| Автор |
Сообщение |
Maximus ®
Вольный стрелок
Uploader 100+
Стаж: 17 лет 6 мес.
Сообщений: 5098
Ratio: 25.179
Поблагодарили: 13237
100%
|
В сети стали появляться новости о том, что провайдеры закупают DPI оборудование, для того чтобы блокировать VPN. В этой статье я хочу поделиться своим мнением в целом о блокировках и конкретно о DPI.
Как у нас происходят блокировки сейчас?
Роскомнадзор вносит нежелательный ресурс в черный список. Провайдеры вынуждены подчиняться и не пропускать запросы к такому ресурсу. Например, при попытке зайти в твиттер, наш браузер отправляет DNS запрос провайдеру для получения IP-адреса твиттера. Провайдер, поняв то, что этот IP-адрес в черном списке, отдает нам свою страницу, где сообщается о том, что доступ невозможен.
Блокировка IP-адресов не эффективна по многим причинам. Например, необходимый ресурс может просто сменить IP-адрес. Мы такое наблюдали в 2018, когда РКН блокировал телеграм. Телеграм же просто менял адреса. А учитывая, то что телеграм хостился на AWS (Amazon Web Services), где кроме него хостилось огромное количество сайтов, в том числе и сам РКН. В итоге мы получили ситуацию, когда РКН заблокировал всё, что можно, в том числе и себя, а телеграм так и остался не заблокированным.
Но если ресурс, как твиттер не собирается менять IP-адрес, мы все равно можем попасть на него большим количеством способов: использовать другой DNS, прокси, VPN и др. А учитывая то, что в 2023 VPN используют почти все, то у РКН не остается шансов.
И тут на помощь приходит DPI (Deep Packet Inspection) - это технология, которая анализирует содержание сетевых пакетов, позволяя определять и блокировать определенные типы трафика. То есть DPI заглядывает в каждый пакет, и если ему, что-то не нравится он просто его не пропускает. Например, может взять и отфильтровывать все пакеты которые идут по OpenVPN протоколу.
— Но ведь если мы используем VPN, то наши пакеты зашифрованы. Как DPI сможет заглянуть в них?
Да, в такие пакеты DPI заглянуть не сможет, но он сможет по метаданным и другим характеристикам понять, что этот пакет принадлежит VPN трафику. Например, возьмем протокол OpenVPN, это опенсорс протокол, и все могут посмотреть как он устроен. OpenVPN использует порт 1194, и встретив зашифрованный пакет с таким портом, DPI поймет, что это OpenVPN трафик и при желании заблокирует его.
Также DPI может определять к какому протоколу принадлежит пакет, на основе анализа различных аспектов пакета, таких как заголовки и характеристики трафика, а также на основе сравнения с сигнатурами или шаблонами известных протоколов.
— Так, что получается, DPI сможет заблокировать весь VPN трафик?
Нет. Всё большую популярность набирают (и, как следствие — лучше и быстрее развиваются) средства всевозможной обфускации (запутывание) трафика.
Как следствие, это выливается в «гонку вооружений»: технологии DPI становятся всё более «надёжными», но одновременно с этим улучшаются и технологии обфускации трафика.
Цель обфускации - маскировка VPN трафика, делая его похожим на обычный трафик, чтобы обойти DPI. Например, данные можно скрыть под видом изображений или звуковых файлов. Обфусцирующие протоколы (Shadowsocks, obfs4, Cloak, Stunnel, OpenVPN Scramble) уже реализовали у себя крупные VPN сервисы.
К тому же блокировать весь VPN трафик вредно для экономики, т.к. VPN нужен не для того чтобы мог зайти в твиттер или инстаграм, а также большим компаниям для безопасной работы. Да и к тому же проверка каждого пакета в сети - это задача требующая временных затрат, что может существенно повлиять на скорость трафика. Ну и для глобальных блокировок нужны огромное количество дорогостоящего оборудования.
Опыт Китая, нам показывает, что любые DPI блокировки, в том числе и великий китайский файрвол можно обойти с помощью технологий обфускации.
Источник |
|
|
 |
hokandi
Стаж: 10 лет 7 мес.
Сообщений: 45
Ratio: 28.938
9.64%
|
СМИ: Роскомнадзор закупает оборудование для серьезной блокировки YouTube, Telegram и WhatsApp. В Госдуме уже прокомментировали это cообщение. | Цитата: | В российских TG-каналах распространилась новость о том, что РКН закупает оборудование для масштабных блокировок иностранных сервисов в стране. Речь идет о DPI— системе глубокой фильтрации трафика — которая, как сообщается, позволит одним махом заблокировать Telegram, WhatsApp и YouTube, и обойти такую блокировку крайне проблематично.
Российские медиа, подавая эту новость, ссылаются на расследование TheInsidеr (СМИ, признанное иноагентом в России). А тот в свою очередь ссылается на обнаруженный договор, заключенный ГРЧЦ и ДЦОА, в котором обозначены типы и количество оборудования для фильтрации трафика, которое должно быть поставлено ГРЧЦ и установлено на сетях операторов связи в РФ. Издание не утверждает, что благодаря этому упомянутые сервисы в России точно заблокируют, — но отмечает, что появится возможность сделать это быстро и качественно.
Депутат ГД Антон Горелкин прокомментировал новость в своем TG-канале. Он назвал информацию страшилкой и подчеркнул, что ее распространило иноагентское издание. По мнению Горелкина, российскую аудиторию просто пугают и пытаются погрузить в упаднические настроения. Прошелся Горелкин и по TG-каналам, которые распространяют подобную информацию: по его словам, многие из них ведутся за пределами России и привлекают аудиторию, вбрасывая фейки.
Насчет масштабных блокировок иностранных сервисов Горелкин заявил следующее: они принесут серьезный негативный эффект, поэтому такой цели не стоит. Однако есть другая цель — создание «суверенного рунета», который не будет отрезан он западных сайтов, но будет «устойчивым в любых обстоятельствах», объяснил он.
Ранее сообщалось о ВКС-сервисах Microsoft, которые вопреки санкциям продолжают работать в России. ComNews писал о том, что российские участники рынка ВКС этим недовольны и намерены изгнать сервисы американской корпорации — допуская при этом также блокировку на уровне DPI. |
|
|
|
|
|
crear
Стаж: 13 лет 2 мес.
Сообщений: 126
Ratio: 1.723
11.7%
Откуда: Sakhalin
|
GoodbyeDPI 0.2.2 Launcher 6.3 [Ru]Утилита GoodbyeDPI предназначена для обхода систем глубокого анализа трафика (Deep Packet Inspection) и получения доступа к заблокированным сайтам. Работает с пассивными (подключенными с помощью оптического сплиттера или с зеркалированием трафика) и активными (подключенными последовательно) DPI. |
|
|
|
|
Nikoteeny
Только чтение
Стаж: 13 лет
Сообщений: 523
Ratio: 42.46
100%
|
crear писал(а):  | GoodbyeDPI 0.2.2 Launcher 6.3 [Ru]Утилита GoodbyeDPI предназначена для обхода систем глубокого анализа трафика (Deep Packet Inspection) и получения доступа к заблокированным сайтам. Работает с пассивными (подключенными с помощью оптического сплиттера или с зеркалированием трафика) и активными (подключенными последовательно) DPI. |
На моем провайдере нифига goodbyedpi не пашет. Все комбинации пробовал. И очень много vpnов отвалились. Скоты потихоньку все блокируют и блокируют. Уже давно просматривается наше ближайшее будущее, точно как в "1984" Оруэлла, да еще и в будущем книги и информация будут полностью под запретом, как у Брэдбери в "451 градус по фаренгейту", когда они книги сжигали. Надо ведь народ отуплять и делать из них послушное, покорное и несвободомыслящее стадо. |
|
|
|
|
4rester
Стаж: 16 лет 11 мес.
Сообщений: 53
Ratio: 12.401
69.51%
|
Цивилизация всё равно возьмёт верх над любыми архаичными (если не сказать сильно хуже) безумцами, которым не по душе мир и прогресс, открытость и свобода...
Вопрос лишь во времени и цене, увы |
|
|
|
|
dedSerduk
Uploader 500+
Стаж: 17 лет
Сообщений: 279
Ratio: 112.393
Раздал: 716.3 TB
Поблагодарили: 517
100%
|
| Nikoteeny писал(а): | | crear писал(а): | GoodbyeDPI 0.2.2 Launcher 6.3 [Ru]Утилита GoodbyeDPI предназначена для обхода систем глубокого анализа трафика (Deep Packet Inspection) и получения доступа к заблокированным сайтам. Работает с пассивными (подключенными с помощью оптического сплиттера или с зеркалированием трафика) и активными (подключенными последовательно) DPI. |
На моем провайдере нифига goodbyedpi не пашет. Все комбинации пробовал. И очень много vpnов отвалились. Скоты потихоньку все блокируют и блокируют. Уже давно просматривается наше ближайшее будущее, точно как в "1984" Оруэлла, да еще и в будущем книги и информация будут полностью под запретом, как у Брэдбери в "451 градус по фаренгейту", когда они книги сжигали. |
Самое интересное скрывается среди скучного. Оруэлл уже прошёл и мы имеем уже больше трех поколений монолитного общества с вкраплением инакомыслящих, что нормально для обыкновенных популяций. Что плохо для нас - все уровни власти не соответствуют советской прошивке - послушайте дебаты Зиновьева и Ельцина и определите, где коммунист, а где прозападный политик. Ориентироваться надо на Беларусь, там и люди и власть находятся в относительной гармонии. Из свежего погуглите высказывание Марьяны Наумовой + необходимость принудительного воспитания. |
|
|
|
|
zz13
Стаж: 12 лет 2 мес.
Сообщений: 2082
Ratio: 3.365
30.02%
|
все промышленные компании используют тот или иной впн для связи со своими станками поставляемыми в другие страны и блокировка такой связи может привести к остановке станков. банки тоже используют эти системы для передачи данных в своих сетях. думаю вся эта свистопляска с блокировкой впн кончится очень быстро, как только пострадают крупные компании и полетят иски от них этим блокировщикам. у них тоже свои люди в правительстве имеются и когда эти блокировки затронут их интересы и деньги - полетят головы. |
|
|
|
|
idenis86
Стаж: 2 года 4 мес.
Сообщений: 258
Ratio: 40.138
100%
|
| Jackers писал(а): | | Цитата: | Опыт Китая, нам показывает, что любые DPI блокировки, в том числе и великий китайский файрвол можно обойти с помощью технологий обфускации. |
А что показывает опыт КНДР? |
Опломбированные компы, Red Star OS в которой хрен установишь ВПН, скриншот экрана в органы госбезопасности. Сеть Кванмён не имеет выхода в общий интернет физически. |
|
|
|
|
alexio
Стаж: 17 лет
Сообщений: 51
Ratio: 0.415
0.3%
|
| Jackers писал(а): | | Цитата: | Опыт Китая, нам показывает, что любые DPI блокировки, в том числе и великий китайский файрвол можно обойти с помощью технологий обфускации. |
А что показывает опыт КНДР? |
А там всё просто. Вилка из розетки выдернута. И доступ в сеть только "членам кимирсеновки". Ну а для особо хитрых - забег по минному полю. |
|
|
|
|
crear
Стаж: 13 лет 2 мес.
Сообщений: 126
Ratio: 1.723
11.7%
Откуда: Sakhalin
|
| Nikoteeny писал(а): | | crear писал(а): | GoodbyeDPI 0.2.2 Launcher 6.3 [Ru]Утилита GoodbyeDPI предназначена для обхода систем глубокого анализа трафика (Deep Packet Inspection) и получения доступа к заблокированным сайтам. Работает с пассивными (подключенными с помощью оптического сплиттера или с зеркалированием трафика) и активными (подключенными последовательно) DPI. |
На моем провайдере нифига goodbyedpi не пашет. Все комбинации пробовал. И очень много vpnов отвалились. Скоты потихоньку все блокируют и блокируют. Уже давно просматривается наше ближайшее будущее, точно как в "1984" Оруэлла, да еще и в будущем книги и информация будут полностью под запретом, как у Брэдбери в "451 градус по фаренгейту", когда они книги сжигали. Надо ведь народ отуплять и делать из них послушное, покорное и несвободомыслящее стадо. |
А у меня прекрасно работает с Ростелекомом и Йотой, я и сейчас на нонейме через неё. |
|
|
|
|
Jackers
Стаж: 7 лет 6 мес.
Сообщений: 1382
Ratio: 3.241
97.1%
|
| idenis86 писал(а): |
Опломбированные компы, Red Star OS в которой хрен установишь ВПН, скриншот экрана в органы госбезопасности. Сеть Кванмён не имеет выхода в общий интернет физически.
|
| alexio писал(а): |
А там всё просто. Вилка из розетки выдернута. И доступ в сеть только "членам кимирсеновки". Ну а для особо хитрых - забег по минному полю.
|
Еще есть к чему "стремиться", что даже опыт Китая становится не таким страшным. |
|
|
|
|
NoNameUser2387
Стаж: 6 мес. 13 дней
Сообщений: 43
Ratio: 34.555
90.36%
Откуда: из Москвы
|
Если будет очень нужно - заблокируют все VPN, не соблюдающие российское законодательство и останутся только соблюдающие, которые будут бесполезны для обхода блокировок, к этом все идет, в Китае например никакие популярные VPN сервисы и даже Тор не работают, китайцы конечно как-то обходят блокировки, но это трудно и долго, вот и у нас скоро может быть также, если вообще не хуже будет, как в Туркменистане например, или вообще в Северной Корее. |
|
|
|
|
bak_lan
Стаж: 14 лет 8 мес.
Сообщений: 1002
Ratio: 44.834
100%
|
| HackBlack писал(а): | Как же задрала эта битва "государства" (шайки) с личными потребностями человека.
Какая вообще разница, что в интернете ? Ведь всё закладывается в детстве: Воспитание, адекватность, моральные ценности и так далее.... Хватит уже блокировать всё в интернете, доблакируйтесь, все выйдем на улицы и снесём жуликов и воров! |
Никуда ты не выйдешь,  У тебя только личные потребности.  ты сам за себя, интернет тебе промыл мозги!  Всё закладывается в детстве и в интернете!  |
|
|
|
|
serjmd
Стаж: 12 лет 2 мес.
Сообщений: 65
Ratio: 1.26
0.29%
|
| scrimv писал(а): | Сейчас много решений со списками, которые ты для себя сам создаешь, если ты ленивый, то не надо перекладывать на крировуких из ркн, чтобы они всем свои списки навязывали  |
Дело не в лени. Если мы говорим о блокировках, идея белых списков лежит на поверхности. Если нет - то все это просто имитация бурной деятельности. То же и с "блокировкой" Telegram. |
|
|
|
|
Luda1984
Стаж: 6 мес. 12 дней
Сообщений: 26
Ratio: 0.987
100%
Откуда: Брест
|
Если очень надо будет, найдут или изобретут новые обходы блокировок. |
_________________
Я столько слышала о Вас столько гадостей, что поняла - Вы замечательный человек...(Ф.Раневская)
|
|
|
|
ccb501
Стаж: 10 лет 2 мес.
Сообщений: 305
Ratio: 1.687
4.71%
|
Сегодня с ящика вещали, что тырнет подорожает на 15 %
Что мол оборудование из-за санкций подорожало и т.д.
А вот на это оборудование денег не жалко!
Да, а у кого будут закупать это оборудование?
У братьев китайцев видать... они помогут! |
|
|
|
|
|
|
|
