Fitur tina setélan DPI

Artikel ieu teu nutupan adjustment DPI lengkep jeung sagalana disambungkeun babarengan, sarta nilai ilmiah téks minimal. Tapi ngajelaskeun cara pangbasajanna pikeun ngaliwat DPI, anu seueur perusahaan henteu dipertimbangkeun.

Bantahan #1: Tulisan ieu sifatna panalungtikan sareng henteu ngadorong saha waé pikeun ngalakukeun atanapi nganggo naon waé. Ide ieu dumasar kana pangalaman pribadi, sarta sagala kamiripan anu acak.

Предупреждение №2: в статье не раскрываются тайны Атлантиды, поиска Святого Грааля и иные загадки вселенной, весь материал находится в свободном доступе и возможно не раз был описан на Хабре. (я не нашел, за ссылку буду признателен)

Pikeun anu parantos maca peringatan, hayu urang mimitian.

Naon DPI?

DPI atanapi Deep Packet Inspection mangrupikeun téknologi pikeun ngumpulkeun data statistik, mariksa sareng nyaring pakét jaringan ku cara nganalisa sanés ngan ukur header pakét, tapi ogé eusi lalu lintas lengkep dina tingkat modél OSI ti kadua sareng langkung luhur, anu ngamungkinkeun anjeun ngadeteksi sareng meungpeuk virus, nyaring inpormasi anu henteu nyumponan kriteria anu ditangtukeun.

Aya dua jinis sambungan DPI, anu dijelaskeun ValdikSS dina github:

DPI pasip

DPI disambungkeun ka jaringan panyadia dina paralel (teu di cut a) boh ngaliwatan splitter optik pasip, atawa ngagunakeun mirroring lalulintas asalna ti pamaké. Sambungan ieu henteu ngalambatkeun laju jaringan panyadia upami kinerja DPI henteu cekap, naha éta dianggo ku panyadia ageung. DPI kalayan jenis sambungan ieu téhnisna ngan bisa ngadeteksi usaha pikeun ménta eusi dilarang, tapi teu eureun. Pikeun ngalangkungan larangan ieu sareng meungpeuk aksés ka situs anu dilarang, DPI ngirimkeun pangguna nyuhunkeun URL anu diblokir pakét HTTP anu didamel khusus kalayan alihan ka halaman rintisan panyadia, saolah-olah réspon sapertos dikirim ku sumber anu dipénta sorangan (IP pangirimna. alamat sareng urutan TCP dipalsukan). Kusabab DPI sacara fisik langkung caket ka pangguna tibatan situs anu dipénta, réspon spoofed ngahontal alat pangguna langkung gancang tibatan réspon nyata tina situs éta.

DPI aktip

DPI aktip - DPI nyambung ka jaringan panyadia dina cara biasa, sapertos alat jaringan anu sanés. Panyadia ngonpigurasikeun routing supados DPI nampi lalu lintas ti pangguna ka alamat IP atanapi domain anu diblokir, sareng DPI teras mutuskeun naha ngijinkeun atanapi meungpeuk lalu lintas. DPI aktip tiasa mariksa lalu lintas kaluar sareng asup, kumaha oge, upami panyadia nganggo DPI ngan ukur pikeun meungpeuk situs tina pendaptaran, éta paling sering dikonpigurasi pikeun mariksa ukur lalu lintas kaluar.

Henteu ngan ukur efektivitas pameungpeuk lalu lintas, tapi ogé beban dina DPI gumantung kana jinis sambungan, ku kituna anjeun tiasa henteu nyeken sadaya lalu lintas, tapi ngan ukur anu tangtu:

"Normal" DPI

DPI "biasa" mangrupikeun DPI anu nyaring jinis lalu lintas ngan ukur dina palabuhan anu paling umum pikeun jinis éta. Contona, hiji "biasa" DPI ngadeteksi na blok dilarang lalulintas HTTP ngan dina port 80, lalulintas HTTPS on port 443. jenis ieu DPI moal lagu eusi dilarang lamun ngirim pamundut kalawan URL diblokir ka IP unblocked atawa non- port baku.

DPI "pinuh".

Teu kawas DPI "biasa", tipe ieu DPI ngagolongkeun lalulintas paduli alamat IP na port. Ku cara ieu, situs anu diblokir moal dibuka sanajan anjeun nganggo server proxy dina port anu béda sareng alamat IP anu teu diblokir.

Ngagunakeun DPI

Dina raraga teu ngurangan laju mindahkeun data, Anjeun kudu make "Normal" DPI pasip, nu ngidinan Anjeun pikeun éféktif? blokir wae? sumberdaya, konfigurasi standar sapertos kieu:

• Saringan HTTP ngan ukur dina port 80
• HTTPS ngan dina port 443
• BitTorrent ngan ukur dina palabuhan 6881-6889

Tapi masalah dimimitian lamun sumberdaya bakal ngagunakeun port béda ku kituna teu leungit pamaké, teras anjeun kedah pariksa unggal pakét, contona anjeun tiasa masihan:

• HTTP tiasa dianggo dina port 80 sareng 8080
• HTTPS dina port 443 sareng 8443
• BitTorrent dina band anu sanés

Kusabab ieu, anjeun kedah ngalih ka DPI "Aktif" atanapi nganggo blokir nganggo pangladén DNS tambahan.

Blocking maké DNS

Salah sahiji cara pikeun meungpeuk aksés ka sumber daya nyaéta pikeun nyegat pamundut DNS nganggo server DNS lokal sareng ngabalikeun pangguna alamat IP "stub" tinimbang sumber daya anu diperyogikeun. Tapi ieu henteu masihan hasil anu dijamin, sabab mungkin pikeun nyegah spoofing alamat:

Pilihan 1: Ngédit file host (pikeun desktop)

File host mangrupikeun bagian integral tina sistem operasi naon waé, anu ngamungkinkeun anjeun salawasna ngagunakeunana. Pikeun ngakses sumberdaya, pamaké kudu:

1. Panggihan alamat IP tina sumber anu diperyogikeun
2. Buka file host pikeun ngédit (hak administrator diperlukeun), ayana di:
   • Linux: /etc/hosts
   • Windows: %WinDir%System32driversthosts
3. Tambahkeun garis dina format:
4. Simpen parobahan

Kauntungannana metoda ieu nyaeta pajeulitna sarta sarat pikeun hak administrator.

Pilihan 2: DoH (DNS leuwih HTTPS) atawa DoT (DNS leuwih TLS)

Métode ieu ngamungkinkeun anjeun ngajagi pamundut DNS anjeun tina spoofing nganggo enkripsi, tapi palaksanaanna henteu dirojong ku sadaya aplikasi. Hayu urang tingali betah nyetel DoH pikeun Mozilla Firefox versi 66 ti sisi pamaké:

1. Pindah ka alamat ngeunaan: config dina Firefox
2. Pastikeun yén pamaké nganggap sagala resiko
3. Изменить значение параметра network.trr.mode dina:
   • 0 - nganonaktipkeun TRR
   • 1 - Pilihan otomatis
   • 2 - aktipkeun DoH sacara standar
4. Robah parameter network.trr.uri milih server DNS
   • Cloudflare DNS: mozilla.cloudflare-dns.com/dns-query
   • GoogleDNS: dns.google.com/experimental
5. Robah parameter network.trr.boostrapAddress dina:
   • Lamun Cloudflare DNS dipilih: 1.1.1.1
   • Lamun Google DNS dipilih: 8.8.8.8
6. Изменить значение параметра network.security.esni.enabled dina bener
7. Pariksa yen setelan nu bener ngagunakeun jasa Cloudflare

Sanajan metoda ieu leuwih kompleks, teu merlukeun pamaké boga hak administrator, sarta aya loba cara séjén pikeun ngamankeun pamundut DNS nu teu dijelaskeun dina artikel ieu.

Pilihan 3 (pikeun alat sélulér):

Ngagunakeun aplikasi Cloudflare pikeun Android и ios.

Tés

Pikeun mariksa kurangna aksés ka sumber daya, hiji domain diblokir di Féderasi Rusia ieu samentara dibeuli:

• Pariksa HTTP + port 80
• Pariksa HTTP + port 8080
• Pariksa HTTPS + port 443
• Pariksa HTTPS + port 8443

kacindekan

Abdi ngarepkeun tulisan ieu tiasa mangfaat sareng bakal ngadorong henteu ngan ukur pangurus pikeun ngartos topik anu langkung rinci, tapi ogé bakal masihan pamahaman yén sumberdaya bakal salawasna aya di sisi pamaké, sarta pilarian pikeun solusi anyar kedah bagian integral maranéhna.

link mangpaat

• Ngalaksanakeun standar SNI Énkripsi dina Firefox
• Offline DPI Bypass

Tambahan di luar artikelTes Cloudflare teu tiasa réngsé dina jaringan operator Tele2, sareng DPI anu dikonpigurasi leres ngahalangan aksés ka situs uji.
P.S. Sajauh ieu mangrupikeun panyadia munggaran anu leres meungpeuk sumber.

sumber: www.habr.com