திட்டத்தின் ஒரு பகுதியாக மேரிலாந்து பல்கலைக்கழக ஆராய்ச்சியாளர்கள் உருவாக்க முயற்சித்தேன் உள்ளடக்கத்திற்கான அணுகலைத் தணிக்கை செய்யப் பயன்படுத்தப்படும் முறைகளைக் கண்டறிவதை தானியக்கமாக்க. ஆழமான பாக்கெட் ஆய்வு (DPI) அமைப்புகளில் சாத்தியமான பாதிப்புகளை கைமுறையாகக் கணக்கிட முயற்சிப்பது மிகவும் கடினமான மற்றும் நேரத்தை எடுத்துக்கொள்ளும் செயல்முறையாகும், ஆனால் ஜெனீவா பயன்படுத்த முயன்றது DPI அம்சங்களை மதிப்பிடுதல், செயல்படுத்தல் பிழைகளை அடையாளம் காணுதல் மற்றும் கிளையன்ட் பக்க தடுப்பைத் தவிர்ப்பதற்கான உகந்த உத்தியை உருவாக்குதல். திட்டக் குறியீடு பைத்தானில்.
DPI தடுப்புக்குப் பயன்படுத்தப்படும் உபகரணங்கள் அதன் சொந்தத்தைக் கொண்டுள்ளன , தடைசெய்யப்பட்ட வளத்திற்கான அணுகலை மறைக்க அல்லது தடுப்பதைத் தவிர்க்க உங்களை அனுமதிக்கிறது. எடுத்துக்காட்டாக, எளிமையான விஷயத்தில், போலி பதிலை மாற்றுவதன் மூலம் தடுப்பதை ஒழுங்கமைக்கும்போது (செயலற்ற DPI ஆல் பயன்படுத்தப்படுகிறது), அது கிளையன்ட் பக்கத்தில் போதுமானது. DPI அனுப்பிய போலி பதில். செயலில் உள்ள DPI ஐப் பயன்படுத்தும்போது, HTTP கோரிக்கை அளவுருக்களை சிறிது மாற்றுவதன் மூலம் (எடுத்துக்காட்டாக, "GET" க்குப் பிறகு கூடுதல் இடத்தைச் சேர்ப்பது), TLS இணைப்பு பேச்சுவார்த்தைத் தரவை பல பாக்கெட்டுகளாகப் பிரித்தல் அல்லது TCB Teardown மற்றும் TCB Desync தாக்குதல்களைச் செய்வதன் மூலம் நீங்கள் தடுக்கப்பட்ட தளத்தை அணுகுகிறீர்கள் என்பதை மறைக்க முயற்சி செய்யலாம். இந்தத் தாக்குதல்களில் கிளையன்ட் ஆரம்பத்தில் தரவு அல்லது RST/ACK கொடிகளுடன் ஒரு போலி பாக்கெட்டை அனுப்புவதை உள்ளடக்குகிறது. இந்த பாக்கெட் இலக்கு ஹோஸ்ட்டால் பெறப்படாது, ஆனால் DPI அதைக் கண்டறிந்து, அதன் அடிப்படையில் ஒரு முடிவை எடுக்கும், மேலும் உண்மையான கோரிக்கையுடன் அடுத்தடுத்த பாக்கெட்டை பகுப்பாய்வு செய்யாது (எடுத்துக்காட்டாக, போலி முதல் பாக்கெட்டில் நீங்கள் வேறு SNI ஐக் குறிப்பிடலாம், மேலும் இந்த பாக்கெட்டை இலக்கு ஹோஸ்டிலிருந்து மறைக்க, நீங்கள் குறைந்த TTL ஐ அமைக்கலாம், அதே போல் தவறான செக்சம், கொடிகள் அல்லது TCP வரிசை எண்ணையும் அமைக்கலாம்).
ஜெனீவா நான்கு அடிப்படை நெட்வொர்க் பாக்கெட் கையாளுதல் முதன்மைகளைப் பயன்படுத்தி செயல்படும் DPI பைபாஸ் முறையை உருவாக்க: கைவிடுதல், தலைப்பு மாற்றம், நகல் மற்றும் துண்டு துண்டாக மாற்றுதல். உகந்த உத்தியைத் தேர்ந்தெடுக்க, பல்வேறு பாக்கெட் கையாளுதல் விருப்பங்களின் சீரற்ற சேர்க்கைகள் மூலம் இயற்கைத் தேர்வைப் போன்ற செயல்முறைகளை உருவகப்படுத்தும் ஒரு மரபணு வழிமுறை பயன்படுத்தப்படுகிறது. இறுதியில், முதன்மையானவை DPI பைபாஸ் வழிமுறையை வரையறுக்கும் "செயல் மரமாக" இணைக்கப்படுகின்றன.
சீனா, இந்தியா மற்றும் கஜகஸ்தானில் பயன்படுத்தப்படும் தணிக்கை முறைகளைத் தவிர்ப்பதற்கு ஜெனீவா வெற்றிகரமாக சோதிக்கப்பட்டுள்ளது. ஜெனீவாவைப் பயன்படுத்தி முன்னர் அறியப்படாத பல பாதிப்புகளும் அடையாளம் காணப்பட்டன. இருப்பினும், ஜெனீவா DPI- அடிப்படையிலான தடுப்பிற்கு எதிராக மட்டுமே பயனுள்ளதாக இருக்கும்; IP முகவரி அடிப்படையிலான தடுப்பிற்கு எதிராக இது பயனற்றது, மேலும் ஒரு VPN தேவைப்படுகிறது. சோதனைகளின் போது, முழு பகுப்பாய்வை மேற்கொள்ளாமல் உடனடியாக சோதிக்கக்கூடிய பல டஜன் வழக்கமான DPI பைபாஸ் உத்திகள் உள்ளன, எடுத்துக்காட்டாக:
python3 engine.py --server-port 80 --strategy "[TCP:flags:PA]-duplicate(tamper{TCP:dataofs:replace:10} tamper{TCP:chksum:corrupt},),)-|" --log பிழைத்திருத்தம்
2020-01-24 20:54:41 பிழைத்திருத்தம்:[பொறி] 80 ஐ போர்ட் செய்ய உத்தி \/ (ID bm3kdw3r) உடன் உருவாக்கப்பட்ட இயந்திரம்.
2020-01-24 20:54:41 பிழைத்திருத்தம்:[பொறி] iptables விதிகளை உள்ளமைத்தல்
2020-01-24 20:54:41 பிழைத்திருத்தம்:[பொறி] iptables -A வெளியீடு -p tcp --sport 80 -j NFQUEUE --queue-num 1
2020-01-24 20:54:41 பிழைத்திருத்தம்:[பொறி] iptables -A உள்ளீடு -p tcp --dport 80 -j NFQUEUE --queue-num 2
2020-01-24 20:54:41 பிழைத்திருத்தம்:[பொறி] iptables -A வெளியீடு -p udp --sport 80 -j NFQUEUE --queue-num 1
2020-01-24 20:54:41 பிழைத்திருத்தம்:[பொறி] iptables -A உள்ளீடு -p udp --dport 80 -j NFQUEUE --queue-num 2
ஆதாரம்: opennet.ru
