Меню
Главная
Форумы
Новые сообщения
Что нового?
Новые сообщения
Вход
Регистрация
Что нового?
Новые сообщения
Меню
Вход
Регистрация
В случае проблем с регистрацией или восстановлением пароля пишите
здесь
Главная
Форумы
Интернет-цензура в России
Замедление интернета
Как DPI обнаруживают и блокируют VPN
JavaScript отключён. Чтобы полноценно использовать наш сайт, включите JavaScript в своём браузере.
Ответить в теме
Сообщение
<p>[QUOTE="moder, post: 65006, member: 1"]</p><p>Deep Packet Inspection анализирует первые пакеты соединения и ищет характерные шаблоны, позволяющие определить протокол.</p><p></p><p><strong>Сигнатуры протоколов</strong></p><p><strong></strong></p><p>Например, у OpenVPN начало TLS-сессии содержит специфические параметры:</p><ul> <li data-xf-list-type="ul">список cipher suites</li> <li data-xf-list-type="ul">порядок TLS extensions</li> <li data-xf-list-type="ul">специфические значения длины пакетов.</li> </ul><p></p><p>Это формирует уникальную сигнатуру, по которой DPI определяет протокол.</p><p>[CODE]ClientHello</p><p>Cipher Suites:</p><p>TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384</p><p>TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256[/CODE]</p><p></p><p>Если такой набор соответствует известному профилю OpenVPN — соединение помечается как VPN.</p><p></p><p><strong>Анализ TLS-рукопожатия</strong></p><p></p><p>Даже если VPN использует HTTPS-порт (443), DPI может смотреть параметры TLS:</p><ul> <li data-xf-list-type="ul">версия TLS</li> <li data-xf-list-type="ul">порядок расширений</li> <li data-xf-list-type="ul">JA3 fingerprint (цифровой отпечаток TLS клиента).</li> </ul><p>Если отпечаток совпадает с известным VPN-клиентом — соединение блокируется.</p><p></p><p>Так часто детектируют:</p><ul> <li data-xf-list-type="ul">OpenVPN</li> <li data-xf-list-type="ul">Trojan</li> <li data-xf-list-type="ul">старые версии Shadowsocks</li> </ul><p></p><p><strong>SNI-анализ </strong></p><p></p><p>Во время TLS-handshake передаётся домен сервера (SNI — Server Name Indication).</p><p></p><p>DPI может:</p><ul> <li data-xf-list-type="ul">проверить домен</li> <li data-xf-list-type="ul">сравнить его с базой VPN-серверов.</li> </ul><p></p><p>Если домен известен как VPN-сервер — соединение блокируется.</p><p></p><p></p><p><strong>Поведенческий анализ трафика </strong></p><p></p><p>Даже если сигнатуры скрыты, остаётся <strong>характерный профиль передачи пакетов</strong>.</p><p></p><p>DPI анализирует:</p><ul> <li data-xf-list-type="ul">размер пакетов</li> <li data-xf-list-type="ul">частоту</li> <li data-xf-list-type="ul">интервалы передачи</li> <li data-xf-list-type="ul">длительность соединений.</li> </ul><p></p><p>VPN обычно создаёт:</p><ul> <li data-xf-list-type="ul">постоянный поток данных</li> <li data-xf-list-type="ul">пакеты похожего размера</li> <li data-xf-list-type="ul">минимальные паузы.</li> </ul><p></p><p>Пример:</p><p></p><p>512 bytes</p><p>512 bytes</p><p>512 bytes</p><p>512 bytes</p><p></p><p>Такой регулярный поток может выдать туннель.</p><p></p><p></p><p><strong>Детекция UDP-туннелей</strong></p><p></p><p>Многие VPN используют UDP.</p><p></p><p>DPI проверяет:</p><ul> <li data-xf-list-type="ul">неизвестные UDP-протоколы</li> <li data-xf-list-type="ul">аномальные потоки UDP-пакетов.</li> </ul><p></p><p>Это характерно для:</p><ul> <li data-xf-list-type="ul">WireGuard</li> <li data-xf-list-type="ul">OpenVPN UDP.</li> </ul><p></p><p><strong>Активное сканирование (active probing)</strong></p><p></p><p>Если подозревается VPN-сервер:</p><ol> <li data-xf-list-type="ol">DPI фиксирует IP</li> <li data-xf-list-type="ol">система подключается к нему</li> <li data-xf-list-type="ol">пытается инициировать handshake VPN.</li> </ol><p></p><p>Если сервер отвечает как VPN — IP блокируется.</p><p></p><p>Этот метод активно использует китайский Great Firewall.</p><p></p><p><strong>ML-анализ трафика</strong></p><p></p><p>Современные системы начинают использовать машинное обучение.</p><p></p><p>Алгоритмы анализируют:</p><ul> <li data-xf-list-type="ul">статистику пакетов</li> <li data-xf-list-type="ul">длительность сессий</li> <li data-xf-list-type="ul">распределение размеров пакетов.</li> </ul><p></p><p>По этим данным модель классифицирует трафик:</p><p></p><p>HTTPS</p><p>Streaming</p><p>Gaming</p><p>VPN</p><p></p><p></p><p>DPI-анализ неизбежно влияет на производительность сети и требует очень больших вычислительных и инфраструктурных ресурсов, что сказывается на скорости и стабильности Интернета. Если государство идет на такой шаг значит оценивает издержки свободного распространения информации выше.</p><p>[/QUOTE]</p>
[QUOTE="moder, post: 65006, member: 1"] Deep Packet Inspection анализирует первые пакеты соединения и ищет характерные шаблоны, позволяющие определить протокол. [B]Сигнатуры протоколов [/B] Например, у OpenVPN начало TLS-сессии содержит специфические параметры: [LIST] [*]список cipher suites [*]порядок TLS extensions [*]специфические значения длины пакетов. [/LIST] Это формирует уникальную сигнатуру, по которой DPI определяет протокол. [CODE]ClientHello Cipher Suites: TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256[/CODE] Если такой набор соответствует известному профилю OpenVPN — соединение помечается как VPN. [B]Анализ TLS-рукопожатия[/B] Даже если VPN использует HTTPS-порт (443), DPI может смотреть параметры TLS: [LIST] [*]версия TLS [*]порядок расширений [*]JA3 fingerprint (цифровой отпечаток TLS клиента). [/LIST] Если отпечаток совпадает с известным VPN-клиентом — соединение блокируется. Так часто детектируют: [LIST] [*]OpenVPN [*]Trojan [*]старые версии Shadowsocks [/LIST] [B]SNI-анализ [/B] Во время TLS-handshake передаётся домен сервера (SNI — Server Name Indication). DPI может: [LIST] [*]проверить домен [*]сравнить его с базой VPN-серверов. [/LIST] Если домен известен как VPN-сервер — соединение блокируется. [B]Поведенческий анализ трафика [/B] Даже если сигнатуры скрыты, остаётся [B]характерный профиль передачи пакетов[/B]. DPI анализирует: [LIST] [*]размер пакетов [*]частоту [*]интервалы передачи [*]длительность соединений. [/LIST] VPN обычно создаёт: [LIST] [*]постоянный поток данных [*]пакеты похожего размера [*]минимальные паузы. [/LIST] Пример: 512 bytes 512 bytes 512 bytes 512 bytes Такой регулярный поток может выдать туннель. [B]Детекция UDP-туннелей[/B] Многие VPN используют UDP. DPI проверяет: [LIST] [*]неизвестные UDP-протоколы [*]аномальные потоки UDP-пакетов. [/LIST] Это характерно для: [LIST] [*]WireGuard [*]OpenVPN UDP. [/LIST] [B]Активное сканирование (active probing)[/B] Если подозревается VPN-сервер: [LIST=1] [*]DPI фиксирует IP [*]система подключается к нему [*]пытается инициировать handshake VPN. [/LIST] Если сервер отвечает как VPN — IP блокируется. Этот метод активно использует китайский Great Firewall. [B]ML-анализ трафика[/B] Современные системы начинают использовать машинное обучение. Алгоритмы анализируют: [LIST] [*]статистику пакетов [*]длительность сессий [*]распределение размеров пакетов. [/LIST] По этим данным модель классифицирует трафик: HTTPS Streaming Gaming VPN DPI-анализ неизбежно влияет на производительность сети и требует очень больших вычислительных и инфраструктурных ресурсов, что сказывается на скорости и стабильности Интернета. Если государство идет на такой шаг значит оценивает издержки свободного распространения информации выше. [/QUOTE]
Предпросмотр
Имя
Проверка
Ответить
Главная
Форумы
Интернет-цензура в России
Замедление интернета
Как DPI обнаруживают и блокируют VPN
Сверху
