Hindi sinasaklaw ng artikulong ito ang buong pagsasaayos ng DPI at lahat ng magkakaugnay, at ang pang-agham na halaga ng teksto ay minimal. Ngunit inilalarawan nito ang pinakasimpleng paraan upang i-bypass ang DPI, na hindi isinasaalang-alang ng maraming kumpanya.
Disclaimer #1: Ang artikulong ito ay likas na pananaliksik at hindi hinihikayat ang sinuman na gumawa o gumamit ng anuman. Ang ideya ay batay sa personal na karanasan, at anumang pagkakatulad ay random.
Babala Blg. 2: ang artikulo ay hindi nagbubunyag ng mga lihim ng Atlantis, ang paghahanap para sa Holy Grail at iba pang misteryo ng uniberso; lahat ng materyal ay malayang makukuha at maaaring inilarawan nang higit sa isang beses sa HabrΓ©. (Hindi ko nahanap, magpapasalamat ako sa link)
Para sa mga nakabasa ng mga babala, simulan na natin.
Ano ang DPI?
Ang DPI o Deep Packet Inspection ay isang teknolohiya para sa pag-iipon ng istatistikal na data, pagsuri at pag-filter ng mga network packet sa pamamagitan ng pagsusuri hindi lamang sa mga packet header, kundi pati na rin ang buong nilalaman ng trapiko sa mga antas ng modelo ng OSI mula sa pangalawa at mas mataas, na nagbibigay-daan sa iyong makita at harangan ang mga virus, i-filter ang impormasyon na hindi nakakatugon sa mga tinukoy na pamantayan .
Mayroong dalawang uri ng koneksyon sa DPI, na inilarawan :
Passive DPI
Ang DPI ay konektado sa network ng provider nang magkatulad (hindi sa isang hiwa) alinman sa pamamagitan ng isang passive optical splitter, o gamit ang pag-mirror ng trapiko na nagmumula sa mga user. Ang koneksyon na ito ay hindi nagpapabagal sa bilis ng network ng provider sa kaso ng hindi sapat na pagganap ng DPI, kung kaya't ito ay ginagamit ng malalaking provider. Ang DPI na may ganitong uri ng koneksyon ay teknikal na makaka-detect lamang ng pagtatangkang humiling ng ipinagbabawal na nilalaman, ngunit hindi ito pipigilan. Upang i-bypass ang paghihigpit na ito at i-block ang access sa isang ipinagbabawal na site, ipinapadala ng DPI ang user na humihiling ng naka-block na URL ng isang espesyal na ginawang HTTP packet na may redirect sa stub page ng provider, na para bang ang naturang tugon ay ipinadala ng mismong hiniling na mapagkukunan (IP ng nagpadala address at TCP sequence ay peke). Dahil ang DPI ay pisikal na mas malapit sa user kaysa sa hiniling na site, ang spoofed na tugon ay nakakarating sa device ng user nang mas mabilis kaysa sa tunay na tugon mula sa site.
Aktibong DPI
Aktibong DPI - DPI na nakakonekta sa network ng provider sa karaniwang paraan, tulad ng anumang iba pang network device. Kino-configure ng provider ang pagruruta upang makatanggap ang DPI ng trapiko mula sa mga user patungo sa mga naka-block na IP address o domain, at pagkatapos ay magpapasya ang DPI kung papayagan o haharangan ang trapiko. Maaaring suriin ng aktibong DPI ang parehong papalabas at papasok na trapiko, gayunpaman, kung ang provider ay gumagamit lamang ng DPI upang harangan ang mga site mula sa registry, ito ay kadalasang naka-configure upang suriin lamang ang papalabas na trapiko.
Hindi lamang ang pagiging epektibo ng pagharang ng trapiko, kundi pati na rin ang pag-load sa DPI ay nakasalalay sa uri ng koneksyon, kaya posible na hindi i-scan ang lahat ng trapiko, ngunit ang ilang mga lamang:
"Normal" na DPI
Ang "regular" na DPI ay isang DPI na nagpi-filter ng isang partikular na uri ng trapiko lamang sa mga pinakakaraniwang port para sa ganoong uri. Halimbawa, ang isang "regular" na DPI ay nakakakita at nagba-block ng ipinagbabawal na trapiko ng HTTP sa port 80 lamang, ang trapiko ng HTTPS sa port 443. Hindi susubaybayan ng ganitong uri ng DPI ang ipinagbabawal na nilalaman kung magpapadala ka ng kahilingan na may naka-block na URL sa isang hindi naka-block na IP o hindi- karaniwang port.
"Buong" DPI
Hindi tulad ng "regular" na DPI, ang ganitong uri ng DPI ay nag-uuri ng trapiko anuman ang IP address at port. Sa ganitong paraan, hindi magbubukas ang mga naka-block na site kahit na gumagamit ka ng proxy server sa isang ganap na naiibang port at na-unblock na IP address.
Gamit ang DPI
Upang hindi mabawasan ang rate ng paglilipat ng data, kailangan mong gumamit ng "Normal" passive DPI, na nagbibigay-daan sa iyo upang epektibong? i-block ang anumang? mapagkukunan, ang default na configuration ay ganito ang hitsura:
- HTTP filter lang sa port 80
- HTTPS lang sa port 443
- BitTorrent lamang sa mga port 6881-6889
Ngunit magsisimula ang mga problema kung gagamit ang mapagkukunan ng ibang port upang hindi mawalan ng mga user, pagkatapos ay kailangan mong suriin ang bawat pakete, halimbawa maaari kang magbigay ng:
- Gumagana ang HTTP sa port 80 at 8080
- HTTPS sa port 443 at 8443
- BitTorrent sa alinmang banda
Dahil dito, kakailanganin mong lumipat sa "Aktibo" na DPI o gumamit ng pagharang gamit ang isang karagdagang DNS server.
Pag-block gamit ang DNS
Ang isang paraan upang harangan ang pag-access sa isang mapagkukunan ay ang pagharang sa kahilingan ng DNS gamit ang isang lokal na DNS server at ibalik sa user ang isang "stub" na IP address sa halip na ang kinakailangang mapagkukunan. Ngunit hindi ito nagbibigay ng garantisadong resulta, dahil posible na maiwasan ang panggagaya ng address:
Opsyon 1: Pag-edit ng hosts file (para sa desktop)
Ang file ng host ay isang mahalagang bahagi ng anumang operating system, na nagbibigay-daan sa iyong palaging gamitin ito. Upang ma-access ang mapagkukunan, ang user ay dapat:
- Alamin ang IP address ng kinakailangang mapagkukunan
- Buksan ang file ng mga host para sa pag-edit (kinakailangan ang mga karapatan ng administrator), na matatagpuan sa:
- Linux: /etc/hosts
- Windows: %WinDir%System32driversthosts
- Magdagdag ng linya sa format:
- I-save ang mga pagbabago
Ang bentahe ng pamamaraang ito ay ang pagiging kumplikado nito at ang kinakailangan para sa mga karapatan ng administrator.
Opsyon 2: DoH (DNS sa HTTPS) o DoT (DNS sa TLS)
Binibigyang-daan ka ng mga paraang ito na protektahan ang iyong kahilingan sa DNS mula sa panggagaya gamit ang pag-encrypt, ngunit ang pagpapatupad ay hindi sinusuportahan ng lahat ng mga application. Tingnan natin ang kadalian ng pag-set up ng DoH para sa Mozilla Firefox na bersyon 66 mula sa panig ng gumagamit:
- Pumunta sa address sa Firefox
- Kumpirmahin na inaako ng user ang lahat ng panganib
- Baguhin ang halaga ng parameter network.trr.mode sa:
- 0 β huwag paganahin ang TRR
- 1 - awtomatikong pagpili
- 2 - paganahin ang DoH bilang default
- Baguhin ang parameter network.trr.uri pagpili ng DNS server
- Cloudflare DNS:
- GoogleDNS:
- Baguhin ang parameter network.trr.boostrapAddress sa:
- Kung pinili ang Cloudflare DNS: 1.1.1.1
- Kung pinili ang Google DNS: 8.8.8.8
- Baguhin ang halaga ng parameter network.security.esni.enabled sa totoo
- Tingnan kung tama ang mga setting gamit
Bagama't mas kumplikado ang pamamaraang ito, hindi nito kailangan ang user na magkaroon ng mga karapatan ng administrator, at marami pang ibang paraan upang ma-secure ang isang kahilingan sa DNS na hindi inilarawan sa artikulong ito.
Opsyon 3 (para sa mga mobile device):
Gamit ang Cloudflare app sa ΠΈ .
Pagsubok
Upang suriin ang kakulangan ng access sa mga mapagkukunan, isang domain na na-block sa Russian Federation ay pansamantalang binili:
Konklusyon
Umaasa ako na ang artikulong ito ay magiging kapaki-pakinabang at hikayatin hindi lamang ang mga administrador na maunawaan ang paksa nang mas detalyado, ngunit magbibigay din ng pag-unawa na ang mga mapagkukunan ay palaging nasa panig ng gumagamit, at ang paghahanap para sa mga bagong solusyon ay dapat na isang mahalagang bahagi para sa kanila.
Kapaki-pakinabang na mga link
Dagdag sa labas ng artikuloHindi makukumpleto ang pagsubok sa Cloudflare sa network ng operator ng Tele2, at hinaharangan ng isang tama na na-configure na DPI ang pag-access sa site ng pagsubok.
P.S. Sa ngayon ito ang unang provider na tama na nag-block ng mga mapagkukunan.
Pinagmulan: www.habr.com