私たち全員が見ているように、ロシアのインターネットの自由の状況は悪化しており、昨日は想像もできなかったが、今日はすでに笑いを引き起こしている。
スティックはすでにルーターに0.5メートル入っており、制限を設けていますが、電源ボタンには同じ0.5メートルが残っています 。
この投稿では、グレートロシアファイアウォールの導入後、さまざまなシナリオと結果を技術的な観点から客観的に説明しようとします。
ロック方法
世界ではブロックする方法は多くありません。ご想像のとおり、何かをブロックするには、まずブロックするものを選択する必要があります。
メソッドは次のとおりです。
-ACL:ポート/ IPアドレスに基づいて
-DPI:トラフィックタイプに基づく
-ホワイトリスト
それぞれについて考えてみましょう。
ACL
最初のケース(ACL)では、通常、アクセスをブロックできるように、ブラックリストポリシーによってアクセスがブロックされます(禁止されていないものはすべて許可されます)。
-アプリケーションポート(たとえば、80、443を除くすべてのポートへのすべてのトラフィックをブロックします)が、抜け穴があり、これらのポート、トレント、TORを含むすべてのトラフィックを許可できます。このタイプのブロックでは誰もブロックできません。
たとえば、協力したくない外部IPアドレスのブロックに基づいて、より柔軟な状況が発生する可能性があります(さらに、両方のサイトと任意のネットワークリソースに対してオプションが可能です)
どうやって行くの?
許可されたポートを介して許可されたIPアドレスに接続し、必要なデータを転送します
DPI
DPIは本当に怖いものです。ポリシーに応じてトラフィックを検出してマークしたり、特定のインターフェイスに転送したりできるという点で怖いです。
最も重要なことは、DPI自体は何もブロックせず、トラフィックを決定するだけです。
DPIは以下に基づいてトラフィックを決定できます。
-ポート
-着信/発信アドレス(たとえば、10個のIPアドレスを持つ10台のサーバーでskypeが常に許可される場合)
-署名による
-事前接続
署名によるトラフィックの定義は次のように機能します。DPIを販売する会社は通常、その機器のサポートを提供し、サポートには最新の署名データベースの更新が含まれます。
言い換えれば、あなたのビットトレント、ビットコイン、ライトコイン、ツイスターが同じポートで(順番に)動作し、同じホストと通信し、DHTネットワークを使用する場合(すべての技術は同じです)、DPIはいつ、どれを決定することができますOSIモデルの最後のレベルまでのパッケージの分析に基づいてトラフィックが発生します。
DPI機器の主要ベンダーのサポートは、通常、10%の原則に基づいて機能します。これは、DPIが決定できない10%以上の新しいトラフィックがオペレーターのネットワークに現れるとすぐに発生します。トラフィックは分析のために会社に送信されます。
トラフィック分析のこの方法は、動的にプロトコルを動的に変更することで無効にできます。これを誇るプログラムはほとんどありません。Tor、I2Pもあります。 つまり、アプリケーションがトラフィックが通過しないことに気づくとすぐに(またはN分後に)パケット生成アルゴリズムが変わり、トラフィックの識別ができなくなります。
どうやって行くの?
多くのアルゴリズム、または特に明白なパターンのない無限のアルゴリズムがある場合、DPIメーカーはそのようなトラフィックを分析しません。デバイスのメモリに常にロードする必要のあるルールを無限に開発する必要があるためです。
リーディング接続は、中国で非常に人気のある方法であり、次のように機能します。
GETリクエストを行う場合、yandex.ruに伝えて、DPIがそれをインターセプトし、同じリクエストを作成します(あなたが待っているか、宛先IPがDPIアドレスに変更されます)。機器。
どうやって行くの?
ほとんど何も、非常に深刻なステガノグラフィーのみ。 (ブラックリストが使用されている場合)
ホワイトリスト
ホワイトリストポリシーを別の段落に入れたいのは、1つの簡単な理由です。ホワイトリストでは、許可されていないものはすべて禁止されています。
つまり、ホワイトリストを導入し、制限の方法を使用する場合、必要なものをすべてブロックできます。
たとえば、最初のチャネル、NTV、およびロシアのポストのアドレスを除くすべてのIPアドレスを80ポートのみでブロックできます。
このACLを使用すると、すべての接続がすぐに切断され、暗号化方式によってこのロックをバイパスすることはできなくなります。
ロシアではどのような方法が使用されますか?
今考えてみましょう:ロシア最大のバックボーンオペレーターは次のとおりです。
1)ロステレコム
2)ビンペルコム
3)Transtelecom
4)中央電信
5)MTS / MGTS
6)Comcor /赤戸
DPI機器を備えているのは、Vimpelcom、Transtelecom、およびMGTSのみです。
はい、はい、RostelecomにはDPIがありません。
プロバイダーにDPIがあるかどうかを確認する方法は?
プロバイダーがIPによって禁止されているリソースのレジストリからのリンクをブロックする場合-いいえ、URLの場合-はそうです。
言い換えれば、州の独占者にはDPIがないため、次の2つのイベントが考えられます。
1)DPIでの数百万ドルの購入
2)ACLを使用する
残念ながら、 さまざまな理由で両方のオプションが等しく可能ですが、運用上のソリューションでは、ポリシーACLを介してのみブロッキングを行うことができます。
X日目はどうなりますか?
ブロッキングがACLを介して実行され、すべての不正および疑わしいリソースがブロックされると仮定した場合、次のようになります。
-VKontakte / Odnoklassnikiのみがソーシャルネットワークで動作します
-メッセンジャーのみのSkype / ICQ
-メールは外部メールボックスに届きません
しかし、P2Pはどうですか?
しかし、それは動作します、そしてすべて。
P2Pネットワークをブロックするには、莫大な費用がかかるため、ユーザーに直接DPIを下げる必要があります。
=(
つまり、盗聴せずに接続を維持するには、次のものが必要です。
-P2Pツールを積極的に使用する
-国内サービス(会社が海外に登録されている場合でも、おそらくここの誰かによって管理されている可能性があります)は使用しないでください。たとえば、Yandexやゴールデンシェアなどです。
-外部サーバーなしでネットワークオペレーター/国内でローカルに動作するソフトウェアをインストールする
残念ながら、メッシュのような楽観的なことは、この段階で明らかな理由で促進する意味がありません。
habra-usersへのアドレス:
お願いします。政治を控えましょう。Habrがブロックされたリソースの運命に苦しむことを望んでいません。私たちはそれぞれ、自分自身のために何をすべきかをすでに知っていますが、 IPアドレスを記録しています
PS約1か月前、ツイスターの無料の分散型カウンターパートに関する投稿がありました。
ほとんどのユーザーは、インストーラーがなく、誰も使用しないという疑問を抱いていましたが、現在はインストーラーがあります。
また、完全に新しいデザインです。ロックに入るまで、試してみる機会があります。
github.com/iShift/twister-webkit/releases/tag/0.9.19.16
はい、そこは居心地が良く、ロシア人がいて本当に機能しています。
ツイスターでロシア人を検索するには、#ruタグで書き込み/検索します
あなたはここでツイスターについて読むことができますhabrahabr.ru/post/213165