| Автор |
Сообщение |
Maximus ®
Вольный стрелок
Uploader 100+
Стаж: 18 лет 3 мес.
Сообщений: 5521
Ratio: 25.234
Поблагодарили: 13343
100%
|
В сети стали появляться новости о том, что провайдеры закупают DPI оборудование, для того чтобы блокировать VPN. В этой статье я хочу поделиться своим мнением в целом о блокировках и конкретно о DPI.
Как у нас происходят блокировки сейчас?
Роскомнадзор вносит нежелательный ресурс в черный список. Провайдеры вынуждены подчиняться и не пропускать запросы к такому ресурсу. Например, при попытке зайти в твиттер, наш браузер отправляет DNS запрос провайдеру для получения IP-адреса твиттера. Провайдер, поняв то, что этот IP-адрес в черном списке, отдает нам свою страницу, где сообщается о том, что доступ невозможен.
Блокировка IP-адресов не эффективна по многим причинам. Например, необходимый ресурс может просто сменить IP-адрес. Мы такое наблюдали в 2018, когда РКН блокировал телеграм. Телеграм же просто менял адреса. А учитывая, то что телеграм хостился на AWS (Amazon Web Services), где кроме него хостилось огромное количество сайтов, в том числе и сам РКН. В итоге мы получили ситуацию, когда РКН заблокировал всё, что можно, в том числе и себя, а телеграм так и остался не заблокированным.
Но если ресурс, как твиттер не собирается менять IP-адрес, мы все равно можем попасть на него большим количеством способов: использовать другой DNS, прокси, VPN и др. А учитывая то, что в 2023 VPN используют почти все, то у РКН не остается шансов.
И тут на помощь приходит DPI (Deep Packet Inspection) - это технология, которая анализирует содержание сетевых пакетов, позволяя определять и блокировать определенные типы трафика. То есть DPI заглядывает в каждый пакет, и если ему, что-то не нравится он просто его не пропускает. Например, может взять и отфильтровывать все пакеты которые идут по OpenVPN протоколу.
— Но ведь если мы используем VPN, то наши пакеты зашифрованы. Как DPI сможет заглянуть в них?
Да, в такие пакеты DPI заглянуть не сможет, но он сможет по метаданным и другим характеристикам понять, что этот пакет принадлежит VPN трафику. Например, возьмем протокол OpenVPN, это опенсорс протокол, и все могут посмотреть как он устроен. OpenVPN использует порт 1194, и встретив зашифрованный пакет с таким портом, DPI поймет, что это OpenVPN трафик и при желании заблокирует его.
Также DPI может определять к какому протоколу принадлежит пакет, на основе анализа различных аспектов пакета, таких как заголовки и характеристики трафика, а также на основе сравнения с сигнатурами или шаблонами известных протоколов.
— Так, что получается, DPI сможет заблокировать весь VPN трафик?
Нет. Всё большую популярность набирают (и, как следствие — лучше и быстрее развиваются) средства всевозможной обфускации (запутывание) трафика.
Как следствие, это выливается в «гонку вооружений»: технологии DPI становятся всё более «надёжными», но одновременно с этим улучшаются и технологии обфускации трафика.
Цель обфускации - маскировка VPN трафика, делая его похожим на обычный трафик, чтобы обойти DPI. Например, данные можно скрыть под видом изображений или звуковых файлов. Обфусцирующие протоколы (Shadowsocks, obfs4, Cloak, Stunnel, OpenVPN Scramble) уже реализовали у себя крупные VPN сервисы.
К тому же блокировать весь VPN трафик вредно для экономики, т.к. VPN нужен не для того чтобы мог зайти в твиттер или инстаграм, а также большим компаниям для безопасной работы. Да и к тому же проверка каждого пакета в сети - это задача требующая временных затрат, что может существенно повлиять на скорость трафика. Ну и для глобальных блокировок нужны огромное количество дорогостоящего оборудования.
Опыт Китая, нам показывает, что любые DPI блокировки, в том числе и великий китайский файрвол можно обойти с помощью технологий обфускации.
Источник |
|
|
 |
Jackers
Стаж: 8 лет 3 мес.
Сообщений: 1382
Ratio: 3.244
97.1%
|
| Цитата: | Опыт Китая, нам показывает, что любые DPI блокировки, в том числе и великий китайский файрвол можно обойти с помощью технологий обфускации. |
А что показывает опыт КНДР? |
|
|
|
|
Predteche
Стаж: 13 лет 3 мес.
Сообщений: 62
Ratio: 8.511
56.32%
|
Не полностью в теме, а зачем это будет нужно когда "DNS поверх TLS и DNS поверх HTTPS" внедрят повсеместно? На сколько понимаю тогда вообще не будет видно к какому ресурсу обращение. |
|
|
|
|
HackBlack
Стаж: 8 лет 2 мес.
Сообщений: 140
Ratio: 1.379
100%
|
Как же задрала эта битва "государства" (шайки) с личными потребностями человека.
Какая вообще разница, что в интернете ? Ведь всё закладывается в детстве: Воспитание, адекватность, моральные ценности и так далее.... Хватит уже блокировать всё в интернете, доблакируйтесь. |
|
|
|
|
scrimv
Стаж: 15 лет 7 мес.
Сообщений: 98
Ratio: 3.449
6.7%
|
А по факту если убрать фактор, что какие-то организации все же используют VPN (ну, например, организовать "свой" впн, внутрь которого сможет заглядывать "товарищ майор", то все остальные подозрительные пакеты можно резать при первом подозрении.
И вообще, надо бы чтоб как в европах, зашел не туда - маски шоу домой приехали и надавали люлей, больше чтоб не ходил куда не надо. И файрвол не понадобится.
Пора привыкать, что анонимность это не только хорошо, но и местами очень нехорошо.
По факту, у нас в работе как раз используется в организации ВПН потому как по другому не получилось обойти технические ограничения. Но без ВПН тоже можно, но с бОльшими затратами. |
|
|
|
|
asuki2008
Стаж: 14 лет 6 мес.
Сообщений: 52
Ratio: 15.567
0.84%
|
HackBlack писал(а):  | доблакируйтесь, все выйдем на улицы и снесём этих жуликов и воров! |
поэтому и блокируют, боятся |
_________________
qqls(i9-9900k)@4,2Ghz, 40gb, 3060 12gb |
|
|
|
Hauenstein
Стаж: 14 лет 2 мес.
Сообщений: 719
Ratio: 16.266
100%
|
Воспитали дебилов и теперь не знают, что с ними делать, а нам проблемы.
PS. Им ещё и не нравится. |
|
|
|
|
миллионный россиянин
Стаж: 2 года 4 мес.
Сообщений: 358
Ratio: 31.523
100%
|
Государство уже достало бороться со своими гражданами в интернете. Не хотите чтобы из запрещённых ресурсов узнавали, что "всё плохо", так сделайте хоть что-то уже "хорошо", а не запрещайте всё изобретательнее доступ к правде. |
|
|
|
|
blackcrow-n
Стаж: 15 лет 3 мес.
Сообщений: 120
Ratio: 15.186
98.06%
|
Сделали бы чёрный и белый список (через DNS или как-то так), в белом - все рукопожатые, без вирусов и пырныграфии, и выпинывать из него за нарушения, можно даже денюшку малую брать за повторное внесение в белый список. А взрослый человек при желании может спокойно посещать сайты из чёрного списка, пускай предупреждение выскакивает, что на свой страх и риск. Это и есть свобода слова, с рекомендациями регулятора. Держать команду вирусописателей гораздо дешевле  Можно сделать даже "детский" (безопасный), "взрослый" (18+) и "дикий" (не регулируемый) интернет. Но никто на это не пойдёт, т.к. это практически бесплатное решение, а там деньги... З.Ы. думаю, многие бы на своём роутере настроили "детский" интернет для семьи, лишь изредка выходя на любимый "дикий" nnm ))) |
|
|
|
|
Jackers
Стаж: 8 лет 3 мес.
Сообщений: 1382
Ratio: 3.244
97.1%
|
| Predteche писал(а): | Не полностью в теме, а зачем это будет нужно когда "DNS поверх TLS и DNS поверх HTTPS" внедрят повсеместно? На сколько понимаю тогда вообще не будет видно к какому ресурсу обращение. |
Если следовать стилю статьи, то есть еще опыт Ирана. |
|
|
|
|
CoNoL
Стаж: 13 лет 5 мес.
Сообщений: 441
Ratio: 19.659
Раздал: 51 TB
28.03%
|
В России пока только собираються блокировать ,а в демократиях сажать будут 20 лет тюрьмы за VPN: в США подготовили закон, который положит конец свободе в интернете Документ направлен на технологии, связанные с «иностранным противником», под которым подразумеваются Венесуэла, Иран, Китай, КНДР, Куба и Россия. Из-за расплывчатых формулировок закон сможет применяться практически к любому интернет-соединению между гражданином США и принадлежащей одной из этих стран платформе. Американец нарушит закон, открыв «ВКонтакте» или TikTok, если они попадут под запрет, и сможет быть привлечён к уголовной ответственности. Отдельно оговаривается запрет на использование VPN для обхода действующих блокировок ресурсов — нарушителям грозит наказание в виде штрафа до $1 млн и до 20 лет лишения свободы. |
|
|
|
|
Vidrimers
Стаж: 14 лет 1 мес.
Сообщений: 63
Ratio: 13.921
Раздал: 11.59 TB
0.23%
|
| scrimv писал(а): | А по факту если убрать фактор, что какие-то организации все же используют VPN (ну, например, организовать "свой" впн, внутрь которого сможет заглядывать "товарищ майор", то все остальные подозрительные пакеты можно резать при первом подозрении.
И вообще, надо бы чтоб как в европах, зашел не туда - маски шоу домой приехали и надавали люлей, больше чтоб не ходил куда не надо. И файрвол не понадобится.
Пора привыкать, что анонимность это не только хорошо, но и местами очень нехорошо.
По факту, у нас в работе как раз используется в организации ВПН потому как по другому не получилось обойти технические ограничения. Но без ВПН тоже можно, но с бОльшими затратами. |
Что ты несешь вообще, ты себя ограничить не можешь, поэтому заходишь на запрещенку? Мне, например, не нужен подобный контроль. А давай тащ майор только к тебе будет применять подобные меры по твоим идеям? Тогда тебе станет спокойно, что за тобой присматривают и оберегают шаловливые ручки | blackcrow-n писал(а): | Сделали бы чёрный и белый список (через DNS или как-то так), в белом - все рукопожатые, без вирусов и пырныграфии, и выпинывать из него за нарушения, можно даже денюшку малую брать за повторное внесение в белый список. А взрослый человек при желании может спокойно посещать сайты из чёрного списка, пускай предупреждение выскакивает, что на свой страх и риск. Это и есть свобода слова, с рекомендациями регулятора. Держать команду вирусописателей гораздо дешевле Можно сделать даже "детский" (безопасный), "взрослый" (18+) и "дикий" (не регулируемый) интернет. Но никто на это не пойдёт, т.к. это практически бесплатное решение, а там деньги... З.Ы. думаю, многие бы на своём роутере настроили "детский" интернет для семьи, лишь изредка выходя на любимый "дикий" nnm ))) |
Сейчас много решений со списками, которые ты для себя сам создаешь, если ты ленивый, то не надо перекладывать на крировуких из ркн, чтобы они всем свои списки навязывали |
_________________
Время пахнет, как керосин — вся страна, как колония ФСИН.
Все 20 лет одни и те же рожи, я старею с каждым днём, они — становятся моложе
|
|
|
|
SilverWolf-cun
Стаж: 12 лет 1 мес.
Сообщений: 35
Ratio: 29.056
10.75%
|
отрадно видеть что кто-то начинает мозги включать. Только поздновато. Раньше надо было... |
|
|
|
|
messer20080
RG Всё лучшее - детям!
Стаж: 14 лет 9 мес.
Сообщений: 4254
Ratio: 28.334
Раздал: 75.23 TB
Поблагодарили: 139166
100%
Откуда: Измаил
|
А скажите пожалуйста , по какому принципу Роскомнадзор определяет нежелательность ресурса? |
_________________ НЕЛЬЗЯ ОБЪЯТЬ НЕОБЪЯТНОЕ
|
|
|
|
bahron
Стаж: 14 лет 1 мес.
Сообщений: 2480
Ratio: 26.853
100%
|
| миллионный россиянин писал(а): | Государство уже достало бороться со своими гражданами в интернете. Не хотите чтобы из запрещённых ресурсов узнавали, что "всё плохо", так сделайте хоть что-то уже "хорошо", а не запрещайте всё изобретательнее доступ к правде. |
Правда в том что человеку для счастья нужно немного и интернета в этом списке нет. Что же до знания, то от многих знаний - многие горести. Обычному человеку не полезно знать даже всю историю своей страны, а только патриотически-обработанную её часть, с тем чтобы спокойно трудиться, спокойно плодиться, спокойно возделывать свой сад и не заботиться об опасностях мира окружающего, забота о котором лежит на плечах тех в чьих руках право на насилие - государства. |
|
|
|
|
|
|
|
