По разным оценкам за последние пять лет Роскомнадзор успел заблокировать от 300 до 500 тысяч интернет-ресурсов. Не знаем, насколько эти цифры соответствуют действительности, ясно одно — останавливаться на достигнутом сие «благородное» учреждение не намерено, более того, ходят слухи, что для ограничения доступа к неугодным сайтам цензоры начнут применять более продвинутую, чем блокировка по IP-адресу, технологию, а именно Deep Packet Inspection или сокращенно DPI.
По здравом размышлении вряд ли затея будет реализована, технология эта ввиду своего топорного свойства имеет целый ряд недостатков, кроме того, она является более чем дорогостоящей и плохо поддающейся настройке. И всё же как говорится, кто предупрежден, тот вооружен. Что, если власти все-таки решаться задействовать Deep Packet Inspection, ну хотя бы в рамках так называемого суверенного интернета?
Что такое DPI и как она работает
Если не вдаваться в технические детали, DPI можно охарактеризовать как систему фильтрации по содержимому пакетов — блоков данных, коими в сети обмениваются компьютеры. Такой способ фильтрации является более эффективным, чем простая проверка заголовка, обмануть которую без труда можно подменив данные об отправителе с помощью прокси. DPI копает глубже, она потрошит сами пакеты и потому как они упакованы, устанавливает источник контента.
Если он совпадает с запрещенным UPL, установленная на сервер провайдера «коробочка» отправляет пользователю сформированной пакет, содержащий редирект на страницу-заглушку. А так как DPI физически находится к пользователю ближе, чем запрошенный ресурс, подмененный ответ приходит на компьютер раньше, чем ответ от сайта, который расценивается операционной системой уже как ретрансмиссия.
Неискушенному пользователю метод кажется железным, но это лишь на первый взгляд. Ни DPI, ни что иное не может заглянуть внутрь самих пакетов, то есть прочесть их содержимое, ведь иначе ни о какой, даже самой минимальной безопасности в интернете в принципе не могло быть и речи. Разбирая пакеты, DPI видит лишь упаковку, а поскольку разные ресурсы пакуют трафик сходным образом, DPI рискует ошибиться и заблокировать вовсе не то, что от него требуется.
Более того, неудачная реализация может запросто положить большую часть Рунета вместе с его модераторами и судя потому, откуда у блюстителей чистоты информационного пространства растут руки, такой сценарий выглядит вполне правдоподобным. Как не вспомнить здесь потуги Роскомнадзора заблокировать Телеграмм в 2018 году. Но и это еще не всё. Использование протоколом HTTPS шифрования существенно затрудняет применение технологии, более или менее хорошо она работает лишь с сайтами, использующими незащищенный протокол HTTP.
Как обойти блокировку DPI
Но давайте представим, что завтра Роскомнадзор таки начнет блокировать сайты с использованием Deep Packet Inspection. Всё, прощайте торренты, многочисленные, но неугодные развлекательные и политические ресурсы, прощай и без того попранная свобода слова? Как бы не так. Настоящие пакеты от запрашиваемых сайтов, хотя и с опозданием, всё равно приходят на компьютер, так что же мешает вам разобрать сами пакеты DPI и отбросить их?
Российский DPI тупой как ящер, запрещенные ресурсы он обнаруживает по строкам «Host» и «HTTP» в теле запроса, но стоит только заменить «Host» на «HoSt», как пакет тут же проходит. А еще можно фрагментировать строки, разбивая их на части, добавляя или удаляя пробелы, вариаций множество. Плюс ко всему в интернете уже появились утилиты, работающие по данному принципу и позволяющие обходить блокировку. В Windows обойти пассивный и активный DPI поможет консольная утилита GoodbyeDPI, в Linux для этих целей создана утилита Zapret.
Как пользоваться GoodbyeDPI
Если вы хотите определить, использует ли ваш провайдер технологию DPI, воспользуйтесь утилитой Blockcheck. Будучи запущенной, она сканирует трафик и определяет тип блокировки, к примеру, в случае блокирования сайтов по DPI в логах будет указано «обнаружен пассивный DPI».
Установив причину, скачайте утилиту GoodbyeDPI, запустите командную строку, перейдите в расположение исполняемого файла утилиты и выполните команду goodbyedpi.exe -1 -a.
Если сразу разблокировать доступ не получилось, попробуйте запустить goodbyedpi.exe с ключами -2, -3 и -4. Полный список ключей с их описанием можно посмотреть на страничке разработчика.
Резюме
С ограничениями в интернете можно и нужно бороться, ведь право на доступ к информации закреплено в конституциях многих стран, в том числе Конституции РФ. Увы, то что сейчас происходит в российском сегменте интернета не иначе как недоразумением не назовешь, и можно только предполагать, чем всё это закончится. Ждет ли россиян чебурнет по типу китайской всеобщей объединенной компьютерной сети? Вряд ли. Свой интернет китайские товарищи создавали более 20 лет практически с нуля, потратив на это колоссальные средства и так и не сумев окончательно отгородиться от всего мира. В России с ее развёрнутый IT-инфраструктурой провернуть такое дело будет несравненно труднее.
Blockcheck: github.com/ValdikSS/blockcheck/releases
GoodbyeDPI: github.com/ValdikSS/GoodbyeDPI
Загрузка...
А эта программа поможет закрыть доступ провайдера к истории запросов?
Я про GoodbyeDPI
Не думаю. Задайте этот вопрос на форуме, есть отдельная ветка ntc.party/c/community-software/goodbyedpi