Značilnosti nastavitev DPI

Ta članek ne zajema popolne prilagoditve DPI in vsega, kar je povezano skupaj, znanstvena vrednost besedila pa je minimalna. Opisuje pa najpreprostejši način, kako zaobiti DPI, ki ga mnoga podjetja niso upoštevala.

Zavrnitev odgovornosti št. 1: Ta članek je raziskovalne narave in nikogar ne spodbuja, naj kar koli naredi ali uporabi. Ideja temelji na osebni izkušnji, vse podobnosti pa so naključne.

Opozorilo št. 2: članek ne razkriva skrivnosti Atlantide, iskanja svetega grala in drugih skrivnosti vesolja, vse gradivo je prosto dostopno in morda že večkrat opisano na Habréju. (Nisem našel, bi bil hvaležen za link)

Za tiste, ki ste prebrali opozorila, začnimo.

Kaj je DPI?

DPI ali Deep Packet Inspection je tehnologija za zbiranje statističnih podatkov, preverjanje in filtriranje omrežnih paketov z analizo ne le glav paketov, ampak tudi celotne vsebine prometa na ravneh modela OSI od drugega in višjih, kar vam omogoča zaznavanje in blokiranje virusov, filtriranje informacij, ki ne izpolnjujejo določenih kriterijev.

Obstajata dve vrsti povezave DPI, ki sta opisani ValdikSS na githubu:

Pasivni DPI

DPI vzporedno povezan z omrežjem ponudnika (ne v rezu) bodisi prek pasivnega optičnega razdelilnika bodisi z zrcaljenjem prometa, ki izvira od uporabnikov. Ta povezava ne upočasni hitrosti ponudnikovega omrežja v primeru nezadostne zmogljivosti DPI, zato jo uporabljajo veliki ponudniki. DPI s to vrsto povezave lahko tehnično le zazna poskus zahtevanja prepovedane vsebine, ne pa ga ustavi. Da bi zaobšel to omejitev in blokiral dostop do prepovedanega mesta, DPI uporabniku, ki zahteva blokirani URL, pošlje posebej oblikovan paket HTTP s preusmeritvijo na ponudnikovo škrbino, kot da bi tak odgovor poslal sam zahtevani vir (pošiljateljev IP sta naslov in zaporedje TCP ponarejena). Ker je DPI fizično bližje uporabniku kot zahtevano spletno mesto, lažni odziv doseže uporabnikovo napravo hitreje kot pravi odgovor spletnega mesta.

Aktivni DPI

Active DPI - DPI, povezan z omrežjem ponudnika na običajen način, kot katera koli druga omrežna naprava. Ponudnik konfigurira usmerjanje tako, da DPI prejema promet od uporabnikov do blokiranih naslovov IP ali domen, DPI pa se nato odloči, ali bo dovolil ali blokiral promet. Active DPI lahko pregleduje tako odhodni kot dohodni promet, če pa ponudnik uporablja DPI samo za blokiranje spletnih mest iz registra, je najpogosteje konfiguriran tako, da pregleduje samo odhodni promet.

Ne samo učinkovitost blokiranja prometa, ampak tudi obremenitev DPI je odvisna od vrste povezave, zato je mogoče, da ne pregledate celotnega prometa, ampak le določene:

"Normalni" DPI

»Navaden« DPI je DPI, ki filtrira določeno vrsto prometa samo na najpogostejših vratih za to vrsto. Na primer, »običajni« DPI zazna in blokira prepovedan promet HTTP samo na vratih 80, promet HTTPS na vratih 443. Ta vrsta DPI ne bo sledila prepovedani vsebini, če pošljete zahtevo z blokiranim URL-jem na neblokiran IP ali ne- standardna vrata.

"Polni" DPI

Za razliko od »navadnega« DPI ta vrsta DPI razvršča promet ne glede na naslov IP in vrata. Tako se blokirana spletna mesta ne bodo odprla, tudi če uporabljate proxy strežnik na popolnoma drugih vratih in odblokiran naslov IP.

Uporaba DPI

Da ne zmanjšate hitrosti prenosa podatkov, morate uporabiti »Normal« pasivni DPI, ki vam omogoča učinkovito? blokirati katerega? virov, je privzeta konfiguracija videti takole:

• HTTP filter samo na vratih 80
• HTTPS samo na vratih 443
• BitTorrent samo na vratih 6881-6889

Toda težave se začnejo, če vir bo uporabil druga vrata, da ne izgubi uporabnikov, potem boste morali preveriti vsak paket, na primer lahko podate:

• HTTP deluje na vratih 80 in 8080
• HTTPS na vratih 443 in 8443
• BitTorrent na katerem koli drugem pasu

Zaradi tega boste morali preklopiti na »Aktivni« DPI ali uporabiti blokiranje z dodatnim strežnikom DNS.

Blokiranje z uporabo DNS

Eden od načinov za blokiranje dostopa do vira je prestrezanje zahteve DNS z uporabo lokalnega strežnika DNS in uporabniku namesto zahtevanega vira vrniti »škrbin« naslov IP. Vendar to ne daje zajamčenega rezultata, saj je mogoče preprečiti ponarejanje naslovov:

1. možnost: Urejanje datoteke gostiteljev (za namizje)

Datoteka hosts je sestavni del vsakega operacijskega sistema, kar vam omogoča, da jo vedno uporabljate. Za dostop do vira mora uporabnik:

1. Poiščite naslov IP zahtevanega vira
2. Odprite datoteko hosts za urejanje (potrebne so skrbniške pravice), ki se nahaja v:
   • Linux: /etc/hosts
   • Windows: %WinDir%System32driversetchosts
3. Dodajte vrstico v obliki: <ime vira>
4. Spremembe shranite

Prednost te metode je njena kompleksnost in zahteva po skrbniških pravicah.

2. možnost: DoH (DNS prek HTTPS) ali DoT (DNS prek TLS)

Te metode vam omogočajo zaščito vaše zahteve DNS pred ponarejanjem s šifriranjem, vendar implementacije ne podpirajo vse aplikacije. Oglejmo si enostavno nastavitev DoH za Mozilla Firefox različice 66 s strani uporabnika:

1. Pojdi na naslov about: config v Firefoxu
2. Potrdite, da uporabnik prevzema celotno tveganje
3. Spremenite vrednost parametra network.trr.mode na:
   • 0 — onemogoči TRR
   • 1 - samodejna izbira
   • 2 - privzeto omogoči DoH
4. Spremeni parameter network.trr.uri izbiro strežnika DNS
   • Cloudflare DNS: mozilla.cloudflare-dns.com/dns-query
   • Googlov DNS: dns.google.com/experimental
5. Spremeni parameter network.trr.boostrapAddress na:
   • Če je izbran Cloudflare DNS: 1.1.1.1
   • Če je izbran Google DNS: 8.8.8.8
6. Spremenite vrednost parametra network.security.esni.enabled o Res
7. Z uporabo preverite, ali so nastavitve pravilne Storitev Cloudflare

Čeprav je ta metoda bolj zapletena, od uporabnika ne zahteva skrbniških pravic, obstaja pa še veliko drugih načinov za zaščito zahteve DNS, ki niso opisani v tem članku.

Možnost 3 (za mobilne naprave):

Uporaba aplikacije Cloudflare za Android и IOS.

Testiranje

Za preverjanje pomanjkanja dostopa do virov je bila začasno kupljena domena, blokirana v Ruski federaciji:

• Preverjanje HTTP + vrata 80
• Preverjanje HTTP + vrata 8080
• Preverjanje HTTPS + vrata 443
• Preverjanje HTTPS + vrata 8443

Zaključek

Upam, da bo ta članek koristen in bo spodbudil ne le skrbnike, da podrobneje razumejo temo, ampak bo tudi dal razumevanje, da viri bodo vedno na strani uporabnika, iskanje novih rešitev pa naj bo njegov sestavni del.

Uporabne povezave

• Implementacija šifriranega standarda SNI v Firefoxu
• Offline DPI Bypass

Dodatek izven členaTesta Cloudflare ni mogoče dokončati v omrežju operaterja Tele2, pravilno konfiguriran DPI pa blokira dostop do testnega mesta.
PS Zaenkrat je to prvi ponudnik, ki pravilno blokira vire.

Vir: www.habr.com