| Автор |
Сообщение |
Maximus ®
Вольный стрелок
Uploader 100+
Стаж: 18 лет 3 мес.
Сообщений: 5523
Ratio: 25.234
Поблагодарили: 13343
100%
|
В сети стали появляться новости о том, что провайдеры закупают DPI оборудование, для того чтобы блокировать VPN. В этой статье я хочу поделиться своим мнением в целом о блокировках и конкретно о DPI.
Как у нас происходят блокировки сейчас?
Роскомнадзор вносит нежелательный ресурс в черный список. Провайдеры вынуждены подчиняться и не пропускать запросы к такому ресурсу. Например, при попытке зайти в твиттер, наш браузер отправляет DNS запрос провайдеру для получения IP-адреса твиттера. Провайдер, поняв то, что этот IP-адрес в черном списке, отдает нам свою страницу, где сообщается о том, что доступ невозможен.
Блокировка IP-адресов не эффективна по многим причинам. Например, необходимый ресурс может просто сменить IP-адрес. Мы такое наблюдали в 2018, когда РКН блокировал телеграм. Телеграм же просто менял адреса. А учитывая, то что телеграм хостился на AWS (Amazon Web Services), где кроме него хостилось огромное количество сайтов, в том числе и сам РКН. В итоге мы получили ситуацию, когда РКН заблокировал всё, что можно, в том числе и себя, а телеграм так и остался не заблокированным.
Но если ресурс, как твиттер не собирается менять IP-адрес, мы все равно можем попасть на него большим количеством способов: использовать другой DNS, прокси, VPN и др. А учитывая то, что в 2023 VPN используют почти все, то у РКН не остается шансов.
И тут на помощь приходит DPI (Deep Packet Inspection) - это технология, которая анализирует содержание сетевых пакетов, позволяя определять и блокировать определенные типы трафика. То есть DPI заглядывает в каждый пакет, и если ему, что-то не нравится он просто его не пропускает. Например, может взять и отфильтровывать все пакеты которые идут по OpenVPN протоколу.
— Но ведь если мы используем VPN, то наши пакеты зашифрованы. Как DPI сможет заглянуть в них?
Да, в такие пакеты DPI заглянуть не сможет, но он сможет по метаданным и другим характеристикам понять, что этот пакет принадлежит VPN трафику. Например, возьмем протокол OpenVPN, это опенсорс протокол, и все могут посмотреть как он устроен. OpenVPN использует порт 1194, и встретив зашифрованный пакет с таким портом, DPI поймет, что это OpenVPN трафик и при желании заблокирует его.
Также DPI может определять к какому протоколу принадлежит пакет, на основе анализа различных аспектов пакета, таких как заголовки и характеристики трафика, а также на основе сравнения с сигнатурами или шаблонами известных протоколов.
— Так, что получается, DPI сможет заблокировать весь VPN трафик?
Нет. Всё большую популярность набирают (и, как следствие — лучше и быстрее развиваются) средства всевозможной обфускации (запутывание) трафика.
Как следствие, это выливается в «гонку вооружений»: технологии DPI становятся всё более «надёжными», но одновременно с этим улучшаются и технологии обфускации трафика.
Цель обфускации - маскировка VPN трафика, делая его похожим на обычный трафик, чтобы обойти DPI. Например, данные можно скрыть под видом изображений или звуковых файлов. Обфусцирующие протоколы (Shadowsocks, obfs4, Cloak, Stunnel, OpenVPN Scramble) уже реализовали у себя крупные VPN сервисы.
К тому же блокировать весь VPN трафик вредно для экономики, т.к. VPN нужен не для того чтобы мог зайти в твиттер или инстаграм, а также большим компаниям для безопасной работы. Да и к тому же проверка каждого пакета в сети - это задача требующая временных затрат, что может существенно повлиять на скорость трафика. Ну и для глобальных блокировок нужны огромное количество дорогостоящего оборудования.
Опыт Китая, нам показывает, что любые DPI блокировки, в том числе и великий китайский файрвол можно обойти с помощью технологий обфускации.
Источник |
|
|
 |
atrowbalk
Стаж: 3 года
Сообщений: 303
Ratio: 9.427
0%
|
Запретами можно чего-либо добиться только на короткий период. Полностью отказаться позволяет лишь воспитание. Прививание противоположных ценностей. А если их нет, то все это бесполезно, так как любой запрет - лишь реакция на что-то. Значит это что-то всегда будет на шаг впереди. |
|
|
|
|
Dobry_Flibust
Стаж: 3 года 6 мес.
Сообщений: 226
Ratio: 16.53
63.02%
|
Экономический фактор учитывать не стоит. В этой стране даже гигантов подвели к банкротству. Тоталитаризм в этой стране не смотрит на экономику пока не настает край. |
_________________
"Лучше знание, нежели отборное золото; потому что мудрость лучше жемчуга, и ничто из желаемого не сравнится с нею." царь Соломон.
|
|
|
|
atrowbalk
Стаж: 3 года
Сообщений: 303
Ratio: 9.427
0%
|
Dobry_Flibust
Вы так говорите, будто развал экономики - это тоже исключительная черта "этой страны". Будто в США, Европе или Японии не тоже самое. |
|
|
|
|
Belros
Стаж: 13 лет 6 мес.
Сообщений: 709
Ratio: 5.684
100%
|
"Бывае праўда ў вочы коле…" А,товарищ майор?  | ! | Примечание от Т. майор: | | "Истина в глазах смотрящего.." | |
_________________
Когда уходишь на войну мальчишкой, тобой владеет великая иллюзия бессмертия. Других убивают, но не тебя.
Потом, когда тебя в первый раз тяжело ранят, эта иллюзия пропадает, и ты понимаешь, что это может случиться с тобой.
(Эрнест Хемингуэй).
|
|
|
|
rock_stranger
Стаж: 12 лет 10 мес.
Сообщений: 436
Ratio: 7.782
Раздал: 12.28 TB
100%
Откуда: КРЫМ
|
даже во время войны Роскомнадзор диктует свои условия... Пусть лучше там прикроет свою капушку, от всей этой жизни и так тошно жить, он еще и соли сыпет... Скоро вообще скажет за воздух платить... Пусть людям жить нормально дадут, а потом условия начнут свои диктовать |
_________________
CARPE DIEM!!!
|
|
|
|
оки
Стаж: 14 лет 5 мес.
Сообщений: 579
Ratio: 90.83
100%
|
rock_stranger писал(а):  | даже во время войны Роскомнадзор диктует свои условия... Пусть лучше там прикроет свою капушку, от всей этой жизни и так тошно жить, он еще и соли сыпет... Скоро вообще скажет за воздух платить... Пусть людям жить нормально дадут, а потом условия начнут свои диктовать |
а мы и так уже давно платим в качестве ндс |
|
|
|
|
mr.John Smith
Стаж: 13 лет 9 мес.
Сообщений: 185
Ratio: 48.205
100%
|
гов'ноедом года признан хомячёк купивший огрызок за 150000 тыр и с него же написавши о нищите в "этой стране" |
_________________
судя по тому какую разную музыку я слушаю соседи наверное думают что эту квартиру сдают посуточно, то металлистам, то дирижерам, то цыганам
|
|
|
|
vital8111
Стаж: 14 лет 4 мес.
Сообщений: 352
Ratio: 19.146
100%
|
У OpenVPN порт 1194 стардартный. Настроить можно на любой порт лишь бы он был свободен. Не вводите в заблуждение |
|
|
|
|
DrEn0r
Uploader 100+
Стаж: 12 лет 10 мес.
Сообщений: 364
Ratio: 540.598
100%
|
Shadowsocks нужно использовать, мы с моим братом подняли сервер в Нидерландах, работает ПОКА что исправно, но настройка с нуля достаточно замороченная. |
_________________
Ryzen 7 5800X3D, ASRock x470 Taichi, 8x4 3733CL16 DDR4, 7900XTX Nitro+ VaporX
|
|
|
|
|
|
|
