Vipengele vya mipangilio ya DPI

Nakala hii haijumuishi marekebisho kamili ya DPI na kila kitu kimeunganishwa pamoja, na thamani ya kisayansi ya maandishi ni ndogo. Lakini inaelezea njia rahisi zaidi ya kupitisha DPI, ambayo makampuni mengi hayajazingatia.

Kanusho #1: Nakala hii ni ya utafiti na haihimizi mtu yeyote kufanya au kutumia chochote. Wazo linatokana na uzoefu wa kibinafsi, na kufanana yoyote ni random.

Onyo nambari 2: kifungu hakifichui siri za Atlantis, utaftaji wa Grail Takatifu na mafumbo mengine ya ulimwengu; nyenzo zote zinapatikana bila malipo na zinaweza kuwa zimeelezewa zaidi ya mara moja kwenye Habre. (Sijaipata, ningeshukuru kwa kiungo)

Kwa wale ambao wamesoma maonyo, wacha tuanze.

DPI ni nini?

DPI au Ukaguzi wa Pakiti ya kina ni teknolojia ya kukusanya data ya takwimu, kuangalia na kuchuja pakiti za mtandao kwa kuchambua sio tu vichwa vya pakiti, lakini pia maudhui kamili ya trafiki katika viwango vya mfano wa OSI kutoka kwa pili na ya juu, ambayo inakuwezesha kuchunguza na kuzuia virusi, maelezo ya chujio ambayo hayakidhi vigezo maalum.

Kuna aina mbili za uunganisho wa DPI, ambazo zinaelezwa ValdikSS kwenye github:

Passive DPI

DPI iliyounganishwa kwa mtandao wa mtoa huduma sambamba (sio katika kata) ama kupitia kigawanyaji cha macho tu, au kwa kutumia uakisi wa trafiki inayotoka kwa watumiaji. Uunganisho huu haupunguzi kasi ya mtandao wa mtoa huduma katika kesi ya utendaji wa kutosha wa DPI, ndiyo sababu hutumiwa na watoa huduma kubwa. DPI iliyo na aina hii ya muunganisho inaweza tu kugundua kitaalam jaribio la kuomba maudhui yaliyopigwa marufuku, lakini sio kuizuia. Ili kukwepa kizuizi hiki na kuzuia ufikiaji wa tovuti iliyopigwa marufuku, DPI hutuma mtumiaji akiomba URL iliyozuiwa pakiti ya HTTP iliyoundwa mahususi na kuelekezwa upya kwa ukurasa wa mtoa huduma, kana kwamba jibu kama hilo lilitumwa na rasilimali iliyoombwa yenyewe (IP ya mtumaji). anwani na mlolongo wa TCP ni ghushi). Kwa sababu DPI iko karibu zaidi na mtumiaji kuliko tovuti iliyoombwa, majibu yaliyoibiwa hufikia kifaa cha mtumiaji haraka kuliko jibu halisi kutoka kwa tovuti.

DPI inayotumika

DPI inayotumika - DPI iliyounganishwa kwa mtandao wa mtoa huduma kwa njia ya kawaida, kama kifaa kingine chochote cha mtandao. Mtoa huduma husanidi uelekezaji ili DPI ipokee trafiki kutoka kwa watumiaji hadi kwa anwani za IP zilizozuiwa au vikoa, na kisha DPI huamua ikiwa itaruhusu au kuzuia trafiki. DPI inayotumika inaweza kukagua trafiki inayotoka na inayoingia, hata hivyo, ikiwa mtoa huduma anatumia DPI kuzuia tovuti kutoka kwa sajili, mara nyingi husanidiwa kukagua trafiki inayotoka tu.

Sio tu ufanisi wa kuzuia trafiki, lakini pia mzigo kwenye DPI inategemea aina ya uunganisho, kwa hiyo inawezekana si kuchunguza trafiki yote, lakini ni baadhi tu:

"Kawaida" DPI

DPI ya "kawaida" ni DPI ambayo huchuja aina fulani ya trafiki kwenye milango ya kawaida ya aina hiyo pekee. Kwa mfano, DPI ya "kawaida" hutambua na kuzuia trafiki iliyopigwa marufuku ya HTTP pekee kwenye mlango wa 80, trafiki ya HTTPS kwenye mlango wa 443. Aina hii ya DPI haitafuatilia maudhui yaliyopigwa marufuku ukituma ombi lenye URL iliyozuiwa kwa IP isiyozuiwa au isiyozuiliwa. bandari ya kawaida.

"Kamili" DPI

Tofauti na DPI "ya kawaida", aina hii ya DPI inaainisha trafiki bila kujali anwani ya IP na bandari. Kwa njia hii, tovuti zilizozuiwa hazitafunguka hata kama unatumia seva ya proksi kwenye mlango tofauti kabisa na anwani ya IP isiyozuiliwa.

Kwa kutumia DPI

Ili usipunguze kiwango cha uhamisho wa data, unahitaji kutumia "Kawaida" DPI ya passive, ambayo inakuwezesha kwa ufanisi? kuzuia yoyote? rasilimali, usanidi chaguo-msingi unaonekana kama hii:

• Kichujio cha HTTP kwenye mlango wa 80 pekee
• HTTPS kwenye bandari 443 pekee
• BitTorrent tu kwenye bandari 6881-6889

Lakini matatizo huanza kama rasilimali itatumia bandari tofauti ili isipoteze watumiaji, basi itabidi uangalie kila kifurushi, kwa mfano unaweza kutoa:

• HTTP inafanya kazi kwenye bandari 80 na 8080
• HTTPS kwenye bandari 443 na 8443
• BitTorrent kwenye bendi nyingine yoyote

Kwa sababu hii, itabidi ubadilishe hadi DPI "Inayotumika" au utumie kuzuia kwa kutumia seva ya ziada ya DNS.

Inazuia kwa kutumia DNS

Njia moja ya kuzuia ufikiaji wa rasilimali ni kukataza ombi la DNS kwa kutumia seva ya ndani ya DNS na kumrudishia mtumiaji anwani ya IP ya "stub" badala ya rasilimali inayohitajika. Lakini hii haitoi matokeo yaliyohakikishwa, kwani inawezekana kuzuia uporaji wa anwani:

Chaguo 1: Kuhariri faili ya mwenyeji (kwa eneo-kazi)

Faili ya majeshi ni sehemu muhimu ya mfumo wowote wa uendeshaji, ambayo inakuwezesha kuitumia daima. Ili kufikia rasilimali, mtumiaji lazima:

1. Tafuta anwani ya IP ya rasilimali inayohitajika
2. Fungua faili ya seva pangishi ili kuhaririwa (haki za msimamizi zinahitajika), iliyoko katika:
   • Linux: /etc/hosts
   • Windows: %WinDir%System32driversetchosts
3. Ongeza mstari katika umbizo: <jina la rasilimali>
4. Hifadhi mabadiliko

Faida ya njia hii ni ugumu wake na hitaji la haki za msimamizi.

Chaguo la 2: DoH (DNS juu ya HTTPS) au DoT (DNS juu ya TLS)

Mbinu hizi hukuruhusu kulinda ombi lako la DNS dhidi ya udukuzi kwa kutumia usimbaji fiche, lakini utekelezaji hauhimiliwi na programu zote. Hebu tuangalie urahisi wa kusanidi DoH ya toleo la 66 la Firefox ya Mozilla kutoka upande wa mtumiaji:

1. Nenda kwa anwani kuhusu: config katika Firefox
2. Thibitisha kuwa mtumiaji anachukua hatari zote
3. Badilisha thamani ya kigezo network.trr.mode juu ya:
   • 0 - zima TRR
   • 1 - uteuzi wa moja kwa moja
   • 2 - wezesha DoH kwa chaguo-msingi
4. Badilisha parameter mtandao.trr.uri kuchagua seva ya DNS
   • Cloudflare DNS: mozilla.cloudflare-dns.com/dns-query
   • GoogleDNS: dns.google.com/experimental
5. Badilisha parameter network.trr.boostrapAddress juu ya:
   • Ikiwa DNS ya Cloudflare imechaguliwa: 1.1.1.1
   • Ikiwa Google DNS imechaguliwa: 8.8.8.8
6. Badilisha thamani ya kigezo mtandao.usalama.esni.umewezeshwa juu ya kweli
7. Angalia kuwa mipangilio ni sahihi kutumia Huduma ya Cloudflare

Ingawa njia hii ni ngumu zaidi, haihitaji mtumiaji kuwa na haki za msimamizi, na kuna njia zingine nyingi za kupata ombi la DNS ambalo halijaelezewa katika nakala hii.

Chaguo 3 (kwa vifaa vya rununu):

Kutumia programu ya Cloudflare kwa Android и IOs.

Upimaji

Ili kuangalia ukosefu wa ufikiaji wa rasilimali, kikoa kilichozuiwa katika Shirikisho la Urusi kilinunuliwa kwa muda:

• Angalia HTTP + bandari 80
• Angalia HTTP + bandari 8080
• Angalia HTTPS + bandari 443
• Angalia HTTPS + bandari 8443

Hitimisho

Natumaini makala hii itakuwa ya manufaa na itawahimiza wasimamizi tu kuelewa mada kwa undani zaidi, lakini pia itatoa ufahamu kwamba rasilimali zitakuwa kwa upande wa mtumiaji kila wakati, na utaftaji wa suluhisho mpya unapaswa kuwa sehemu muhimu kwao.

Viungo muhimu

• Utekelezaji wa kiwango cha SNI Iliyosimbwa kwa njia fiche katika Firefox
• Bypass ya DPI ya nje ya mtandao

Nyongeza nje ya kifunguJaribio la Cloudflare haliwezi kukamilika kwenye mtandao wa opereta wa Tele2, na DPI iliyosanidiwa kwa usahihi huzuia ufikiaji wa tovuti ya jaribio.
PS Kufikia sasa huyu ndiye mtoa huduma wa kwanza anayezuia rasilimali kwa usahihi.

Chanzo: mapenzi.com