บทความนี้ไม่ครอบคลุมถึงการปรับ DPI เต็มรูปแบบและทุกสิ่งที่เชื่อมโยงเข้าด้วยกัน และคุณค่าทางวิทยาศาสตร์ของข้อความก็มีน้อยมาก แต่มันอธิบายวิธีที่ง่ายที่สุดในการเลี่ยงผ่าน DPI ซึ่งหลายบริษัทไม่ได้คำนึงถึง
ข้อจำกัดความรับผิดชอบ #1: บทความนี้มีลักษณะเป็นการวิจัย และไม่สนับสนุนให้ใครทำหรือใช้สิ่งใดๆ แนวคิดนี้อิงจากประสบการณ์ส่วนตัว และความคล้ายคลึงกันจะเป็นแบบสุ่ม
คำเตือนหมายเลข 2: บทความนี้ไม่ได้เปิดเผยความลับของแอตแลนติส การค้นหาจอกศักดิ์สิทธิ์ และความลึกลับอื่น ๆ ของจักรวาล เนื้อหาทั้งหมดหาได้ฟรีและอาจมีการอธิบายไว้ในHabréมากกว่าหนึ่งครั้ง (ฉันหามันไม่เจอ ฉันจะขอบคุณสำหรับลิงค์)
สำหรับใครที่ได้อ่านคำเตือนแล้ว มาเริ่มกันเลย
ดีพีไอคืออะไร?
DPI หรือ Deep Packet Inspection เป็นเทคโนโลยีสำหรับการรวบรวมข้อมูลทางสถิติ ตรวจสอบและกรองแพ็กเก็ตเครือข่ายโดยการวิเคราะห์ไม่เพียงแต่ส่วนหัวของแพ็กเก็ตเท่านั้น แต่ยังรวมไปถึงเนื้อหาการรับส่งข้อมูลทั้งหมดในระดับของแบบจำลอง OSI ตั้งแต่วินาทีขึ้นไป ซึ่งช่วยให้คุณตรวจจับและ บล็อคไวรัส กรองข้อมูลที่ไม่ตรงตามเกณฑ์ที่กำหนด
การเชื่อมต่อ DPI มีสองประเภทตามที่อธิบายไว้ :
DPI แบบพาสซีฟ
DPI เชื่อมต่อกับเครือข่ายผู้ให้บริการแบบขนาน (ไม่ใช่แบบตัด) ไม่ว่าจะผ่านตัวแยกแสงแบบพาสซีฟ หรือใช้การมิเรอร์การรับส่งข้อมูลที่มาจากผู้ใช้ การเชื่อมต่อนี้ไม่ได้ทำให้ความเร็วของเครือข่ายของผู้ให้บริการช้าลงในกรณีที่ประสิทธิภาพ DPI ไม่เพียงพอ ซึ่งเป็นเหตุผลว่าทำไมผู้ให้บริการรายใหญ่จึงใช้งาน DPI ที่มีการเชื่อมต่อประเภทนี้ในทางเทคนิคสามารถตรวจจับได้เฉพาะความพยายามในการขอเนื้อหาต้องห้าม แต่ไม่สามารถหยุดได้ เพื่อข้ามข้อจำกัดนี้และบล็อกการเข้าถึงไซต์ต้องห้าม DPI จะส่งผู้ใช้ที่ร้องขอ URL ที่ถูกบล็อกด้วยแพ็กเก็ต HTTP ที่สร้างขึ้นเป็นพิเศษพร้อมการเปลี่ยนเส้นทางไปยังหน้าต้นขั้วของผู้ให้บริการ ราวกับว่าการตอบกลับดังกล่าวถูกส่งโดยทรัพยากรที่ร้องขอเอง (IP ของผู้ส่ง ที่อยู่และลำดับ TCP ถูกปลอมแปลง) เนื่องจาก DPI นั้นอยู่ใกล้กับผู้ใช้มากกว่าไซต์ที่ร้องขอ การตอบสนองที่ปลอมแปลงจะเข้าถึงอุปกรณ์ของผู้ใช้ได้เร็วกว่าการตอบสนองจริงจากไซต์
DPI ที่ใช้งานอยู่
Active DPI - DPI เชื่อมต่อกับเครือข่ายของผู้ให้บริการตามปกติ เช่นเดียวกับอุปกรณ์เครือข่ายอื่นๆ ผู้ให้บริการกำหนดค่าการกำหนดเส้นทางเพื่อให้ DPI รับการรับส่งข้อมูลจากผู้ใช้ไปยังที่อยู่ IP หรือโดเมนที่ถูกบล็อก จากนั้น DPI จะตัดสินใจว่าจะอนุญาตหรือบล็อกการรับส่งข้อมูล DPI ที่ใช้งานสามารถตรวจสอบทั้งการรับส่งข้อมูลขาออกและขาเข้าได้ อย่างไรก็ตาม หากผู้ให้บริการใช้ DPI เพียงเพื่อบล็อกไซต์จากรีจิสทรี มักจะกำหนดค่าให้ตรวจสอบเฉพาะการรับส่งข้อมูลขาออกเท่านั้น
ไม่เพียงแต่ประสิทธิภาพของการบล็อกการรับส่งข้อมูลเท่านั้น แต่ภาระของ DPI ยังขึ้นอยู่กับประเภทของการเชื่อมต่อด้วย ดังนั้นจึงเป็นไปไม่ได้ที่จะสแกนการรับส่งข้อมูลทั้งหมด แต่เฉพาะบางรายการเท่านั้น:
DPI "ปกติ"
DPI “ปกติ” คือ DPI ที่กรองการรับส่งข้อมูลบางประเภทเฉพาะบนพอร์ตทั่วไปสำหรับประเภทนั้นเท่านั้น ตัวอย่างเช่น DPI “ปกติ” จะตรวจจับและบล็อกการรับส่งข้อมูล HTTP ที่ต้องห้ามเฉพาะบนพอร์ต 80, การรับส่งข้อมูล HTTPS บนพอร์ต 443 DPI ประเภทนี้จะไม่ติดตามเนื้อหาที่ต้องห้ามหากคุณส่งคำขอด้วย URL ที่ถูกบล็อกไปยัง IP ที่ไม่ถูกบล็อกหรือไม่ถูกบล็อก พอร์ตมาตรฐาน
DPI "เต็ม"
DPI ประเภทนี้ต่างจาก DPI “ปกติ” ตรงที่จัดประเภทการรับส่งข้อมูลโดยไม่คำนึงถึงที่อยู่ IP และพอร์ต ด้วยวิธีนี้ ไซต์ที่ถูกบล็อกจะไม่เปิดขึ้นแม้ว่าคุณจะใช้พร็อกซีเซิร์ฟเวอร์บนพอร์ตที่แตกต่างไปจากเดิมอย่างสิ้นเชิงและที่อยู่ IP ที่ไม่ได้บล็อกก็ตาม
การใช้ดีพีไอ
เพื่อไม่ให้อัตราการถ่ายโอนข้อมูลลดลง คุณต้องใช้ DPI แบบพาสซีฟ "ปกติ" ซึ่งช่วยให้คุณมีประสิทธิภาพได้อย่างไร บล็อกอะไรไหม? ทรัพยากร การกำหนดค่าเริ่มต้นมีลักษณะดังนี้:
- ตัวกรอง HTTP บนพอร์ต 80 เท่านั้น
- HTTPS บนพอร์ต 443 เท่านั้น
- BitTorrent บนพอร์ต 6881-6889 เท่านั้น
แต่ปัญหาเริ่มต้นถ้า ทรัพยากรจะใช้พอร์ตอื่นเพื่อไม่ให้สูญเสียผู้ใช้จากนั้นคุณจะต้องตรวจสอบแต่ละแพ็คเกจ เช่น คุณสามารถให้:
- HTTP ทำงานบนพอร์ต 80 และ 8080
- HTTPS บนพอร์ต 443 และ 8443
- BitTorrent บนแบนด์อื่น ๆ
ด้วยเหตุนี้ คุณจะต้องสลับไปใช้ DPI “ใช้งานอยู่” หรือใช้การบล็อกโดยใช้เซิร์ฟเวอร์ DNS เพิ่มเติม
การบล็อกโดยใช้ DNS
วิธีหนึ่งในการบล็อกการเข้าถึงทรัพยากรคือการสกัดกั้นคำขอ DNS โดยใช้เซิร์ฟเวอร์ DNS ในเครื่องและส่งคืนที่อยู่ IP “stub” แก่ผู้ใช้ แทนที่จะเป็นทรัพยากรที่ต้องการ แต่นี่ไม่ได้รับประกันผลลัพธ์ เนื่องจากสามารถป้องกันการปลอมแปลงที่อยู่ได้:
ตัวเลือกที่ 1: การแก้ไขไฟล์โฮสต์ (สำหรับเดสก์ท็อป)
ไฟล์โฮสต์เป็นส่วนสำคัญของระบบปฏิบัติการใด ๆ ซึ่งช่วยให้คุณใช้งานได้ตลอดเวลา ในการเข้าถึงทรัพยากร ผู้ใช้จะต้อง:
- ค้นหาที่อยู่ IP ของทรัพยากรที่ต้องการ
- เปิดไฟล์โฮสต์เพื่อแก้ไข (ต้องใช้สิทธิ์ผู้ดูแลระบบ) ซึ่งอยู่ใน:
- ลินุกซ์: /etc/hosts
- Windows: %WinDir%System32ไดรเวอร์การตั้งค่า
- เพิ่มบรรทัดในรูปแบบ: <ชื่อทรัพยากร>
- บันทึกการเปลี่ยนแปลง
ข้อดีของวิธีนี้คือความซับซ้อนและข้อกำหนดสำหรับสิทธิ์ของผู้ดูแลระบบ
ตัวเลือกที่ 2: DoH (DNS บน HTTPS) หรือ DoT (DNS บน TLS)
วิธีการเหล่านี้ช่วยให้คุณสามารถปกป้องคำขอ DNS ของคุณจากการปลอมแปลงโดยใช้การเข้ารหัส แต่แอปพลิเคชันทั้งหมดไม่รองรับการใช้งาน มาดูความง่ายในการตั้งค่า DoH สำหรับ Mozilla Firefox เวอร์ชัน 66 จากฝั่งผู้ใช้:
- ไปที่ที่อยู่ ในไฟร์ฟอกซ์
- ยืนยันว่าผู้ใช้ยอมรับความเสี่ยงทั้งหมด
- เปลี่ยนค่าพารามิเตอร์ เครือข่าย trr.mode ของ:
- 0 - ปิดการใช้งาน TRR
- 1 - การเลือกอัตโนมัติ
- 2 - เปิดใช้งาน DoH ตามค่าเริ่มต้น
- เปลี่ยนพารามิเตอร์ network.trr.uri การเลือกเซิร์ฟเวอร์ DNS
- คลาวด์แฟลร์ DNS:
- GoogleDNS:
- เปลี่ยนพารามิเตอร์ network.trr.boostrapที่อยู่ ของ:
- หากเลือก Cloudflare DNS: 1.1.1.1
- หากเลือก Google DNS: 8.8.8.8
- เปลี่ยนค่าพารามิเตอร์ network.security.esni.enabled บน จริง
- ตรวจสอบว่าการตั้งค่าถูกต้องโดยใช้
แม้ว่าวิธีนี้จะซับซ้อนกว่า แต่ก็ไม่จำเป็นต้องให้ผู้ใช้มีสิทธิ์ของผู้ดูแลระบบ และมีวิธีอื่นอีกมากมายในการรักษาความปลอดภัยคำขอ DNS ที่ไม่ได้อธิบายไว้ในบทความนี้
ตัวเลือก 3 (สำหรับอุปกรณ์มือถือ):
การใช้แอป Cloudflare เพื่อ и .
การทดสอบ
เพื่อตรวจสอบการขาดการเข้าถึงทรัพยากร โดเมนที่ถูกบล็อกในสหพันธรัฐรัสเซียถูกซื้อชั่วคราว:
ข้อสรุป
ฉันหวังว่าบทความนี้จะเป็นประโยชน์และจะส่งเสริมให้ผู้ดูแลระบบไม่เพียงเข้าใจหัวข้อนี้ในรายละเอียดมากขึ้นเท่านั้น แต่ยังจะให้ความเข้าใจด้วยว่า ทรัพยากรจะอยู่ฝั่งผู้ใช้เสมอ และการค้นหาโซลูชันใหม่ควรเป็นส่วนสำคัญสำหรับพวกเขา
ลิงค์ที่มีประโยชน์
นอกจากนี้นอกบทความไม่สามารถดำเนินการทดสอบ Cloudflare บนเครือข่ายผู้ให้บริการ Tele2 ได้ และ DPI ที่กำหนดค่าอย่างถูกต้องจะบล็อกการเข้าถึงไซต์ทดสอบ
ป.ล. จนถึงตอนนี้นี่คือผู้ให้บริการรายแรกที่บล็อกทรัพยากรอย่างถูกต้อง
ที่มา: will.com