNS cez HTTPS) alebo DoT (DNS cez TLS)

Tieto metódy vám umožňujú chrániť vašu požiadavku DNS pred spoofingom pomocou šifrovania, ale implementácia nie je podporovaná všetkými aplikáciami. Pozrime sa na jednoduchosť nastavenia DoH pre Mozilla Firefox verzie 66 zo strany používateľa:

1. Choďte na adresu about: config vo Firefoxe
2. Potvrďte, že používateľ preberá všetky riziká
3. Zmeňte hodnotu parametra network.trr.mode na:
   • 0 - zakázať TRR
   • 1 - automatický výber
   • 2 - predvolene povoliť DoH
4. Zmeniť parameter network.trr.uri výber servera DNS
   • Cloudflare DNS: mozilla.cloudflare-dns.com/dns-query
   • GoogleDNS: dns.google.com/experimental
5. Zmeniť parameter network.trr.boostrapAddress na:
   • Ak je vybratá služba Cloudflare DNS: 1.1.1.1
   • Ak je vybratá možnosť Google DNS: 8.8.8.8
6. Zmeňte hodnotu parametra sieť.zabezpečenie.esni.povolené na pravdivý
7. Skontrolujte správnosť nastavení pomocou Služba Cloudflare

Hoci je táto metóda zložitejšia, nevyžaduje od používateľa práva správcu a existuje mnoho ďalších spôsobov zabezpečenia požiadavky DNS, ktoré nie sú popísané v tomto článku.

Možnosť 3 (pre mobilné zariadenia):

Pomocou aplikácie Cloudflare Android и IOS.

Testovanie

Na kontrolu nedostatku prístupu k zdrojom bola dočasne zakúpená doména zablokovaná v Ruskej federácii:

• Kontrola HTTP + port 80
• Kontrola HTTP + port 8080
• Kontrola HTTPS + port 443
• Kontrola HTTPS + port 8443

Záver

Dúfam, že tento článok bude užitočný a povzbudí nielen administrátorov, aby podrobnejšie porozumeli téme, ale tiež im dá pochopenie zdroje budú vždy na strane užívateľa a hľadanie nových riešení by pre nich malo byť neoddeliteľnou súčasťou.

Užitočné odkazy

• Implementácia štandardu Encrypted SNI vo Firefoxe
• Offline vynechanie DPI

Doplnenie mimo článkuTest Cloudflare nie je možné dokončiť v sieti operátora Tele2 a správne nakonfigurované DPI blokuje prístup k testovacej lokalite.
P.S. Zatiaľ je to prvý poskytovateľ, ktorý správne blokuje zdroje.

Zdroj: hab.com