Geekly articles weekly

Fitur Pengaturan DPI

Artikel ini tidak membahas pengaturan DPI lengkap dan segala sesuatu yang terkait bersama, dan nilai ilmiah teks tersebut minimal. Tetapi ini menggambarkan cara paling sederhana untuk mem-bypass DPI, yang belum dipertimbangkan banyak perusahaan.

gambar

Peringatan No. 1: artikel ini bersifat penelitian, tidak mendorong siapa pun untuk melakukan apa pun dan menggunakannya. Idenya didasarkan pada pengalaman pribadi, dan setiap kebetulan adalah acak.

Peringatan # 2: artikel tersebut tidak mengungkapkan rahasia Atlantis, pencarian Cawan Suci dan misteri alam semesta lainnya, semua materi ada dalam domain publik dan mungkin telah dijelaskan lebih dari satu kali di Habré. (Saya tidak menemukan, saya akan berterima kasih atas tautannya)

Bagi mereka yang membaca peringatan, mari kita mulai.

Apa itu DPI?


DPI atau Deep Packet Inspection - teknologi untuk mengumpulkan data statistik, memeriksa dan memfilter paket jaringan yang menganalisis tidak hanya header paket, tetapi juga konten lalu lintas penuh pada level model OSI dari yang kedua dan lebih tinggi, yang memungkinkan Anda untuk mendeteksi dan memblokir virus, informasi filter yang tidak memenuhi kriteria yang ditentukan .

Ada dua jenis koneksi DPI yang dijelaskan oleh ValdikSS di github :
DPI pasif

DPI terhubung ke jaringan penyedia secara paralel (tidak di potong) baik melalui pembagi optik pasif atau menggunakan mirroring dari lalu lintas yang datang dari pengguna. Koneksi semacam itu tidak memperlambat kecepatan jaringan penyedia jika kinerja DPI tidak mencukupi, itulah sebabnya mengapa digunakan oleh penyedia besar. DPI dengan jenis koneksi ini secara teknis hanya dapat mendeteksi upaya untuk meminta konten yang dilarang, tetapi tidak menghentikannya. Untuk menghindari pembatasan ini dan memblokir akses ke situs terlarang, DPI mengirim paket HTTP yang dibentuk secara khusus kepada pengguna yang meminta URL yang diblokir dengan mengarahkan ulang ke halaman rintisan penyedia, seolah-olah sumber daya yang diminta sendiri telah mengirim tanggapan seperti itu (alamat IP pengirim dan urutan TCP dibuat). Karena fakta bahwa DPI secara fisik lebih dekat dengan pengguna daripada situs yang diminta, respons yang dipalsukan mencapai perangkat pengguna lebih cepat daripada respons nyata dari situs.

DPI aktif

DPI aktif - DPI terhubung ke jaringan penyedia dengan cara biasa, seperti perangkat jaringan lainnya. Penyedia mengonfigurasi perutean sehingga DPI menerima lalu lintas dari pengguna ke alamat atau domain IP yang diblokir, dan DPI sudah memutuskan untuk mengizinkan atau memblokir lalu lintas. DPI aktif dapat memeriksa lalu lintas keluar dan masuk, namun, jika penyedia menggunakan DPI hanya untuk memblokir situs dari registri, paling sering dikonfigurasi untuk memindai hanya lalu lintas keluar.

Tidak hanya efisiensi pemblokiran lalu lintas, tetapi juga beban DPI tergantung pada jenis koneksi, sehingga ada kemungkinan untuk tidak memeriksa semua lalu lintas, tetapi hanya pasti:
DPI normal

DPI "normal" adalah DPI yang memfilter jenis lalu lintas tertentu hanya pada port yang paling umum untuk jenis ini. Misalnya, DPI "normal" mendeteksi dan memblokir lalu lintas HTTP yang dilarang hanya di port 80, dan lalu lintas HTTPS di port 443. DPI jenis ini tidak akan melacak konten terlarang jika Anda mengirim permintaan dengan URL yang diblokir ke IP yang diblokir atau port non-standar.

DPI penuh

Tidak seperti DPI "reguler", DPI jenis ini mengklasifikasikan lalu lintas tanpa memperhatikan alamat IP dan port. Dengan demikian, situs yang diblokir tidak akan terbuka bahkan jika Anda menggunakan server proxy pada port yang sama sekali berbeda dan alamat IP yang tidak diblokir.

Penggunaan DPI


Agar tidak mengurangi kecepatan transfer data, Anda perlu menggunakan DPI pasif "Normal", yang memungkinkan efisien blokir apa saja? sumber daya, konfigurasi default terlihat seperti ini:

  • Filter HTTP pada port 80 saja
  • HTTPS pada port 443 saja
  • BitTorrent hanya pada 6881-6889 port

Tetapi masalah mulai, jika sumber daya menggunakan port yang berbeda agar tidak kehilangan pengguna , maka Anda harus memeriksa setiap paket, misalnya, Anda dapat mengutip:

  • HTTP berfungsi pada port 80 dan 8080
  • HTTPS pada port 443 dan 8443
  • BitTorrent di band lain mana pun

Karena itu, Anda harus beralih ke DPI Aktif, atau menggunakan pemblokiran menggunakan server DNS tambahan.

Pemblokiran DNS


Salah satu cara untuk memblokir akses ke sumber daya adalah dengan mencegat permintaan DNS menggunakan server DNS lokal dan mengembalikan alamat IP dari "rintisan" kepada pengguna, daripada sumber daya yang diperlukan. Tetapi ini tidak memberikan hasil yang terjamin, karena dimungkinkan untuk mencegah spoofing alamat:

Opsi 1: Mengedit file hosts (untuk desktop)

File host adalah bagian integral dari sistem operasi apa pun, yang memungkinkan Anda untuk selalu menggunakannya. Untuk mengakses sumber daya, pengguna harus:

  1. Temukan alamat IP sumber daya yang diperlukan
  2. Buka file host untuk diedit (diperlukan hak administrator) yang terletak di:
    • Linux: / etc / hosts
    • Windows:% WinDir% \ System32 \ drivers \ etc \ hosts
  3. Tambahkan baris dalam format: <ip address> <resource name>
  4. Simpan perubahan

Keuntungan dari metode ini adalah kompleksitasnya dan persyaratan untuk memiliki hak administrator.

Opsi 2: DoH (DNS over HTTPS) atau DoT (DNS over TLS)

Metode ini memungkinkan Anda untuk melindungi permintaan DNS menggunakan enkripsi dari spoofing, tetapi implementasinya tidak didukung oleh semua aplikasi. Pertimbangkan kemudahan mengkonfigurasi DoH untuk Mozilla Firefox versi 66 oleh pengguna:

  1. Pergi ke about: config di Firefox
  2. Konfirmasikan bahwa pengguna menanggung semua risiko
  3. Ubah nilai parameter network.trr.mode ke:
    • 0 - nonaktifkan TRR
    • 1 - pemilihan otomatis
    • 2 - aktifkan DoH secara default
  4. Ubah parameter network.trr.uri dengan memilih server DNS
  5. Ubah parameter network.trr.boostrapAddress ke:
    • Jika Cloudflare DNS dipilih: 1.1.1.1
    • Jika Google DNS dipilih: 8.8.8.8
  6. Ubah nilai parameter network.security.esni.enabled menjadi true
  7. Verifikasi pengaturan menggunakan Cloudflare

Meskipun metode ini lebih kompleks, metode ini tidak memerlukan hak administrator untuk pengguna, dan ada banyak cara lain untuk melindungi permintaan DNS yang tidak dijelaskan dalam artikel ini.

Opsi 3 (untuk perangkat seluler):

Menggunakan aplikasi dari Cloudflare untuk Android dan iOS .

Pengujian


Untuk memeriksa kurangnya akses ke sumber daya, domain yang diblokir di wilayah Federasi Rusia untuk sementara dibeli:

  • Pemeriksaan HTTP + 80 port
  • Pemeriksaan HTTP + 8080 port
  • Periksa port HTTPS + 443
  • Periksa port HTTPS + 8443

Kesimpulan


Saya harap artikel ini akan bermanfaat dan tidak hanya akan mendorong administrator untuk memahami topik secara lebih rinci, tetapi juga akan memperjelas bahwa sumber daya akan selalu berada di pihak pengguna, dan pencarian solusi baru harus menjadi bagian yang tidak terpisahkan bagi mereka.

Tautan yang bermanfaat



Penambahan di luar artikel
Tes Cloudflare tidak dapat diteruskan pada jaringan Tele2, dan DPI yang dikonfigurasi dengan benar akan memblokir akses ke situs uji.
PS Sejauh ini, ini adalah penyedia pertama yang memblokir sumber daya dengan benar.

Source: https://habr.com/ru/post/id453260/

More articles:


All Articles