Geekly articles weekly

ميزات إعداد DPI

لا يناقش هذا المقال إعداد DPI الكامل وكل ما يتعلق به معًا ، وتكون القيمة العلمية للنص ضئيلة. لكنه يصف أبسط طريقة لتجاوز DPI ، والتي لم تأخذها العديد من الشركات في الاعتبار.

صورة

تحذير رقم 1: هذا المقال هو بحث في الطبيعة ، ولا يشجع أي شخص على فعل أي شيء واستخدامه. تعتمد الفكرة على التجربة الشخصية ، وأي مصادفات عشوائية.

تحذير رقم 2: لا تكشف المقالة عن أسرار أتلانتس ، والبحث عن الكأس المقدسة وغيرها من أسرار الكون ، وجميع المواد في المجال العام وربما تم وصفها أكثر من مرة على حبري. (لم أجد ، سأكون ممتنًا للرابط)

بالنسبة لأولئك الذين قرأوا التحذيرات ، لنبدأ.

ما هو DPI؟


DPI أو Deep Packet Inspection - تقنية لتجميع البيانات الإحصائية وفحص وتصفية حزم الشبكة التي لا تحلل فقط رؤوس الحزمة ، ولكن أيضًا المحتوى الكامل لحركة المرور على مستويات طراز OSI من المستوى الثاني والأعلى ، مما يسمح لك باكتشاف الفيروسات وحظرها ، تصفية المعلومات التي لا تفي بالمعايير المحددة .

هناك نوعان من اتصالات DPI التي وصفها ValdikSS على github :
إدارة شؤون الإعلام السلبي

اتصال DPI بشبكة الموفر بشكل متوازٍ (وليس في القطع) إما من خلال التقسيم البصري السلبي ، أو باستخدام النسخ المتطابق لحركة المرور القادمة من المستخدمين. لا يؤدي هذا الاتصال إلى إبطاء سرعة شبكة الموفر في حالة عدم كفاية أداء DPI ، وهذا هو السبب في استخدامه من قبل كبار مقدمي الخدمات. يمكن DPI مع هذا النوع من الاتصال من الناحية الفنية فقط اكتشاف محاولة لطلب محتوى محظور ، ولكن لا يوقفه. للتحايل على هذا التقييد ومنع الوصول إلى الموقع المحظور ، ترسل إدارة شؤون الإعلام حزمة HTTP مصممة خصيصًا إلى المستخدم تطلب عنوان URL المحظور من خلال إعادة توجيه إلى صفحة كعب الروتين الخاصة بالموفر ، كما لو أن المورد المطلوب نفسه قد أرسل مثل هذا الرد (عنوان IP للمرسل وتسلسل TCP مزوران). نظرًا لحقيقة أن DPI أقرب إلى المستخدم فعليًا من الموقع المطلوب ، فإن الاستجابة المزورة تصل إلى جهاز المستخدم بشكل أسرع من الاستجابة الحقيقية من الموقع.

نشط DPI

نشط DPI - DPI متصل بشبكة الموفر بالطريقة المعتادة ، مثل أي جهاز شبكة آخر. يقوم الموفر بتكوين التوجيه بحيث تستقبل DPI حركة المرور من المستخدمين إلى عناوين IP أو المجالات المحظورة ، وتقرر DPI بالفعل السماح بحركة المرور أو حظرها. يمكن لـ DPI النشط التحقق من حركة المرور الصادرة والواردة ، ومع ذلك ، إذا كان الموفر يستخدم DPI فقط لحظر المواقع من السجل ، يتم تكوينه في الغالب لمسح حركة المرور الصادرة فقط.

لا تعتمد كفاءة حظر حركة المرور فحسب ، بل تعتمد أيضًا تحميل DPI على نوع الاتصال ، لذلك هناك إمكانية لعدم التحقق من كل حركة المرور ، ولكن أيضًا معينة:
عادي DPI

DPI "العادي" هو DPI الذي يقوم بتصفية نوع معين من حركة المرور على المنافذ الأكثر شيوعًا لهذا النوع فقط. على سبيل المثال ، يكشف DPI "العادي" ويمنع حركة مرور HTTP المحظورة فقط على المنفذ 80 ، وحركة HTTPS على المنفذ 443. لن يقوم هذا النوع من DPI بتتبع المحتوى المحظور إذا قمت بإرسال طلب بعنوان URL محجوب إلى عنوان IP محظور أو منفذ غير قياسي.

كامل DPI

بخلاف DPI "العادي" ، يصنف هذا النوع من DPI حركة المرور بغض النظر عن عنوان IP والمنفذ. وبالتالي ، لن يتم فتح المواقع المحظورة حتى إذا كنت تستخدم خادمًا وكيلًا على منفذ مختلف تمامًا وعنوان IP غير محظور.

استخدام DPI


حتى لا تقلل من معدل نقل البيانات ، فأنت بحاجة إلى استخدام DPI المنفعلة ، والتي تسمح لك بفعالية؟ منع أي؟ الموارد ، التكوين الافتراضي يشبه هذا:

  • تصفية HTTP على المنفذ 80 فقط
  • HTTPS على المنفذ 443 فقط
  • تورنت فقط على المنافذ 6881-6889

ولكن تبدأ المشاكل ، إذا كان المورد يستخدم منفذًا مختلفًا حتى لا يفقد المستخدمون ، فسيتعين عليك التحقق من كل حزمة ، على سبيل المثال ، يمكنك ذكر:

  • يعمل HTTP على المنفذ 80 و 8080
  • HTTPS على المنفذ 443 و 8443
  • تورنت على أي فرقة أخرى

لهذا السبب ، سيكون عليك إما التبديل إلى Active DPI ، أو استخدام الحظر باستخدام خادم DNS إضافي.

حظر DNS


تتمثل إحدى طرق حظر الوصول إلى أحد المصادر في اعتراض استعلام DNS باستخدام خادم DNS المحلي وإرجاع عنوان IP الخاص بـ "كعب الروتين" إلى المستخدم ، بدلاً من المورد المطلوب. ولكن هذا لا يعطي نتيجة مضمونة ، لأنه من الممكن منع خداع العنوان:

الخيار 1: تحرير ملف المضيفين (لسطح المكتب)

يعد ملف hosts جزءًا لا يتجزأ من أي نظام تشغيل ، والذي يسمح لك باستخدامه دائمًا. للوصول إلى المورد ، يجب على المستخدم:

  1. ابحث عن عنوان IP للمورد المطلوب
  2. افتح ملف المضيفين للتحرير (حقوق المسؤول مطلوبة) الموجودة في:
    • Linux: / etc / hosts
    • Windows:٪ WinDir٪ \ System32 \ drivers \ etc \ hosts
  3. أضف سطرًا بالتنسيق: <عنوان IP> <اسم المورد>
  4. حفظ التغييرات

ميزة هذه الطريقة هي تعقيدها ومتطلبات وجود حقوق المسؤول.

الخيار 2: DoH (DNS عبر HTTPS) أو DoT (DNS عبر TLS)

تتيح لك هذه الطرق حماية استعلام DNS باستخدام التشفير من الخداع ، ولكن التنفيذ غير مدعوم من قبل جميع التطبيقات. النظر في سهولة تكوين DoH لـ Mozilla Firefox الإصدار 66 من قبل المستخدم:

  1. انتقل إلى : التكوين في Firefox
  2. تأكد من أن المستخدم يتحمل كل المخاطر
  3. تغيير قيمة المعلمة network.trr.mode إلى:
    • 0 - تعطيل TRR
    • 1 - الاختيار التلقائي
    • 2 - تمكين DoH افتراضيا
  4. تغيير المعلمة network.trr.uri عن طريق تحديد خادم DNS
  5. تغيير المعلمة network.trr.boostrapAddress إلى:
    • إذا تم تحديد Cloudflare DNS: 1.1.1.1
    • إذا تم تحديد Google DNS: 8.8.8.8
  6. تغيير قيمة المعلمة network.security.esni.enabled إلى true
  7. تحقق من الإعدادات باستخدام Cloudflare

على الرغم من أن هذه الطريقة أكثر تعقيدًا ، فإنها لا تتطلب حقوق المسؤول للمستخدم ، وهناك العديد من الطرق لحماية استعلام DNS غير الموضح في هذه المقالة.

الخيار 3 (للأجهزة المحمولة):

استخدام التطبيق من Cloudflare لنظامي Android و IOS .

تجريب


للتحقق من عدم الوصول إلى الموارد ، تم شراء نطاق تم حظره على أراضي الاتحاد الروسي مؤقتًا:

  • HTTP تحقق + 80 منفذ
  • HTTP تحقق + 8080 منفذ
  • تحقق من منفذ HTTPS + 443
  • تحقق من منفذ HTTPS + 8443

استنتاج


آمل أن تكون هذه المقالة مفيدة ولن أشجع المسؤولين على فهم الموضوع بمزيد من التفصيل فحسب ، بل ستوضح أيضًا أن الموارد ستكون دائمًا في جانب المستخدم ، وأن يكون البحث عن حلول جديدة جزءًا لا يتجزأ منها.

روابط مفيدة



إضافة خارج المقالة
لا يمكن اجتياز اختبار Cloudflare على شبكة Tele2 ، وسيقوم DPI الذي تم تكوينه بشكل صحيح بحظر الوصول إلى موقع الاختبار.
PS حتى الآن ، وهذا هو أول مزود لحجب الموارد بشكل صحيح.

Source: https://habr.com/ru/post/ar453260/

More articles:


All Articles