DPI ayarlarının özellikleri

Bu makale tam DPI ayarını ve birbirine bağlı her şeyi kapsamamaktadır ve metnin bilimsel değeri minimum düzeydedir. Ancak birçok şirketin dikkate almadığı DPI'yı atlamanın en basit yolunu anlatıyor.

Yasal Uyarı #1: Bu makale araştırma niteliğindedir ve kimseyi herhangi bir şey yapmaya veya kullanmaya teşvik etmez. Fikir kişisel deneyime dayanmaktadır ve herhangi bir benzerlik rastgeledir.

Uyarı No. 2: Makale Atlantis'in sırlarını, Kutsal Kase'nin arayışını ve evrenin diğer gizemlerini açıklamıyor; tüm materyaller ücretsiz olarak mevcuttur ve Habré'de birden fazla kez anlatılmış olabilir. (Bulamadım, bağlantı için minnettar olurum)

Uyarıları okuyanlar için başlayalım.

DPI nedir?

DPI veya Derin Paket Denetimi, yalnızca paket başlıklarını değil aynı zamanda ikinci ve daha yüksek OSI modeli seviyelerindeki trafiğin tüm içeriğini analiz ederek istatistiksel verileri biriktiren, ağ paketlerini kontrol eden ve filtreleyen bir teknolojidir; virüsleri engeller, belirtilen kriterleri karşılamayan bilgileri filtreler.

Açıklanan iki tür DPI bağlantısı vardır. ValdikSS github'da:

Pasif DPI

DPI, pasif bir optik ayırıcı aracılığıyla veya kullanıcılardan gelen trafiğin yansıtılması kullanılarak sağlayıcı ağına paralel olarak (kesik olarak değil) bağlanır. Bu bağlantı, DPI performansının yetersiz olması durumunda sağlayıcının ağının hızını yavaşlatmaz, bu nedenle büyük sağlayıcılar tarafından kullanılır. Bu bağlantı türüne sahip DPI, teknik olarak yalnızca yasaklı içerik isteme girişimini algılayabilir, ancak durduramaz. Bu kısıtlamayı aşmak ve yasaklı bir siteye erişimi engellemek için DPI, engellenen bir URL talep eden kullanıcıya, sanki böyle bir yanıt talep edilen kaynağın kendisi (gönderenin IP'si) tarafından gönderilmiş gibi, sağlayıcının saplama sayfasına yönlendirme içeren özel hazırlanmış bir HTTP paketi gönderir. adresi ve TCP dizisi sahtedir). DPI fiziksel olarak kullanıcıya istenen siteden daha yakın olduğundan, sahte yanıt kullanıcının cihazına siteden gelen gerçek yanıttan daha hızlı ulaşır.

Aktif DPI

Aktif DPI - Sağlayıcının ağına diğer ağ cihazları gibi normal şekilde bağlanan DPI. Sağlayıcı, yönlendirmeyi, DPI'nin kullanıcılardan engellenen IP adreslerine veya etki alanlarına yönelik trafiği alacağı şekilde yapılandırır ve ardından DPI, trafiğe izin verip vermeyeceğine veya engelleyeceğine karar verir. Aktif DPI hem giden hem de gelen trafiği denetleyebilir, ancak sağlayıcı DPI'yı yalnızca siteleri kayıt defterinden engellemek için kullanıyorsa, çoğunlukla yalnızca giden trafiği denetleyecek şekilde yapılandırılır.

Yalnızca trafik engellemenin etkinliği değil, aynı zamanda DPI üzerindeki yük de bağlantı türüne bağlıdır, bu nedenle tüm trafiği değil yalnızca belirli olanları taramak mümkündür:

"Normal" DPI

"Normal" DPI, belirli bir trafik türünü yalnızca o tür için en yaygın bağlantı noktalarında filtreleyen bir DPI'dır. Örneğin, "normal" bir DPI yalnızca 80 numaralı bağlantı noktasındaki yasaklanmış HTTP trafiğini, 443 numaralı bağlantı noktasındaki HTTPS trafiğini algılar ve engeller. Bu tür DPI, engellenmemiş bir IP'ye veya engellenmemiş bir URL'ye bir istek gönderirseniz yasaklanmış içeriği izlemez. standart bağlantı noktası.

"Tam" DPI

"Normal" DPI'dan farklı olarak bu DPI türü, trafiği IP adresinden ve bağlantı noktasından bağımsız olarak sınıflandırır. Bu sayede tamamen farklı bir portta ve engellenmemiş IP adresinde proxy sunucu kullanıyor olsanız bile engellenen siteler açılmayacaktır.

DPI kullanma

Veri aktarım hızını düşürmemek için, etkin bir şekilde işlem yapmanızı sağlayan “Normal” pasif DPI kullanmanız gerekir. herhangi birini engelle? kaynaklar için varsayılan yapılandırma şuna benzer:

• Yalnızca 80 numaralı bağlantı noktasında HTTP filtresi
• HTTPS yalnızca 443 numaralı bağlantı noktasında
• BitTorrent yalnızca 6881-6889 bağlantı noktalarında

Ancak sorunlar şu durumlarda başlar: kaynak, kullanıcıları kaybetmemek için farklı bir bağlantı noktası kullanacak, o zaman her paketi kontrol etmeniz gerekecek, örneğin şunları verebilirsiniz:

• HTTP 80 ve 8080 numaralı bağlantı noktalarında çalışır
• 443 ve 8443 numaralı bağlantı noktasında HTTPS
• Başka herhangi bir grupta BitTorrent

Bu nedenle ya “Aktif” DPI'ya geçmeniz ya da ek bir DNS sunucusu kullanarak engellemeyi kullanmanız gerekecektir.

DNS kullanarak engelleme

Bir kaynağa erişimi engellemenin bir yolu, yerel bir DNS sunucusu kullanarak DNS isteğini engellemek ve kullanıcıya gerekli kaynak yerine bir "saplama" IP adresi döndürmektir. Ancak adres sahtekarlığını önlemek mümkün olduğundan bu garantili bir sonuç vermez:

Seçenek 1: Hosts dosyasını düzenleme (masaüstü için)

Ana bilgisayar dosyası, herhangi bir işletim sisteminin ayrılmaz bir parçasıdır ve onu her zaman kullanmanıza olanak tanır. Kaynağa erişmek için kullanıcının şunları yapması gerekir:

1. Gerekli kaynağın IP adresini öğrenin
2. Aşağıdaki konumda bulunan hosts dosyasını düzenleme için açın (yönetici hakları gereklidir):
   • Linux: /etc/hosts
   • Windows: %WinDir%System32driversetchosts
3. Şu formatta bir satır ekleyin: <kaynak adı>
4. Değişiklikleri kaydet

Bu yöntemin avantajı karmaşıklığı ve yönetici haklarına duyulan gereksinimdir.

Seçenek 2: DoH (HTTPS üzerinden DNS) veya DoT (TLS üzerinden DNS)

Bu yöntemler, DNS isteğinizi şifreleme kullanarak sahteciliğe karşı korumanıza olanak tanır, ancak uygulama tüm uygulamalar tarafından desteklenmez. Kullanıcı açısından Mozilla Firefox sürüm 66 için DoH kurulumunun kolaylığına bakalım:

1. Adrese git about: config Firefox'ta
2. Kullanıcının tüm riski üstlendiğini doğrulayın
3. Parametre değerini değiştir ağ.trr.modu in:
   • 0 — TRR'yi devre dışı bırakın
   • 1 - otomatik seçim
   • 2 - DoH'yi varsayılan olarak etkinleştirin
4. Parametreyi değiştir network.trr.uri DNS sunucusu seçiliyor
   • Cloudflare DNS'si: mozilla.cloudflare-dns.com/dns-query
   • GoogleDNS: dns.google.com/experimental
5. Parametreyi değiştir network.trr.boostrapAdres in:
   • Cloudflare DNS seçilirse: 1.1.1.1
   • Google DNS seçilirse: 8.8.8.8
6. Parametre değerini değiştir network.security.esni.enabled üzerinde gerçek
7. kullanarak ayarların doğru olup olmadığını kontrol edin. Cloudflare hizmeti

Bu yöntem daha karmaşık olmasına rağmen kullanıcının yönetici haklarına sahip olmasını gerektirmez ve bir DNS isteğini güvence altına almanın bu makalede açıklanmayan birçok başka yolu vardır.

Seçenek 3 (mobil cihazlar için):

Cloudflare uygulamasını kullanarak Android и IOS.

Test

Kaynaklara erişim eksikliğini kontrol etmek için Rusya Federasyonu'nda engellenen bir alan adı geçici olarak satın alındı:

• HTTP kontrolü + bağlantı noktası 80
• HTTP kontrolü + bağlantı noktası 8080
• HTTPS kontrolü + bağlantı noktası 443
• HTTPS kontrolü + bağlantı noktası 8443

Sonuç

Bu makalenin faydalı olacağını ve yöneticilerin konuyu daha detaylı anlamalarını teşvik etmesinin yanı sıra, kaynaklar her zaman kullanıcının yanında olacak ve yeni çözüm arayışları onların ayrılmaz bir parçası olmalıdır.

Faydalı linkler

• Firefox'ta Şifreli SNI standardını uygulama
• Çevrimdışı DPI Atlaması

Makalenin dışına eklemeCloudflare testi Tele2 operatör ağında tamamlanamıyor ve doğru yapılandırılmış bir DPI, test sitesine erişimi engelliyor.
PS Şu ana kadar kaynakları doğru şekilde engelleyen ilk sağlayıcıdır.

Kaynak: habr.com