Рубрика «dpi»

Компания «Максима Телеком», которая работает в московском метрополитене, выиграла тендер на оказание услуги единого оператора городского Wi-Fi.

Тендер на 149,5 млн руб. предусматривает обязательное внедрение системы глубокого анализа трафика DPI, по образцу системы, которая работает в Китае. Такая система позволит более эффективно блокировать Telegram и запрещённые в России сайты. По условиям технического задания «Максима Телеком» должна обеспечить сбор, хранение, анализ данных мониторинга и трафика пользователей с использованием технологий Big Data и DPI, а также предоставлять отчёты властям.

В мэрии сказали, что это нужно «для прогнозирования социально-экономического развития города».
Читать полностью »

Роскомнадзор возобновил попытки блокировать Telegram - 1

После некоторой паузы Роскомнадзор опять начал вносить в реестр запрещённых сайтов IP-адреса телеграм-прокси. Канал Tekegram Info сообщает, что блокировки начались ещё в преддверии нового года, следующая волна произошла 17 января, а 21 января было заблокировано около тысячи IP-адресов, среди которых много прокси.

Пока все усилия Роскомнадзора тщетны, а Telegram продолжает нормально работать у большинства пользователей.
Читать полностью »

Роскомнадзор опроверг планы потратить 20 млрд руб. на систему DPI. Бюджет ещё не утверждён - 118 декабря 2018 года Русская служба Би-би-си со ссылкой на несколько анонимных источников сообщила, что Роскомнадзор планирует потратить до 20 млрд рублей на новую технологию блокировок Telegram, внедрив технологию Deep Packet Inspection (DPI).

По той информации, DPI планировали запускать уже в следующем году. Информацией об этом поделился специалист, близкий к одной из компаний-разработчиков подобной системы, а также ещё один источник, знакомый с деталями разработки проекта. Как можно догадаться, систему глубокой инспекции трафика для Роскомнадзора разрабатывают в России, так что бюджетные средства останутся в стране.
Читать полностью »

Google Public DNS тихо включили поддержку DNS over TLS - 1

Внезапно, без предварительного анонса, на 8.8.8.8 заработал DNS over TLS. Ранее Google анонсировал только поддержку DNS over HTTPS.

Публичный резолвер от компании CloudFlare с IP-адресом 1.1.1.1 поддерживает DNS over TLS с момента запуска проекта.

Зачем это нужно

При использовании классической схемы DNS, провайдеры могут лезть своими грязными лапами в ваши DNS-пакеты, просматривать, какие домены вы запрашиваете, и подменять ответы как угодно. Этим же занимаются мошенники, подменяя резолверы на взломанных роутерах, чтобы направить пользователя на поддельный сервер.
C DNS over TLS/HTTPS запросы посылаются внутри зашифрованного тоннеля так, что провайдер не может подменить или просмотреть запрос.
А с приходом шифрования имени домена в сертификатах X.509 (ESNI) станут невозможны блокировки через DPI по SNI (Server Name Indication, специальное поле, в котором передается имя домена в первом TLS-пакете), которые сейчас применяются у некоторых крупных провайдеров.

Как это работает

На порт TCP:853 выполняется TLS-подключение, при этом проверка сертификата резолвера проихсодит с использованием системных корневых сертификатов, точно так же, как HTTPS в браузере. Это избавляет от необходимости добавлять какие-либо ключи вручную. Внутри тоннеля выполняется обычный DNS-запрос. Это создает меньше накладных расходов по сравнению с DNS over HTTPS, который добавляет HTTP-заголовки к запросу и ответу.

К сожалению, на текущий момент только в Android 9 (Pie) поддержка DNS over TLS встроена в системный резолвер. Инструкция по настройке для Android 9.

Для остальных систем предлагается использовать сторонний демон, а системный резолвер направлять на localhost (127.0.0.1).

Настройка на macOS

Разберем настройку DNS over TLS на последней версии macOS, на примере резолвера knot
Читать полностью »

Межведомственная комиссия: ФСБ, Роскомнадзора, Министерства цифрового развития, связи и массовых коммуникаций, с 6 августа проводит лабораторные испытания российских DPI-систем (Deep Packet Inspection) анализа и фильтрации трафика на сети Ростелекома в Реутове, выяснил Reuters. В результате комиссия выяснила, Читать полностью »

Транспортные протоколы I2P были разработаны почти 15 лет назад, когда основной задачей было сокрытие содержимого трафика, а не факт использования того или иного протокола. dpi и блокировку трафика в то время никто не принимал в расчет. Однако времена меняются и хотя существующие протоколы I2P по прежнему защищены довольно хорошо, возникла необходимость в новом транспортном протоколе, отвечающему на существующие и будущие угрозы, и, в первую очередь, dpi, анализирующий длину пакетов. Помимо этого, новый протокол использует самые современные достижения криптографии. Полное описание протокола здесь. За основу взят Noise, в котором в качестве хэш-функции используется SHA256, а в качестве DH (в терминологии Noise) — x25519.

image
Читать полностью »

Автор телеграм-бота @rknshowtime Алекc Руденко предположил, каким образом «Ростелеком» блокирует MTProto прокси — популярный прокси для Telegram, который внедрили две недели назад. Напомним, что в этой технической реализации у клиента и сервера нет фазы открытого обмена информацией. Для всевозможных фильтров и анализаторов обмен данными с MTProto-прокси сервером выглядит как неструктурированный бинарный двунаправленный поток данных между клиентом и сервером. Это затрудняет распознавание протокола для блокировки.

Но «Ростелеком» нашёл выход из ситуации.

Чтобы разобраться, питерский разработчик Леонид Евдокимов (darkk) написал псведо-прокси poormansmtproto и протестировал DPI магистрального провайдера.
Читать полностью »

«Непреодолимый» барьер, или Почему не удается заблокировать Telegram - 1

Вопрос надежной, но бюджетной блокировки запрещенных сайтов из реестра Роскомнадзора (РКН) уже не первый год волнует операторов связи. Недавние технические сбои привели к определенным размышлениям о том, что широко используемые в настоящее время инструменты для блокировки ресурсов из реестра РКН при ряде условий не способны обеспечивать соответствие требованиям закона. Кроме того, такие «инструменты для блокировки» вызывают нештатные ситуации на сети и связанные с ними репутационные и финансовые потери. Отчетливо проступили очертания новой проблемы: подавляющее большинство операторов связи используют несовершенные, устаревшие и уязвимые методы блокировки реестра РКН, риски по которым могут ударить ощутимо больнее штрафов за пропуски.

Читать полностью »

Читатель Roem.ru обратил внимание, что сотовый оператор Tele2 подменяет js-файлы сайтов, доступных по протоколу http. Страницы модифицированных сайтов начинают отображать рекламу сервиса «Tele2 Знакомства». Крупнейший совладелец сотового оператора — российское ПАО «Читать полностью »

Системы глубокого анализа трафика (Deep Packet Inspection, DPI) — программно-аппаратные комплексы для классификации проходящего интернет-трафика по типу данных (веб-страница, документ, аудио, видео), протоколу (HTTP, BitTorrent, VoIP/SIP) и конкретным программам (Skype, WhatsApp), зачастую обладающие дополнительной функциональностью. Системы DPI распространены и используются по всему миру продвайдерами проводного и беспроводного доступа.

Мобильные операторы используют системы глубокого анализа трафика, прежде всего, для приоритизации разного контента в интернете (QoS), чтобы можно было одновременно скачивать большой файл и смотреть видео на YouTube, и чтобы один пользователь сотовой сети, активно использующий интернет, не создавал проблем другим пользователям. Операторы используют DPI примерно с начала двухтысячных, с приходом UMTS (3G), чтобы более-менее честно разделять беспроводной канал ограниченной пропускной способности.

Мобильные операторы используют и другие возможности DPI, например, ускорение TCP и HTTP-трафика (TCP PEP, Performance-enhancing Proxy), для ускорения интернета в мобильных сетях и идентификации пользователей веб-сайтами. Если попытаться зайти в личный кабинет оператора с телефона, на многих операторах он откроется сразу, без необходимости ввода логина и пароля. Или, что можно было встретить лет 5 назад, простой заход на подозрительный веб-сайт или клик по рекламному баннеру из Android-игры оборачивался автоматической подпиской на платную услугу, о чем можно было узнать из СМС-сообщения.Читать полностью »