Các tính năng của cài đặt dpi

Bài viết này không đề cập đến việc điều chỉnh đầy đủ dpi và mọi thứ được kết nối với nhau, đồng thời giá trị khoa học của văn bản là tối thiểu. Nhưng nó mô tả cách đơn giản nhất để vượt qua PP, điều mà nhiều công ty chưa tính đến.

Tuyên bố miễn trừ trách nhiệm số 1: Bài viết này mang tính chất nghiên cứu và không khuyến khích bất kỳ ai làm hoặc sử dụng bất cứ điều gì. Ý tưởng này dựa trên kinh nghiệm cá nhân và mọi điểm tương đồng đều là ngẫu nhiên.

Cảnh báo số 2: bài viết không tiết lộ bí mật của Atlantis, cuộc tìm kiếm Chén Thánh và những bí ẩn khác của vũ trụ, tất cả tài liệu đều được cung cấp miễn phí và có thể đã được mô tả nhiều lần trên Habré. (Tôi không tìm thấy nó, tôi sẽ biết ơn liên kết)

Đối với những người đã đọc cảnh báo, hãy bắt đầu.

dpi là gì?

Kiểm tra gói sâu hoặc Kiểm tra gói sâu là công nghệ tích lũy dữ liệu thống kê, kiểm tra và lọc các gói mạng bằng cách phân tích không chỉ các tiêu đề gói mà còn toàn bộ nội dung lưu lượng truy cập ở các cấp độ của mô hình OSI từ cấp thứ hai trở lên, cho phép bạn phát hiện và chặn virus, lọc thông tin không đáp ứng tiêu chí quy định…

Có hai loại kết nối dpi được mô tả ValdikSS trên github:

dpi thụ động

DPI được kết nối song song với mạng của nhà cung cấp (không phải theo đường cắt) thông qua bộ chia quang thụ động hoặc sử dụng phản chiếu lưu lượng truy cập bắt nguồn từ người dùng. Kết nối này không làm chậm tốc độ mạng của nhà cung cấp trong trường hợp hiệu suất GPU không đủ, đó là lý do tại sao nó được các nhà cung cấp lớn sử dụng. Về mặt kỹ thuật, DPI với loại kết nối này chỉ có thể phát hiện nỗ lực yêu cầu nội dung bị cấm chứ không thể ngăn chặn hành vi đó. Để vượt qua hạn chế này và chặn quyền truy cập vào một trang web bị cấm, PP gửi cho người dùng yêu cầu URL bị chặn một gói HTTP được tạo đặc biệt với chuyển hướng đến trang sơ khai của nhà cung cấp, như thể phản hồi đó được gửi bởi chính tài nguyên được yêu cầu (IP của người gửi). địa chỉ và chuỗi TCP bị giả mạo). Bởi vì về mặt vật lý, DPI gần với người dùng hơn so với trang web được yêu cầu nên phản hồi giả mạo sẽ đến thiết bị của người dùng nhanh hơn phản hồi thực từ trang web.

dpi hoạt động

Active Active -DP được kết nối với mạng của nhà cung cấp theo cách thông thường, giống như mọi thiết bị mạng khác. Nhà cung cấp định cấu hình định tuyến để dpi nhận lưu lượng truy cập từ người dùng đến các địa chỉ IP hoặc miền bị chặn và sau đó, dpi sẽ quyết định xem nên cho phép hay chặn lưu lượng truy cập. Tuy nhiên, Active Active có thể kiểm tra cả lưu lượng truy cập đi và đến. Tuy nhiên, nếu nhà cung cấp chỉ sử dụng DPI để chặn các trang web khỏi sổ đăng ký thì nó thường được định cấu hình để chỉ kiểm tra lưu lượng truy cập đi.

Không chỉ hiệu quả của việc chặn lưu lượng truy cập mà tải trên PPI còn phụ thuộc vào loại kết nối, do đó không thể quét tất cả lưu lượng truy cập mà chỉ quét một số lưu lượng nhất định:

dpi "bình thường"

DPI “thông thường” là một chỉ số PI lọc một loại lưu lượng truy cập nhất định trên các cổng phổ biến nhất cho loại đó. Ví dụ: một loại PPI “thông thường” chỉ phát hiện và chặn lưu lượng HTTP bị cấm trên cổng 80, lưu lượng HTTPS trên cổng 443. Loại PPI này sẽ không theo dõi nội dung bị cấm nếu bạn gửi yêu cầu có URL bị chặn tới một IP được bỏ chặn hoặc không phải IP cổng tiêu chuẩn.

dpi "đầy đủ"

Không giống như PPI “thông thường”, loại DDP này phân loại lưu lượng truy cập bất kể địa chỉ IP và cổng. Bằng cách này, các trang web bị chặn sẽ không mở ngay cả khi bạn đang sử dụng máy chủ proxy trên một cổng hoàn toàn khác và địa chỉ IP được bỏ chặn.

Sử dụng dpi

Để không làm giảm tốc độ truyền dữ liệu, bạn cần sử dụng PI thụ động “Bình thường”, điều này cho phép bạn thực hiện hiệu quả? chặn cái nào? tài nguyên, cấu hình mặc định trông như thế này:

• Bộ lọc HTTP chỉ trên cổng 80
• Chỉ HTTPS trên cổng 443
• BitTorrent chỉ trên các cổng 6881-6889

Nhưng vấn đề bắt đầu nếu tài nguyên sẽ sử dụng một cổng khác để không mất người dùng, thì bạn sẽ phải kiểm tra từng gói, ví dụ bạn có thể đưa ra:

• HTTP hoạt động trên cổng 80 và 8080
• HTTPS trên cổng 443 và 8443
• BitTorrent trên bất kỳ băng tần nào khác

Do đó, bạn sẽ phải chuyển sang dpi “Hoạt động” hoặc sử dụng tính năng chặn bằng máy chủ DNS bổ sung.

Chặn bằng DNS

Một cách để chặn quyền truy cập vào tài nguyên là chặn yêu cầu DNS bằng máy chủ DNS cục bộ và trả về cho người dùng địa chỉ IP “sơ khai” thay vì tài nguyên được yêu cầu. Nhưng điều này không mang lại kết quả đảm bảo vì có thể ngăn chặn việc giả mạo địa chỉ:

Tùy chọn 1: Chỉnh sửa file máy chủ (dành cho máy tính để bàn)

Tệp máy chủ là một phần không thể thiếu của bất kỳ hệ điều hành nào, cho phép bạn luôn sử dụng nó. Để truy cập tài nguyên, người dùng phải:

1. Tìm địa chỉ IP của tài nguyên cần thiết
2. Mở file máy chủ để chỉnh sửa (cần có quyền quản trị viên), nằm ở:
   • Linux:/etc/máy chủ
   • Windows: %WinDir%System32driversetchosts
3. Thêm một dòng ở định dạng: <tên tài nguyên>
4. Lưu thay đổi

Ưu điểm của phương pháp này là độ phức tạp và yêu cầu quyền quản trị viên.

Tùy chọn 2: DoH (DNS qua HTTPS) hoặc DoT (DNS qua TLS)

Những phương pháp này cho phép bạn bảo vệ yêu cầu DNS của mình khỏi bị giả mạo bằng cách sử dụng mã hóa nhưng việc triển khai không được tất cả các ứng dụng hỗ trợ. Hãy xem xét sự dễ dàng của việc thiết lập DoH cho Mozilla Firefox phiên bản 66 từ phía người dùng:

1. Đi đến địa chỉ about: config trong Firefox
2. Xác nhận rằng người dùng chịu mọi rủi ro
3. Thay đổi giá trị tham số mạng.trr.mode trong:
   • 0 - tắt TRR
   • 1 - lựa chọn tự động
   • 2 - bật DoH theo mặc định
4. Thay đổi tham số mạng.trr.uri chọn máy chủ DNS
   • DNS đám mây: mozilla.cloudflare-dns.com/dns-query
   • DNS của Google: dns.google.com/experimental
5. Thay đổi tham số network.trr.boostrapĐịa chỉ trong:
   • Nếu DNS Cloudflare được chọn: 1.1.1.1
   • Nếu Google DNS được chọn: 8.8.8.8
6. Thay đổi giá trị tham số mạng.security.esni.enabled trên đúng
7. Kiểm tra xem các cài đặt có đúng không bằng cách sử dụng Dịch vụ đám mây

Mặc dù phương pháp này phức tạp hơn nhưng nó không yêu cầu người dùng phải có quyền quản trị viên và có nhiều cách khác để bảo mật yêu cầu DNS không được mô tả trong bài viết này.

Tùy chọn 3 (dành cho thiết bị di động):

Sử dụng ứng dụng Cloudflare để Android и IOS.

Kiểm tra

Để kiểm tra việc thiếu quyền truy cập vào tài nguyên, một miền bị chặn ở Liên bang Nga đã tạm thời được mua:

• Kiểm tra HTTP + cổng 80
• Kiểm tra HTTP + cổng 8080
• Kiểm tra HTTPS + cổng 443
• Kiểm tra HTTPS + cổng 8443

Kết luận

Tôi hy vọng bài viết này sẽ hữu ích và sẽ khuyến khích không chỉ quản trị viên hiểu chủ đề chi tiết hơn mà còn giúp hiểu rằng tài nguyên sẽ luôn đứng về phía người dùng và việc tìm kiếm các giải pháp mới phải là một phần không thể thiếu đối với họ.

Liên kết hữu ích

• Triển khai chuẩn SNI mã hóa trên Firefox
• Bỏ quaDPI ngoại tuyến

Bổ sung ngoài bài viếtKhông thể hoàn thành quá trình kiểm tra Cloudflare trên mạng của nhà điều hành Tele2 và việc cài đặt cấu hình chính xác sẽ chặn quyền truy cập vào trang web thử nghiệm.
PS Cho đến nay đây là nhà cung cấp đầu tiên chặn tài nguyên một cách chính xác.

Nguồn: www.habr.com