Карактеристике ДПИ подешавања

Овај чланак не покрива потпуно подешавање ДПИ и све што је повезано, а научна вредност текста је минимална. Али описује најједноставнији начин да се заобиђе ДПИ, што многе компаније нису узеле у обзир.

Одрицање одговорности #1: Овај чланак је истраживачке природе и не подстиче никога да било шта ради или користи. Идеја је заснована на личном искуству, а све сличности су насумичне.

Упозорење број 2: чланак не открива тајне Атлантиде, потраге за Светим гралом и друге мистерије универзума; сав материјал је бесплатно доступан и можда је више пута описан на Хабреу. (Нисам га нашао, био бих захвалан на линку)

За оне који су прочитали упозорења, почнимо.

Шта је ДПИ?

ДПИ или Дееп Пацкет Инспецтион је технологија за прикупљање статистичких података, проверу и филтрирање мрежних пакета анализом не само заглавља пакета, већ и пуног садржаја саобраћаја на нивоима ОСИ модела од другог и вишег, што вам омогућава да откријете и блокирају вирусе, филтрирају информације које не испуњавају одређене критеријуме.

Постоје две врсте ДПИ везе које су описане ВалдикСС на гитхуб-у:

Пасивни ДПИ

ДПИ повезан са мрежом провајдера паралелно (не у пресеку) или преко пасивног оптичког разделника, или коришћењем пресликавања саобраћаја који потиче од корисника. Ова веза не успорава брзину мреже провајдера у случају недовољних ДПИ перформанси, због чега је користе велики провајдери. ДПИ са овим типом везе технички може само да открије покушај захтевања забрањеног садржаја, али не и да га заустави. Да би заобишао ово ограничење и блокирао приступ забрањеном сајту, ДПИ шаље кориснику који захтева блокирану УРЛ адресу посебно направљен ХТТП пакет са преусмеравањем на стуб страницу провајдера, као да је такав одговор послао сам тражени ресурс (ИП пошиљаоца адреса и ТЦП секвенца су фалсификовани). Пошто је ДПИ физички ближи кориснику од захтеваног сајта, лажни одговор стиже до уређаја корисника брже од стварног одговора са сајта.

Ацтиве ДПИ

Активни ДПИ - ДПИ повезан на мрежу провајдера на уобичајен начин, као и сваки други мрежни уређај. Провајдер конфигурише рутирање тако да ДПИ прима саобраћај од корисника до блокираних ИП адреса или домена, а ДПИ затим одлучује да ли ће дозволити или блокирати саобраћај. Активни ДПИ може да контролише и одлазни и долазни саобраћај, међутим, ако провајдер користи ДПИ само за блокирање сајтова из регистра, најчешће је конфигурисан да прегледа само одлазни саобраћај.

Не само ефикасност блокирања саобраћаја, већ и оптерећење на ДПИ зависи од врсте везе, тако да је могуће скенирати не сав саобраћај, већ само одређене:

"Нормални" ДПИ

„Обични“ ДПИ је ДПИ који филтрира одређену врсту саобраћаја само на најчешћим портовима за тај тип. На пример, „обичан“ ДПИ открива и блокира забрањени ХТТП саобраћај само на порту 80, ХТТПС саобраћај на порту 443. Овај тип ДПИ неће пратити забрањени садржај ако пошаљете захтев са блокираном УРЛ-ом на деблокирани ИП или не- стандардни порт.

"Пуна" ДПИ

За разлику од „обичног“ ДПИ, овај тип ДПИ класификује саобраћај без обзира на ИП адресу и порт. На овај начин, блокирани сајтови се неће отварати чак и ако користите проки сервер на потпуно другом порту и деблокираној ИП адреси.

Коришћење ДПИ

Да не бисте смањили брзину преноса података, потребно је да користите „Нормални“ пасивни ДПИ, који вам омогућава да ефикасно? блокирати било који? ресурсе, подразумевана конфигурација изгледа овако:

• ХТТП филтер само на порту 80
• ХТТПС само на порту 443
• БитТоррент само на портовима 6881-6889

Али проблеми почињу ако ресурс ће користити други порт како не би изгубио кориснике, онда ћете морати да проверите сваки пакет, на пример можете дати:

• ХТТП ради на портовима 80 и 8080
• ХТТПС на портовима 443 и 8443
• БитТоррент на било ком другом опсегу

Због тога ћете морати или да се пребаците на „Активан“ ДПИ или да користите блокирање помоћу додатног ДНС сервера.

Блокирање помоћу ДНС-а

Један од начина да се блокира приступ ресурсу је пресретање ДНС захтева помоћу локалног ДНС сервера и враћање кориснику „стуб“ ИП адресе уместо захтеваног ресурса. Али ово не даје гарантовани резултат, јер је могуће спречити лажирање адресе:

Опција 1: Уређивање датотеке хостова (за десктоп)

Датотека хостс је саставни део сваког оперативног система, што вам омогућава да је увек користите. Да би приступио ресурсу, корисник мора:

1. Сазнајте ИП адресу потребног ресурса
2. Отворите датотеку хостс за уређивање (потребна су администраторска права), која се налази у:
   • Линук: /етц/хостс
   • Виндовс: %ВинДир%Систем32дриверсетцхостс
3. Додајте ред у формату: <име ресурса>
4. Сачувај промене

Предност ове методе је њена сложеност и захтев за администраторским правима.

Опција 2: ДоХ (ДНС преко ХТТПС-а) или ДоТ (ДНС преко ТЛС-а)

Ове методе вам омогућавају да заштитите свој ДНС захтев од лажирања коришћењем шифровања, али имплементацију не подржавају све апликације. Погледајмо лакоћу подешавања ДоХ-а за Мозилла Фирефок верзију 66 са стране корисника:

1. Иди на адресу абоут: цонфиг у Фирефок-у
2. Потврдите да корисник преузима сав ризик
3. Промените вредност параметра нетворк.трр.моде он:
   • 0 — онемогући ТРР
   • 1 - аутоматски избор
   • 2 - подразумевано омогући ДоХ
4. Промените параметар нетворк.трр.ури избор ДНС сервера
   • Цлоудфларе ДНС: мозилла.цлоудфларе-днс.цом/днс-куери
   • Гоогле ДНС: днс.гоогле.цом/екпериментал
5. Промените параметар нетворк.трр.боострапАддресс он:
   • Ако је изабран Цлоудфларе ДНС: 1.1.1.1
   • Ако је изабран Гоогле ДНС: 8.8.8.8
6. Промените вредност параметра нетворк.сецурити.есни.енаблед на прави
7. Проверите да ли су подешавања исправна помоћу Цлоудфларе услуга

Иако је овај метод сложенији, не захтева од корисника да има администраторска права, а постоји много других начина да се обезбеди ДНС захтев који нису описани у овом чланку.

Опција 3 (за мобилне уређаје):

Коришћење апликације Цлоудфларе за Android и ИОС.

Тестирање

Да бисмо проверили недостатак приступа ресурсима, привремено је купљен домен блокиран у Руској Федерацији:

• ХТТП провера + порт 80
• ХТТП провера + порт 8080
• ХТТПС провера + порт 443
• ХТТПС провера + порт 8443

Закључак

Надам се да ће овај чланак бити користан и да ће подстаћи не само администраторе да детаљније разумеју тему, већ ће и дати разумевање да ресурси ће увек бити на страни корисника, а потрага за новим решењима треба да буде њихов саставни део.

Корисни линкови

• Имплементација шифрованог СНИ стандарда у Фирефок-у
• Оффлине ДПИ Бипасс

Додатак ван чланкаЦлоудфларе тест се не може завршити на мрежи оператера Теле2, а исправно конфигурисан ДПИ блокира приступ сајту за тестирање.
ПС До сада је ово први провајдер који исправно блокира ресурсе.

Извор: ввв.хабр.цом