Den här artikeln täcker inte fullständig DPI-justering och allt sammankopplat, och det vetenskapliga värdet av texten är minimalt. Men den beskriver det enklaste sättet att kringgå DPI, vilket många företag inte har tagit hänsyn till.
Friskrivningsklausul #1: Denna artikel är av forskningskaraktär och uppmuntrar inte någon att göra eller använda någonting. Idén är baserad på personlig erfarenhet, och eventuella likheter är slumpmässiga.
Varning nr 2: artikeln avslöjar inte Atlantis hemligheter, sökandet efter den heliga gralen och andra mysterier i universum, allt material är fritt tillgängligt och kan ha beskrivits mer än en gång på Habré. (Jag hittade den inte, skulle vara tacksam för länken)
För de som har läst varningarna, låt oss börja.
Vad är DPI?
DPI eller Deep Packet Inspection är en teknik för ackumulering av statistisk data, kontroll och filtrering av nätverkspaket genom att analysera inte bara pakethuvuden, utan även hela innehållet i trafiken på nivåer av OSI-modellen från den andra och högre, vilket gör att du kan upptäcka och blockera virus, filtrera information som inte uppfyller angivna kriterier .
Det finns två typer av DPI-anslutningar som beskrivs :
Passiv DPI
DPI ansluten till leverantörens nätverk parallellt (inte i ett snitt) antingen genom en passiv optisk splitter, eller genom att använda spegling av trafik som kommer från användare. Denna anslutning saktar inte ner hastigheten på leverantörens nätverk i händelse av otillräcklig DPI-prestanda, varför den används av stora leverantörer. DPI med denna anslutningstyp kan tekniskt sett bara upptäcka ett försök att begära förbjudet innehåll, men inte stoppa det. För att kringgå denna begränsning och blockera åtkomst till en förbjuden webbplats skickar DPI användaren som begär en blockerad URL ett specialtillverkat HTTP-paket med en omdirigering till leverantörens stubbsida, som om ett sådant svar skickades av den begärda resursen själv (avsändarens IP-adress) adress och TCP-sekvens är förfalskade). Eftersom DPI:n är fysiskt närmare användaren än den begärda platsen, når det falska svaret användarens enhet snabbare än det verkliga svaret från platsen.
Aktiv DPI
Active DPI - DPI ansluten till leverantörens nätverk på vanligt sätt, som alla andra nätverksenheter. Leverantören konfigurerar routing så att DPI tar emot trafik från användare till blockerade IP-adresser eller domäner, och DPI bestämmer sedan om trafik ska tillåtas eller blockeras. Active DPI kan inspektera både utgående och inkommande trafik, men om leverantören endast använder DPI för att blockera webbplatser från registret är den oftast konfigurerad att inspektera endast utgående trafik.
Inte bara effektiviteten av trafikblockering, utan också belastningen på DPI beror på typen av anslutning, så det är möjligt att inte skanna all trafik, utan bara vissa:
"Normal" DPI
En "vanlig" DPI är en DPI som filtrerar en viss typ av trafik endast på de vanligaste portarna för den typen. Till exempel upptäcker och blockerar en "vanlig" DPI förbjuden HTTP-trafik endast på port 80, HTTPS-trafik på port 443. Denna typ av DPI kommer inte att spåra förbjudet innehåll om du skickar en begäran med en blockerad URL till en oblockerad IP eller icke- standardport.
"Full" DPI
Till skillnad från "vanlig" DPI klassificerar denna typ av DPI trafik oavsett IP-adress och port. På så sätt öppnas inte blockerade webbplatser även om du använder en proxyserver på en helt annan port och oblockerad IP-adress.
Använder DPI
För att inte minska dataöverföringshastigheten måste du använda "Normal" passiv DPI, vilket gör att du effektivt? blockera någon? resurser ser standardkonfigurationen ut så här:
- HTTP-filter endast på port 80
- HTTPS endast på port 443
- BitTorrent endast på portarna 6881-6889
Men problem börjar om resursen kommer att använda en annan port för att inte tappa användare, då måste du kontrollera varje paket, till exempel kan du ge:
- HTTP fungerar på port 80 och 8080
- HTTPS på port 443 och 8443
- BitTorrent på något annat band
På grund av detta måste du antingen byta till "Aktiv" DPI eller använda blockering med en extra DNS-server.
Blockering med DNS
Ett sätt att blockera åtkomst till en resurs är att fånga upp DNS-begäran med hjälp av en lokal DNS-server och returnera användaren en "stub" IP-adress istället för den nödvändiga resursen. Men detta ger inte ett garanterat resultat, eftersom det är möjligt att förhindra adresspoofing:
Alternativ 1: Redigera hosts-filen (för skrivbordet)
Hosts-filen är en integrerad del av alla operativsystem, vilket gör att du alltid kan använda den. För att komma åt resursen måste användaren:
- Ta reda på IP-adressen för den nödvändiga resursen
- Öppna hosts-filen för redigering (administratörsrättigheter krävs), som finns i:
- Linux: /etc/hosts
- Windows: %WinDir%System32driversetchosts
- Lägg till en rad i formatet: <resursnamn>
- Spara ändringar
Fördelen med denna metod är dess komplexitet och kravet på administratörsrättigheter.
Alternativ 2: DoH (DNS över HTTPS) eller DoT (DNS över TLS)
Dessa metoder låter dig skydda din DNS-förfrågan från spoofing med kryptering, men implementeringen stöds inte av alla applikationer. Låt oss titta på hur enkelt det är att ställa in DoH för Mozilla Firefox version 66 från användarens sida:
- Gå till adressen i Firefox
- Bekräfta att användaren tar alla risker
- Ändra parametervärde nätverk.trr.läge på:
- 0 — inaktivera TRR
- 1 - automatiskt val
- 2 - aktivera DoH som standard
- Ändra parameter network.trr.uri välja DNS-server
- Cloudflare DNS:
- GoogleDNS:
- Ändra parameter network.trr.boostrapAddress på:
- Om Cloudflare DNS väljs: 1.1.1.1
- Om Google DNS är valt: 8.8.8.8
- Ändra parametervärde network.security.esni.enabled på sann
- Kontrollera att inställningarna är korrekta med
Även om den här metoden är mer komplex kräver den inte att användaren har administratörsrättigheter, och det finns många andra sätt att säkra en DNS-förfrågan som inte beskrivs i den här artikeln.
Alternativ 3 (för mobila enheter):
Använda Cloudflare-appen för att и .
testning
För att kontrollera bristen på tillgång till resurser köptes tillfälligt en domän blockerad i Ryska federationen:
Slutsats
Jag hoppas att den här artikeln kommer att vara användbar och kommer att uppmuntra inte bara administratörer att förstå ämnet mer i detalj, utan också ge en förståelse för att resurser kommer alltid att finnas på användarens sida, och sökandet efter nya lösningar bör vara en integrerad del för dem.
Användbara länkar
Tillägg utanför artikelnCloudflare-testet kan inte slutföras på Tele2s operatörsnätverk, och en korrekt konfigurerad DPI blockerar åtkomst till testplatsen.
PS Hittills är detta den första leverantören som korrekt blockerar resurser.
Källa: will.com