DPI sozlamalarining xususiyatlari

Ushbu maqola to'liq DPI sozlamalarini va bir-biriga bog'langan barcha narsalarni qamrab olmaydi va matnning ilmiy qiymati minimaldir. Ammo u ko'plab kompaniyalar hisobga olmagan DPI ni chetlab o'tishning eng oddiy usulini tasvirlaydi.

Rad etish №1: Ushbu maqola tadqiqot xarakteriga ega va hech kimni biror narsa qilishga yoki foydalanishga undamaydi. Fikr shaxsiy tajribaga asoslangan va har qanday o'xshashliklar tasodifiydir.

Предупреждение №2: в статье не раскрываются тайны Атлантиды, поиска Святого Грааля и иные загадки вселенной, весь материал находится в свободном доступе и возможно не раз был описан на Хабе. (я не нашел, за ссылку буду признателен)

Ogohlantirishlarni o'qiganlar uchun, keling, boshlaylik.

DPI nima?

DPI yoki Deep Packet Inspection - bu statistik ma'lumotlarni to'plash, tarmoq paketlarini tekshirish va filtrlash texnologiyasi bo'lib, nafaqat paket sarlavhalarini, balki OSI modelining ikkinchi va undan yuqori darajalaridagi trafikning to'liq mazmunini ham tahlil qiladi, bu sizga aniqlash va aniqlash imkonini beradi. viruslarni bloklash, belgilangan mezonlarga javob bermaydigan ma'lumotlarni filtrlash.

DPI ulanishining ikki turi mavjud, ular tavsiflanadi ValdikSS github-da:

Passiv DPI

DPI provayder tarmog'iga parallel ravishda (kesishda emas) passiv optik splitter orqali yoki foydalanuvchilardan kelib chiqadigan trafikni aks ettirish orqali ulanadi. Ushbu ulanish DPI unumdorligi etarli bo'lmagan taqdirda provayder tarmog'ining tezligini pasaytirmaydi, shuning uchun u yirik provayderlar tomonidan qo'llaniladi. Ushbu ulanish turiga ega DPI texnik jihatdan faqat taqiqlangan kontentni so'rashga urinishni aniqlay oladi, lekin uni to'xtata olmaydi. Ushbu cheklovni chetlab o'tish va taqiqlangan saytga kirishni blokirovka qilish uchun DPI foydalanuvchiga bloklangan URL so'rovini provayderning stub sahifasiga yo'naltirish bilan maxsus ishlab chiqilgan HTTP paketini yuboradi, go'yo bunday javob so'ralgan resurs tomonidan yuborilgan (jo'natuvchining IP-si). manzil va TCP ketma-ketligi soxtalashtirilgan). DPI foydalanuvchiga so'ralgan saytdan ko'ra jismonan yaqinroq bo'lganligi sababli, soxta javob foydalanuvchi qurilmasiga saytning haqiqiy javobidan tezroq yetib boradi.

Faol DPI

Faol DPI - har qanday boshqa tarmoq qurilmasi kabi odatiy tarzda provayder tarmog'iga ulangan DPI. Provayder marshrutlashni shunday sozlaydiki, DPI foydalanuvchilardan bloklangan IP manzillar yoki domenlarga trafikni qabul qiladi va DPI trafikni ruxsat berish yoki blokirovka qilish to‘g‘risida qaror qabul qiladi. Faol DPI ham chiquvchi, ham kiruvchi trafikni tekshirishi mumkin, ammo, agar provayder faqat reestrdan saytlarni bloklash uchun DPI dan foydalansa, u ko'pincha faqat chiquvchi trafikni tekshirish uchun tuzilgan.

Nafaqat trafikni blokirovka qilish samaradorligi, balki DPI dagi yuk ham ulanish turiga bog'liq, shuning uchun barcha trafikni emas, balki faqat ba'zilarini skanerlash mumkin:

"Oddiy" DPI

"Oddiy" DPI - bu ma'lum turdagi trafikni faqat ushbu turdagi eng keng tarqalgan portlarda filtrlaydigan DPI. Masalan, “muntazam” DPI taqiqlangan HTTP trafigini faqat 80-portda, HTTPS trafigini 443-portda aniqlaydi va bloklaydi. Agar bloklangan URL bilan soʻrovni bloklanmagan IP yoki boshqa manzilga yuborsangiz, bu turdagi DPI taqiqlangan kontentni kuzatmaydi. standart port.

"To'liq" DPI

"Oddiy" DPI dan farqli o'laroq, ushbu turdagi DPI IP manzili va portidan qat'i nazar, trafikni tasniflaydi. Shunday qilib, siz butunlay boshqa port va bloklanmagan IP manzilda proksi-serverdan foydalansangiz ham bloklangan saytlar ochilmaydi.

DPI dan foydalanish

Ma'lumot uzatish tezligini kamaytirmaslik uchun siz "Oddiy" passiv DPI dan foydalanishingiz kerak, bu sizga samarali ishlash imkonini beradi? har qanday blokirovka qilinadimi? manbalarda standart konfiguratsiya quyidagicha ko'rinadi:

• HTTP filtri faqat 80-portda
• HTTPS faqat 443-portda
• BitTorrent faqat 6881-6889 portlarida

Ammo muammolar boshlanadi, agar resurs foydalanuvchilarni yo'qotmaslik uchun boshqa portdan foydalanadi, keyin har bir paketni tekshirishingiz kerak bo'ladi, masalan:

• HTTP 80 va 8080 portlarida ishlaydi
• 443 va 8443 portlarida HTTPS
• BitTorrent boshqa har qanday guruhda

Shu sababli, siz "Faol" DPI ga o'tishingiz yoki qo'shimcha DNS server yordamida blokirovkadan foydalanishingiz kerak bo'ladi.

DNS yordamida blokirovka qilish

Resursga kirishni blokirovka qilish usullaridan biri mahalliy DNS server yordamida DNS so'rovini to'xtatish va foydalanuvchiga kerakli resurs o'rniga "stub" IP manzilini qaytarishdir. Ammo bu kafolatlangan natijani bermaydi, chunki manzilni aldashning oldini olish mumkin:

Variant 1: Xostlar faylini tahrirlash (ish stoli uchun)

Xostlar fayli har qanday operatsion tizimning ajralmas qismi bo'lib, uni har doim ishlatish imkonini beradi. Resursga kirish uchun foydalanuvchi quyidagilarni bajarishi kerak:

1. Kerakli manbaning IP manzilini bilib oling
2. Tahrirlash uchun xostlar faylini oching (administrator huquqlari talab qilinadi), quyidagi manzilda joylashgan:
   • Linux: /etc/hosts
   • Windows: %WinDir%System32driversetchosts
3. Quyidagi formatda qator qo'shing: <resurs nomi>
4. O'zgarishlarni saqlang

Ushbu usulning afzalligi uning murakkabligi va administrator huquqlariga bo'lgan talabdir.

Variant 2: DoH (HTTPS orqali DNS) yoki DoT (TLS orqali DNS)

Ushbu usullar shifrlash yordamida DNS so'rovingizni soxtalashtirishdan himoya qilish imkonini beradi, ammo amalga oshirish barcha ilovalar tomonidan qo'llab-quvvatlanmaydi. Keling, foydalanuvchi tomonidan Mozilla Firefox 66-versiyasi uchun DoH-ni sozlash qulayligini ko'rib chiqaylik:

1. Manzilga boring haqida: config Firefox-da
2. Foydalanuvchi barcha xavflarni o'z zimmasiga olishini tasdiqlang
3. Изменит значение параметра network.trr.mode quyidagicha:
   • 0 - TRRni o'chirib qo'ying
   • 1 - avtomatik tanlash
   • 2 - sukut bo'yicha DoH ni yoqing
4. Parametrni o'zgartirish network.trr.uri DNS serverini tanlash
   • Cloudflare DNS: mozilla.cloudflare-dns.com/dns-query
   • GoogleDNS: dns.google.com/experimental
5. Parametrni o'zgartirish network.trr.boostrapAdres quyidagicha:
   • Cloudflare DNS tanlangan bo'lsa: 1.1.1.1
   • Agar Google DNS tanlangan bo'lsa: 8.8.8.8
6. Изменит значение параметра network.security.esni.enabled haqida haqiqiy
7. Sozlamalar to'g'ri ekanligini tekshiring Cloudflare xizmati

Ushbu usul ancha murakkab bo'lsa-da, foydalanuvchidan administrator huquqlariga ega bo'lishni talab qilmaydi va ushbu maqolada tasvirlanmagan DNS so'rovini himoya qilishning ko'plab boshqa usullari mavjud.

Variant 3 (mobil qurilmalar uchun):

Cloudflare ilovasidan foydalanish Android и iOS.

Viktorina

Resurslarga kirish imkoniyati yo'qligini tekshirish uchun Rossiya Federatsiyasida bloklangan domen vaqtincha sotib olindi:

• HTTP + 80 portini tekshiring
• HTTP + 8080 portini tekshiring
• HTTPS tekshiruvi + port 443
• HTTPS tekshiruvi + port 8443

xulosa

Umid qilamanki, ushbu maqola foydali bo'ladi va nafaqat ma'murlarni mavzuni batafsilroq tushunishga undaydi, balki buni tushunishga ham yordam beradi. resurslar har doim foydalanuvchi tomonida bo'ladi va yangi echimlarni izlash ular uchun ajralmas qismi bo'lishi kerak.

Foydali havolalar

• Firefox-da shifrlangan SNI standartini joriy qilish
• Oflayn DPI bypass

Maqoladan tashqari qo'shimchaCloudflare testini Tele2 operator tarmog'ida yakunlab bo'lmaydi va to'g'ri sozlangan DPI test saytiga kirishni bloklaydi.
PS Hozircha bu resurslarni to'g'ri bloklaydigan birinchi provayder.

Manba: www.habr.com