Karakteristikat e cilësimeve të DPI

Ky artikull nuk mbulon rregullimin e plotë të DPI dhe gjithçka që lidhet së bashku, dhe vlera shkencore e tekstit është minimale. Por ai përshkruan mënyrën më të thjeshtë për të anashkaluar DPI, të cilën shumë kompani nuk e kanë marrë parasysh.

Mohim përgjegjësie #1: Ky artikull është i një natyre kërkimore dhe nuk inkurajon askënd të bëjë ose të përdorë asgjë. Ideja bazohet në përvojën personale dhe çdo ngjashmëri është e rastësishme.

Paralajmërimi nr. 2: artikulli nuk zbulon sekretet e Atlantidës, kërkimin për Graalin e Shenjtë dhe misteret e tjera të universit; i gjithë materiali është i disponueshëm falas dhe mund të jetë përshkruar më shumë se një herë në Habré. (Nuk e gjeta, do të isha mirënjohës për lidhjen)

Për ata që kanë lexuar paralajmërimet, le të fillojmë.

Çfarë është DPI?

DPI ose Deep Packet Inspection është një teknologji për grumbullimin e të dhënave statistikore, kontrollimin dhe filtrimin e paketave të rrjetit duke analizuar jo vetëm titujt e paketave, por edhe përmbajtjen e plotë të trafikut në nivelet e modelit OSI nga i dyti dhe më i lartë, i cili ju lejon të zbuloni dhe bllokoni viruset, filtroni informacione që nuk plotësojnë kriteret e specifikuara.

Ekzistojnë dy lloje të lidhjeve DPI, të cilat janë përshkruar ValdikSS në github:

DPI pasive

DPI lidhet paralelisht me rrjetin e ofruesit (jo në prerje) ose përmes një ndarësi optik pasiv, ose duke përdorur pasqyrimin e trafikut me origjinë nga përdoruesit. Kjo lidhje nuk e ngadalëson shpejtësinë e rrjetit të ofruesit në rast të performancës së pamjaftueshme të DPI, prandaj përdoret nga ofruesit e mëdhenj. DPI me këtë lloj lidhjeje teknikisht mund të zbulojë vetëm një përpjekje për të kërkuar përmbajtje të ndaluar, por jo ta ndalojë atë. Për të anashkaluar këtë kufizim dhe për të bllokuar hyrjen në një sajt të ndaluar, DPI i dërgon përdoruesit duke kërkuar një URL të bllokuar një paketë HTTP të krijuar posaçërisht me një ridrejtim në faqen cung të ofruesit, sikur një përgjigje e tillë të ishte dërguar nga vetë burimi i kërkuar (IP e dërguesit adresa dhe sekuenca TCP janë të falsifikuara). Për shkak se DPI është fizikisht më afër përdoruesit sesa faqja e kërkuar, përgjigja e falsifikuar arrin pajisjen e përdoruesit më shpejt se përgjigja reale nga faqja.

DPI aktive

DPI aktive - DPI e lidhur me rrjetin e ofruesit në mënyrën e zakonshme, si çdo pajisje tjetër rrjeti. Ofruesi konfiguron rrugëzimin në mënyrë që DPI të marrë trafikun nga përdoruesit në adresat IP ose domenet e bllokuara, dhe DPI më pas vendos nëse do të lejojë apo bllokojë trafikun. DPI-ja aktive mund të inspektojë trafikun në dalje dhe atë në hyrje, megjithatë, nëse ofruesi përdor DPI vetëm për të bllokuar faqet nga regjistri, ai më së shpeshti konfigurohet për të inspektuar vetëm trafikun dalës.

Jo vetëm efektiviteti i bllokimit të trafikut, por edhe ngarkesa në DPI varet nga lloji i lidhjes, kështu që është e mundur të mos skanoni të gjithë trafikun, por vetëm disa të caktuar:

DPI "normale".

Një DPI "i rregullt" është një DPI që filtron një lloj të caktuar trafiku vetëm në portet më të zakonshme për atë lloj. Për shembull, një DPI "i rregullt" zbulon dhe bllokon trafikun e ndaluar HTTP vetëm në portin 80, trafikun HTTPS në portin 443. Ky lloj DPI nuk do të gjurmojë përmbajtjen e ndaluar nëse dërgoni një kërkesë me një URL të bllokuar në një IP të zhbllokuar ose jo port standard.

DPI "e plotë".

Ndryshe nga DPI "i rregullt", ky lloj DPI klasifikon trafikun pavarësisht nga adresa IP dhe porta. Në këtë mënyrë, faqet e bllokuara nuk do të hapen edhe nëse jeni duke përdorur një server proxy në një port krejtësisht të ndryshëm dhe adresë IP të zhbllokuar.

Duke përdorur DPI

Për të mos ulur shkallën e transferimit të të dhënave, duhet të përdorni DPI pasive "Normale", e cila ju lejon të bëni në mënyrë efektive? bllokoj ndonjë? burimeve, konfigurimi i paracaktuar duket si ky:

• Filtri HTTP vetëm në portën 80
• HTTPS vetëm në portën 443
• BitTorrent vetëm në portet 6881-6889

Por problemet fillojnë nëse burimi do të përdorë një port tjetër në mënyrë që të mos humbasë përdoruesit, atëherë do të duhet të kontrolloni çdo paketë, për shembull mund të jepni:

• HTTP funksionon në portin 80 dhe 8080
• HTTPS në portin 443 dhe 8443
• BitTorrent në çdo grup tjetër

Për shkak të kësaj, do të duhet të kaloni në DPI "Aktiv" ose të përdorni bllokimin duke përdorur një server shtesë DNS.

Bllokimi duke përdorur DNS

Një mënyrë për të bllokuar aksesin në një burim është të përgjoni kërkesën DNS duke përdorur një server lokal DNS dhe t'i ktheni përdoruesit një adresë IP "cung" në vend të burimit të kërkuar. Por kjo nuk jep një rezultat të garantuar, pasi është e mundur të parandalohet mashtrimi i adresës:

Opsioni 1: Redaktimi i skedarit të hosteve (për desktop)

Skedari i hosteve është një pjesë integrale e çdo sistemi operativ, i cili ju lejon ta përdorni gjithmonë atë. Për të hyrë në burim, përdoruesi duhet:

1. Gjeni adresën IP të burimit të kërkuar
2. Hapni skedarin e hosteve për redaktim (kërkohen të drejtat e administratorit), i vendosur në:
   • Linux: /etc/hosts
   • Windows: %WinDir%System32driversetchosts
3. Shtoni një rresht në formatin: <emri i burimit>
4. Ruaj ndryshimet

Avantazhi i kësaj metode është kompleksiteti i saj dhe kërkesa për të drejtat e administratorit.

Opsioni 2: DoH (DNS mbi HTTPS) ose DoT (DNS mbi TLS)

Këto metoda ju lejojnë të mbroni kërkesën tuaj DNS nga mashtrimi duke përdorur enkriptim, por zbatimi nuk mbështetet nga të gjitha aplikacionet. Le të shohim lehtësinë e konfigurimit të DoH për Mozilla Firefox versionin 66 nga ana e përdoruesit:

1. Shkoni në adresë about: config në Firefox
2. Konfirmoni që përdoruesi merr përsipër të gjithë rrezikun
3. Ndryshoni vlerën e parametrit rrjeti.trr.mode në:
   • 0 - çaktivizoni TRR
   • 1 - përzgjedhje automatike
   • 2 - aktivizoni DoH si parazgjedhje
4. Ndrysho parametrin rrjeti.trr.uri duke zgjedhur serverin DNS
   • Cloudflare DNS: mozilla.cloudflare-dns.com/dns-query
   • GoogleDNS: dns.google.com/experimental
5. Ndrysho parametrin rrjeti.trr.boostrapAdresa në:
   • Nëse zgjidhet Cloudflare DNS: 1.1.1.1
   • Nëse zgjidhet Google DNS: 8.8.8.8
6. Ndryshoni vlerën e parametrit rrjeti.siguria.esni.i aktivizuar mbi i vërtetë
7. Kontrolloni nëse cilësimet janë të sakta duke përdorur Shërbimi Cloudflare

Megjithëse kjo metodë është më komplekse, nuk kërkon që përdoruesi të ketë të drejta administratori dhe ka shumë mënyra të tjera për të siguruar një kërkesë DNS që nuk janë përshkruar në këtë artikull.

Opsioni 3 (për pajisjet celulare):

Duke përdorur aplikacionin Cloudflare për android и IOS.

Testimi

Për të kontrolluar mungesën e aksesit në burime, u ble përkohësisht një domen i bllokuar në Federatën Ruse:

• Kontrolli HTTP + porta 80
• Kontrolli HTTP + porta 8080
• Kontrolli HTTPS + porta 443
• Kontrolli HTTPS + porta 8443

Përfundim

Shpresoj se ky artikull do të jetë i dobishëm dhe do të inkurajojë jo vetëm administratorët që të kuptojnë temën në mënyrë më të detajuar, por gjithashtu do të japë një kuptim se burimet do të jenë gjithmonë në anën e përdoruesit dhe kërkimi i zgjidhjeve të reja duhet të jetë një pjesë integrale e tyre.

Lidhje të dobishme

• Zbatimi i standardit SNI të Enkriptuar në Firefox
• Bypass jashtë linje DPI

Shtesa jashtë artikullitTesti Cloudflare nuk mund të përfundojë në rrjetin e operatorit Tele2 dhe një DPI i konfiguruar saktë bllokon hyrjen në sitin e testimit.
PS Deri tani ky është ofruesi i parë që bllokon saktë burimet.

Burimi: www.habr.com