Провайдеры Российской Федерации, в большинстве своем, применяют системы глубокого анализа трафика (DPI, Deep Packet Inspection) для блокировки сайтов, внесенных в реестр запрещенных. Не существует единого стандарта на DPI, есть большое количество реализации от разных поставщиков DPI-решений, отличающихся по типу подключения и типу работы.
Существует два распространенных типа подключения DPI: пассивный и активный.
Пассивный DPI
Пассивный DPI — DPI, подключенный в провайдерскую сеть параллельно (не в разрез) либо через пассивный оптический сплиттер, либо с использованием зеркалирования исходящего от пользователей трафика. Такое подключение не замедляет скорость работы сети провайдера в случае недостаточной производительности DPI, из-за чего применяется у крупных провайдеров. DPI с таким типом подключения технически может только выявлять попытку запроса запрещенного контента, но не пресекать ее. Чтобы обойти это ограничение и заблокировать доступ на запрещенный сайт, DPI отправляет пользователю, запрашивающему заблокированный URL, специально сформированный HTTP-пакет с перенаправлением на страницу-заглушку провайдера, словно такой ответ прислал сам запрашиваемый ресурс (подделывается IP-адрес отправителя и TCP sequence). Из-за того, что DPI физически расположен ближе к пользователю, чем запрашиваемый сайт, подделанный ответ доходит до устройства пользователя быстрее, чем настоящий ответ от сайта.
Обход блокировок сайтов без VPN. goodbyedpi
Выявляем и блокируем пакеты пассивного DPI
Поддельные пакеты, формируемые DPI, легко обнаружить анализатором трафика, например, Wireshark.
Пробуем зайти на заблокированный сайт:
Что такое блокировка по DPI и можно ли ее обойти
По разным оценкам за последние пять лет Роскомнадзор успел заблокировать от 300 до 500 тысяч интернет-ресурсов. Не знаем, насколько эти цифры соответствуют действительности, ясно одно — останавливаться на достигнутом сие «благородное» учреждение не намерено, более того, ходят слухи, что для ограничения доступа к неугодным сайтам цензоры начнут применять более продвинутую, чем блокировка по IP -адресу, технологию, а именно Deep Packet Inspection или сокращенно DPI.
По здравом размышлении вряд ли затея будет реализована, технология эта ввиду своего топорного свойства имеет целый ряд недостатков, кроме того, она является более чем дорогостоящей и плохо поддающейся настройке. И всё же как говорится, кто предупрежден, тот вооружен. Что, если власти все-таки решаться задействовать Deep Packet Inspection, ну хотя бы в рамках так называемого суверенного интернета?
Что такое DPI и как она работает
Если не вдаваться в технические детали, DPI можно охарактеризовать как систему фильтрации по содержимому пакетов — блоков данных, коими в сети обмениваются компьютеры. Такой способ фильтрации является более эффективным, чем простая проверка заголовка, обмануть которую без труда можно подменив данные об отправителе с помощью прокси. DPI копает глубже, она потрошит сами пакеты и потому как они упакованы, устанавливает источник контента.
Обход блокировок без VPN | GoodbyeDPI
Если он совпадает с запрещенным UPL , установленная на сервер провайдера «коробочка» отправляет пользователю сформированной пакет, содержащий редирект на страницу-заглушку. А так как DPI физически находится к пользователю ближе, чем запрошенный ресурс, подмененный ответ приходит на компьютер раньше, чем ответ от сайта, который расценивается операционной системой уже как ретрансмиссия.
Неискушенному пользователю метод кажется железным, но это лишь на первый взгляд. Ни DPI , ни что иное не может заглянуть внутрь самих пакетов, то есть прочесть их содержимое, ведь иначе ни о какой, даже самой минимальной безопасности в интернете в принципе не могло быть и речи. Разбирая пакеты, DPI видит лишь упаковку, а поскольку разные ресурсы пакуют трафик сходным образом, DPI рискует ошибиться и заблокировать вовсе не то, что от него требуется.
Более того, неудачная реализация может запросто положить большую часть Рунета вместе с его модераторами и судя потому, откуда у блюстителей чистоты информационного пространства растут руки, такой сценарий выглядит вполне правдоподобным. Как не вспомнить здесь потуги Роскомнадзора заблокировать Телеграмм в 2018 году. Но и это еще не всё. Использование протоколом HTTPS шифрования существенно затрудняет применение технологии, более или менее хорошо она работает лишь с сайтами, использующими незащищенный протокол HTTP .
Как обойти блокировку DPI
Но давайте представим, что завтра Роскомнадзор таки начнет блокировать сайты с использованием Deep Packet Inspection. Всё, прощайте торренты, многочисленные, но неугодные развлекательные и политические ресурсы, прощай и без того попранная свобода слова? Как бы не так. Настоящие пакеты от запрашиваемых сайтов, хотя и с опозданием, всё равно приходят на компьютер, так что же мешает вам разобрать сами пакеты DPI и отбросить их?
Российский DPI тупой как ящер, запрещенные ресурсы он обнаруживает по строкам «Host» и «HTTP» в теле запроса, но стоит только заменить «Host» на «HoSt» , как пакет тут же проходит. А еще можно фрагментировать строки, разбивая их на части, добавляя или удаляя пробелы, вариаций множество. Плюс ко всему в интернете уже появились утилиты, работающие по данному принципу и позволяющие обходить блокировку. В Windows обойти пассивный и активный DPI поможет консольная утилита GoodbyeDPI, в Linux для этих целей создана утилита Zapret.
Как пользоваться GoodbyeDPI
Если вы хотите определить, использует ли ваш провайдер технологию DPI , воспользуйтесь утилитой Blockcheck. Будучи запущенной, она сканирует трафик и определяет тип блокировки, к примеру, в случае блокирования сайтов по DPI в логах будет указано «обнаружен пассивный DPI» .
Установив причину, скачайте утилиту GoodbyeDPI, запустите командную строку, перейдите в расположение исполняемого файла утилиты и выполните команду goodbyedpi.exe -1 -a .
Если сразу разблокировать доступ не получилось, попробуйте запустить goodbyedpi.exe с ключами -2, -3 и -4. Полный список ключей с их описанием можно посмотреть на страничке разработчика.
Резюме
С ограничениями в интернете можно и нужно бороться, ведь право на доступ к информации закреплено в конституциях многих стран, в том числе Конституции РФ. Увы, то что сейчас происходит в российском сегменте интернета не иначе как недоразумением не назовешь, и можно только предполагать, чем всё это закончится.
Ждет ли россиян чебурнет по типу китайской всеобщей объединенной компьютерной сети? Вряд ли. Свой интернет китайские товарищи создавали более 20 лет практически с нуля, потратив на это колоссальные средства и так и не сумев окончательно отгородиться от всего мира. В России с ее развёрнутый IT -инфраструктурой провернуть такое дело будет несравненно труднее.
Источник: www.white-windows.ru
Скачать GoodbyeDPI
GoodbyeDPI — бесплатная программа для открытия заблокированных сайтов путём обхода пассивных и активных DPI.
GoodbyeDPI блокирует пакеты с перенаправлением от пассивного DPI, заменяет Host на hoSt, удаляет пробел между двоеточием и значением хоста в заголовках Host. Способна фрагментировать HTTP/HTTPS пакеты и добавлять дополнительный пробел между http-методами и путями.
Как скачать и пользоваться GoodbyeDPI
GoodbyeDPI очень проста в использовании: достаточно загрузить, установить и запустить программу. Всё! Открывайте любые заблокированные сайты.
В последней версии GoodbyeDPI:
- функция подмены заголовков HTTP для доменов из списка заблокированных (blacklist);
- программа не создает «проблем» заблокированным сайтам;
Для простого и удобного запуска программы были добавлены скрипты:
Происходит открытие программы с опцией «-1» и включенным перенаправлением трафика DNS на нестандартный порт Яндекс.DNS, а также обрабатывает только домены из списка blacklist.txt. Удобный способ для провайдеров, модифицирующих ответы DNS и/или перенаправляющих DNS на свой.
Практически то же самое, только без перенаправления трафика DNS. Для провайдеров, не вмешивающихся в DNS-ответы.
Преимущество метода, по которому работает программа в том, что способ полностью автономный — не имеет внешних серверов, которые рано или поздно будут заблокированы.
Источник: soft-file.ru