Провайдер блокирует обход dpi

Обновлено: 21.11.2024

GreenTunnel обходит системы DPI (Deep Packet Inspection), имеющиеся у многих интернет-провайдеров (интернет-провайдеров), которые блокируют доступ к определенным веб-сайтам.

Графический пользовательский интерфейс (GUI)

Вы можете просто выбрать подходящую установку для вашей ОС в разделе релизов.

Интерфейс командной строки (CLI)

Вы можете установить GreenTunnel с помощью npm:

или с помощью оснастки (пограничная версия):

после установки вы можете запустить его с помощью команд gt или green-tunnel.

для отладки используйте подробный параметр:

На Raspberry Pi

Если вы хотите, чтобы контейнер продолжал работать при перезагрузке:

Убедитесь, что порт 8000 не заблокирован брандмауэром Raspberry Pi. ( sudo ufw разрешить 8000 комментариев Green-Tunnel )

  • MacOS Catalina с узлом 12
  • Ubuntu 18.04 с узлом 8
  • Windows 10 с узлом 8

GreenTunnel – это приложение с открытым исходным кодом, и я очень благодарен другим разработчикам за добавление новых функций и/или помощь в исправлении ошибок. Если вы хотите внести свой вклад в GreenTunnel, вы можете разветвить этот репозиторий, внести изменения и создать запрос на вытягивание.

Однако убедитесь, что вы соблюдаете несколько правил, перечисленных ниже, чтобы гарантировать, что ваши изменения будут объединены с основным репозиторием. Перечисленные ниже правила применяются для обеспечения того, чтобы внесенные изменения были хорошо задокументированы и их можно было легко отслеживать.

  • ⇄ Запросы на вытягивание и ★ Звезды всегда приветствуются.
  • Для сообщений об ошибках и запросов функций создайте проблему.
  • Убедитесь, что ваш запрос на вытягивание имеет информативный заголовок. Вы должны использовать префиксы, такие как ADD: , FIX: и т. д. в начале заголовка, который описывает изменения, за которыми следует однострочное описание изменений. Пример: ДОБАВИТЬ: добавлена ​​новая функция в GreenTunnel
  • Коммиты в вашем форке также должны быть информативными. Убедитесь, что вы не объединяете слишком много изменений в одну фиксацию.

Любите GreenTunnel? Пожалуйста, рассмотрите возможность пожертвования для поддержки нашей деятельности.

<Р> DOGECOIN !: DTGjx8KKDCUkSEbtVHgQx1GYEnNaVVuXLa
Bitcoin: bc1qknjsmsa98lljwxjwl4pmjh48s8su8r8ajkqd8w
Эфириума: 0x018fbf3fAC7165b2c85f856cC90E2d9410415150
LITECOIN: ltc1q5tfprazpkzjvzf5shgprkpkhnnku3p72feutxt
ПУЛЬСАЦИИ / XRP: rt6ZTkKdBVYzBee9CpQsDTsewnTbAoV13

Под лицензией MIT. См. ЛИЦЕНЗИЯ.

О нас

GreenTunnel — это антицензурная утилита, предназначенная для обхода системы DPI, которую используют различные интернет-провайдеры для блокировки доступа к определенным веб-сайтам.

Вы когда-нибудь попадали в ситуацию, когда срочно искали решение в Интернете, а в итоге получали какие-то результаты на Reddit или Medium? И как только вы пытались открыть эти ссылки, ваш браузер продолжал загружаться? Или, ища идеи для вашего следующего классного иллюстративного проекта, вы пытались открыть Pinterest и обнаружили, что веб-сайт вообще не загружается? Вот несколько способов разблокировать веб-сайты без использования VPN.
Возможно, вы оказались в вышеупомянутой ситуации из-за того, что ваш интернет-провайдер отслеживает ваш интернет-трафик и блокирует эти веб-сайты от имени вашей организации или правительства.

В этой статье мы обсудим метод, используемый провайдером для мониторинга и блокировки интернет-трафика, а также узнаем, как мы можем обойти эти ограничения со стороны вашего провайдера на устройствах Windows, Linux, Android или Mac без использования любую виртуальную частную сеть (VPN) или прокси-сервис бесплатно.

Метод, который интернет-провайдеры используют для мониторинга вашего интернет-трафика, называется Deep Packet Inspection (DPI). Это метод перехвата пакетов, который помогает проверять данные, отправляемые по компьютерной сети. Интернет-провайдеры могут впоследствии заблокировать, перенаправить или зарегистрировать эти данные. Еще одной целью Deep Packet Inspection (DPI) является проверка правильности формата данных, а также сканирование на наличие вредоносных кодов и прослушивания. Дополнительные данные заголовка, отправляемые с каждым интернет-запросом, используются для глубокой проверки пакетов.

Виртуальные частные сети – это расширение частной сети в общедоступной сети. Эта услуга помогает общественности подключиться к частной сети с помощью виртуального соединения, чтобы получить доступ к средствам, предоставляемым сетью. Это может показаться слишком техническим, но это можно упростить. Всякий раз, когда пользователь подключается к VPN-серверу, весь его интернет-трафик проходит через частный сервер. Представьте, что вы подключены к VPN-серверу и хотите получить доступ к веб-сайту, заблокированному вашим интернет-провайдером. Всякий раз, когда вы пытаетесь получить доступ к заблокированному веб-сайту, VPN-клиент на вашем устройстве туннелирует ваш трафик через этот частный сервер. Ваш интернет-провайдер видит только то, что вы пытаетесь получить доступ к этому частному серверу, и не может определить фактический адрес веб-сайта, к которому вы пытались получить доступ, поэтому он не может его заблокировать.Прокси-серверы работают почти так же.

Во-первых, вам нужно платить за использование VPN хорошего качества. Хотя в Интернете доступно множество бесплатных VPN; но когда вы подключаетесь к этим VPN-серверам, скорость вашего интернета резко снижается, поскольку они используют серверы низкого качества с ограниченной пропускной способностью. При использовании бесплатных VPN безопасность ваших данных не гарантируется.

Во-вторых, когда вы подключаетесь к VPN-серверу, ваш IP-адрес меняется на IP-адрес этого сервера. Эти VPN-серверы используются пользователями по всему миру, поэтому через определенное время IP-адреса этих серверов помечаются как мошенничество, и многие веб-сайты проверяют оценку мошенничества с IP-адресами, прежде чем разрешить вам доступ к определенным услугам.

Наконец, когда вы подключаетесь к VPN-серверу, ваш маршрут к фактическому целевому серверу проходит через этот VPN-сервер. Это может увеличить вашу задержку, то есть время прохождения туда и обратно от вашего устройства до целевого сервера. Это увеличение задержки может беспокоить вас во время онлайн-игр, потокового видео или вызовов VoIP, где требуется меньшая задержка.

GoodByeDPI — лучший выбор для устройств Windows, позволяющий обойти ограничения вашего интернет-провайдера. Настройка этого приложения довольно проста. Вам потребуется Windows 7, 8 или 10 с правами администратора. Перейдите в их репозиторий Github и загрузите последнюю версию на вкладке выпуска. Распакуйте его куда угодно и запустите service_install_russia_blacklist.cmd или service_install_russia_blacklist_dnsredir.cmd с правами администратора. Они поставляются с предварительно созданным черным списком и DNS, и если вам нужна новая опция, создайте файл с именем service_install_fresh.cmd или любой другой с расширением cmd и скопируйте коды из следующего блока в .этот файл и сохраните его. Теперь запустите этот файл с правами администратора, и все готово.

Если вам интересно копнуть глубже, просто зайдите в их репозиторий Github. У них есть подробный раздел readme. Там же можно найти инструкции по удалению этого приложения.

Зеленый туннель похож на GoodByeDPI и используется на компьютерах с Linux или Mac для обхода ограничений интернет-провайдера. Чтобы установить Green Tunnel на свой компьютер, перейдите в их репозиторий Github. Они имеют версии как с графическим интерфейсом пользователя (GUI), так и с интерфейсом командной строки (CLI). Вы можете установить его по своему выбору.

Чтобы установить версию с графическим интерфейсом, загрузите подходящую версию для своего дистрибутива Linux с вкладки Release их репозитория.

Вы можете установить версию CLI с помощью npm. Запустите следующую команду в своем терминале. После установки вы можете запустить ее с помощью команд gt или green-tunnel. Просто запустите green-tunnel --help на своем терминале, чтобы получить список доступных команд.

Для устройств Android хорошим выбором будет PowerTunnel для Android. Это приложение можно загрузить из репозитория Github. Установите загруженный файл APK на свое устройство, откройте установленное приложение и нажмите кнопку «Пуск», и вы успешно обошли ограничения, установленные вашим интернет-провайдером. На устройстве Android вас могут попросить предоставить разрешение для VPN при использовании этого приложения, но не волнуйтесь, оно не соединит вас с каким-либо удаленным сервером. Это приложение использует VPN-сервис Android для перехвата трафика, и вся обработка происходит внутри вашего устройства.

Вы также можете попробовать PowerTunnel для устройств Windows, Mac и Linux.

Виртуальные частные сети размещаются на облачных серверах по всему миру. Вы можете обойти ограничения при подключении к VPN, потому что эти VPN-серверы подключены к некоторым интернет-провайдерам, у которых нет правил блокировки, таких как ваш интернет-провайдер, и, естественно, эти VPN-серверы находятся за пределами вашей страны. Но для обхода DPI эти приложения обрабатывают все данные на вашем устройстве, чтобы обмануть интернет-провайдера, чтобы у вас не было дополнительных задержек или падения скорости интернета.

Я надеюсь, что эта статья помогла вам достичь желаемых результатов. Если у вас есть какие-либо предложения или вопросы относительно этой статьи, не стесняйтесь оставлять комментарии.

Провайдеры РФ в большинстве своем используют системы глубокого анализа трафика (DPI, Deep Packet Inspection) для блокировки сайтов, внесенных в реестр запрещенных. Единого стандарта для DPI не существует, существует большое количество реализаций от разных поставщиков DPI, отличающихся типом подключения и типом работы.

Существует два распространенных типа подключения DPI: пассивное и активное.

Пассивный DPI
Обнаружение и блокировка пассивных пакетов DPI

Поддельные пакеты, сгенерированные DPI, легко обнаруживаются анализатором трафика, например Wireshark.
Попытаемся зайти на заблокированный сайт:

Активный DPI

Активный DPI — DPI, подключенный к сети провайдера обычным способом, как и любое другое сетевое устройство.Провайдер настраивает маршрутизацию так, что DPI получает трафик от пользователей на заблокированные IP-адреса или домены, а DPI уже решает, пропускать или блокировать трафик. Активный DPI может проверять как исходящий, так и входящий трафик, однако, если провайдер применяет DPI только для блокировки сайтов из реестра, чаще всего он настроен на проверку только исходящего трафика.

Системы DPI предназначены для обработки трафика с максимально возможной скоростью, изучая только самые популярные и игнорируя нетипичные запросы, даже если они полностью соответствуют стандарту.

Давайте взглянем на последнюю версию стандарта HTTP/1.1 от 2014 года. Согласно RFC 7230, заголовки HTTP нечувствительны к регистру, а после двоеточия может быть произвольное количество пробелов (или вообще не быть) .
Каждое поле заголовка состоит из имени поля без учета регистра, за которым следует
двоеточие (":"), необязательный начальный пробел, значение поля и
необязательный завершающий пробел.

поле-заголовка = имя-поля ":" Значение поля OWS OWS

имя-поля = токен
значение поля = *(содержимое поля / obs-fold)
содержимое поля = поле-vchar [ 1*( SP / HTAB ) field-vchar ] < br />field-vchar = VCHAR/obs-текст

obs-fold = CRLF 1*( SP / HTAB )
; устаревший перенос строки OWS — необязательный один или несколько пробелов или символов табуляции, SP — одиночный пробел, HTAB — табуляция, CRLF — разрыв строки и возврат каретки (\r\n).

Клиенты ДОЛЖНЫ быть терпимы к анализу строки состояния, а серверы терпимы к анализу строки запроса. В частности, им СЛЕДУЕТ принимать любое количество символов SP или HT между полями, даже если требуется только один SP.

Не все веб-серверы придерживаются этой рекомендации. Из-за двух промежутков между методом и путем некоторые сайты не работают.

Спуститься на уровень TCP

Соединение TCP начинается с запроса SYN и ответа SYN/ACK. В запросе клиент среди прочей информации указывает размер окна TCP (TCP Window Size) — количество байт, которое он готов принять без подтверждения передачи. Сервер также указывает это значение. В Интернете используется значение MTU 1500, что позволяет отправлять до 1460 байт данных в одном TCP-пакете.
Если сервер указывает размер окна TCP меньше 1460, клиент отправит в первом пакете данных столько, сколько указано в этом параметре.

На данный момент в РФ DPI устанавливается как на конечных провайдерах, так и на каналах транзитного трафика. Бывают случаи, когда одним путем вы можете обойти DPI своего провайдера, но видите заглушку транзитного провайдера. В таких случаях нужно комбинировать все доступные методы.

Временное решение DPI
Эффективное проксирование для обхода блокировки IP

В случае блокировки по IP-адресу провайдеры фильтруют только исходящие запросы на IP-адреса из реестра, но не входящие пакеты с этих адресов.
Программа ReQrypt выступает в роли эффективного прокси-сервера: пакеты, отправленные от клиента, отправляются на сервер ReQrypt в зашифрованном виде, сервер ReQrypt пересылает их на сервер назначения с подменой исходящего IP-адреса клиенту, целевой сервер отвечает клиенту напрямую, минуя ReQrypt.

Если наш компьютер находится за NAT, мы не можем просто отправить запрос на сервер ReQrypt и ожидать ответа от сайта. Ответ не придет, т.к. запись для этого IP адреса не создана в таблице NAT.
Чтобы «пробить» NAT, ReQrypt отправляет первый пакет в TCP-соединении прямо на сайт, но с TTL = 3. Он добавляет запись в таблицу NAT маршрутизатора, но не достигает сайта назначения.

Долгое время разработка была заморожена из-за того, что автор не мог найти сервер с возможностью спуфинга. Подмена IP-адресов часто используется для усиления атак через DNS, NNTP и другие протоколы, поэтому запрещена подавляющим большинством провайдеров. Но сервер все же нашелся, пусть и не самый удачный. Развитие продолжается.

Заключение и TL; ДР

GoodbyeDPI – это программа для Windows, которая позволяет обходить пассивный и активный DPI. Просто скачайте и запустите его, и заблокированные сайты снова станут доступны.
Для Linux есть аналогичная программа - zapret.

Используйте кроссплатформенную программу ReQrypt, если ваш интернет-провайдер блокирует сайты по IP-адресу.

Вы можете определить тип блокировки сайта с помощью Blockcheck. Если вы видите в тестах DPI, что сайты открываются, или видите строку «Обнаружен пассивный DPI», вам поможет GoodbyeDPI. Если нет, используйте ReQrypt.

Провайдеры РФ в большинстве своем используют системы глубокого анализа трафика (DPI, Deep Packet Inspection) для блокировки сайтов, внесенных в реестр запрещенных. Единого стандарта для DPI не существует; существует большое количество реализаций от разных поставщиков DPI-решений, отличающихся типом подключения и типом работы.

Существует два распространенных типа подключения DPI: пассивное и активное.

Пассивный DPI

Определить и заблокировать пассивные пакеты DPI

Подробнее рассмотрим пакет от DPI:

Что это? Модуль iptables u32 позволяет выполнять побитовые операции и операции сравнения над 4-байтовыми данными в пакете. При смещении 0x4 сохраняется 2-байтовое поле идентификации, за которым сразу же следуют 1-байтовые поля флагов и смещений фрагментов.
Начиная со смещения 0x60, находится домен перенаправления (заголовок местоположения HTTP).
Если Identification=1, Flags=0, Fragment Offset=0, 0x60="warn", 0x64="ing.", 0x68="rt.ru", то отбрасываем пакет и получаем настоящий ответ с сайта.

Активный DPI

Активный DPI — DPI, подключенный к сети провайдера обычным способом, как и любое другое сетевое устройство. Провайдер настраивает маршрутизацию так, что DPI получает трафик от пользователей на заблокированные IP-адреса или домены, а DPI уже решает, разрешать или блокировать трафик. Активный DPI может проверять как исходящий, так и входящий трафик, однако, если провайдер использует DPI только для блокировки сайтов из реестра, чаще всего он настроен на проверку только исходящего трафика.

Системы DPI предназначены для максимально быстрой обработки трафика, изучения только самых популярных и игнорирования нетипичных запросов, даже если они полностью соответствуют требованиям.

OWS – необязательный один или несколько пробелов или символов табуляции, SP – одиночный пробел, HTAB – табуляция, CRLF – разрыв строки и возврат каретки (\ r \ n).

Это означает, что приведенный ниже запрос полностью соответствует стандарту, и многие веб-серверы, соответствующие стандарту, должны его принять:

На самом деле многим веб-серверам не нравится символ табуляции в качестве разделителя, хотя подавляющее большинство серверов обычно обрабатывают отсутствие пробелов между двоеточием в заголовках и большое количество пробелов.

Клиенты ДОЛЖНЫ быть терпимы к анализу строки состояния, а серверы терпимы к анализу строки запроса. В частности, им СЛЕДУЕТ принимать любое количество символов SP или HT между полями, даже если требуется только один SP.

Не все веб-серверы придерживаются этой рекомендации. Два пробела между методом и путем прерывают некоторые сайты.

Переходим на уровень TCP

Соединение TCP начинается с запроса SYN и ответа SYN/ACK. В запросе клиент среди прочей информации указывает размер окна TCP (TCP Window Size) — количество байт, которое он готов принять без подтверждения передачи. Сервер также указывает это значение. В Интернете используется MTU 1500, что позволяет отправлять до 1460 байт данных в одном TCP-пакете.
Если сервер указывает размер окна TCP меньше 1460, клиент отправит в первом пакете данных столько, сколько указано в этом параметре.

Многие решения DPI предполагают наличие заголовков только в стандартной форме.
Чтобы заблокировать сайты по домену или URI, они ищут строку " Host: " в теле запроса. Стоит заменить заголовок «Host» на «hoSt» или убрать пробел после двоеточия, и перед вами откроется запрошенный сайт.
Не всех DPI можно обмануть такой простой уловкой. DPI некоторых провайдеров корректно анализируют HTTP-заголовки в соответствии со стандартом, но не умеют собирать TCP-поток из нескольких пакетов. Для таких DPI подходит «фрагментация» пакета путем искусственного уменьшения размера окна TCP.

На данный момент в РФ DPI устанавливается как у конечных провайдеров, так и на транзитных каналах трафика. Бывают случаи, когда можно одним способом обойти DPI своего провайдера, но видишь заглушку транзитного провайдера. В таких случаях нужно комбинировать все доступные методы.

Программа обхода DPI

Эффективный прокси для обхода блокировки IP

В случае блокировки по IP-адресу провайдеры фильтруют только исходящие запросы на IP-адреса из реестра, но не входящие пакеты с этих адресов.
Программа Reqrypt работает как эффективный прокси-сервер: пакеты, поступающие от клиента, отправляются на сервер ReQrypt в зашифрованном виде, сервер ReQrypt отправляет их на сервер назначения с заменой исходящего IP-адреса на клиент. , сервер назначения отвечает клиенту напрямую, минуя ReQrypt.

Если наш компьютер находится за NAT, мы не можем просто отправить запрос на сервер ReQrypt и ждать ответа от сайта. Ответ не придет, потому что для этого IP-адреса не создана запись в таблице NAT.
Чтобы «прорваться» через NAT, ReQrypt отправляет первый пакет в TCP-соединении прямо на сайт, но с TTL = 3. Он добавляет запись в таблицу NAT маршрутизатора, но не достигает сайта назначения.< /p>

Долгое время разработка была заморожена из-за того, что автор не мог найти сервер с возможностью спуфинга. Спуфинг IP часто используется для усиления атак через DNS, NNTP и другие протоколы, поэтому он запрещен подавляющим большинством провайдеров. Но сервер все же нашелся, хоть и не самый удачный. Разработка продолжается.

Заключение и TL; ДР

GoodbyeDPI – это программа для Windows, позволяющая обходить пассивный и активный DPI. Просто скачайте и запустите его, и заблокированные сайты снова станут доступны.
Для Linux есть аналогичная программа - zapret.

Используйте кроссплатформенную программу Reqrypt, если ваш провайдер блокирует сайты по IP-адресу.

Вы можете определить тип блокируемых сайтов с помощью Blockcheck. Если в тестах DPI вы видите, что сайты открываются, или видите строку «обнаружен пассивный DPI», то вам поможет GoodbyeDPI. Если нет, используйте ReQrypt.

DPI — это системы обнаружения вторжений, которые ищут «сигнатуры» в трафике данных для выявления нерегулярной активности. Основная функция системы DPI — повторно собирать потоки пакетов из заданного источника для обнаружения атак, сигнатур и шаблонов трафика, которые можно обнаружить даже при распределении по нескольким входящим пакетам.

Проверка пакетов с отслеживанием состояния (SPI), что это такое?

Подумайте об этом как о расширенном брандмауэре, который использует методологию проверки заголовков TCP или UDP, заключенных в IP-пакет, также известную как поверхностная проверка пакетов. Отдельные пакеты, обрабатываемые шлюзом, будут выборочно отбрасывать исходящие запросы или входящие пакеты данных, блокировать соединения во время их выполнения, которые не соответствуют политике сетевой безопасности. Брандмауэр записывает информацию заголовка, относящуюся к TCP-соединению, что позволяет ему отслеживать поток пакетов. Тип данных заголовка с отслеживанием состояния, которые собирает брандмауэр, включает порядковый номер пакетов.

Пример SPI: БЕСПЛАТНАЯ версия для сообщества psSense. (Таблица состояний, по умолчанию все правила имеют состояние, несколько конфигураций доступны для обработки состояния)

Основные типы используемой ими цензуры:
Метод / Действия цензора / Действия хоста / Действия пользователя

Метод 1. Блокировка DNS
Действия цензуры: принуждение интернет-провайдеров к неверному направлению пользователей при доступе к определенным URL-адресам.
Действия хоста: предоставление и передача альтернативных адресов.
Действия пользователя: переопределение DNS по умолчанию установка с заведомо безопасной.

Метод 2. Блокировка IP
Действия цензуры: блокируются определенные IP-адреса.
Действия хоста: замена нового IP-адреса при блокировке существующего, распространение прокси-программ.
Пользователь действия: используйте VPN, прокси или приложения для обхода цензуры.

Метод 3. Блокировка DPI
Действия цензуры: нацеливание на службы путем фильтрации пакетов, их анализа и отбрасывания нежелательного трафика.
Действия хоста: Обфускация становится обязательным требованием, например, с использованием подключаемых транспортов.
Действия пользователя: искать приложения и программное обеспечение, предназначенные для обхода цензуры.

Теперь, когда вы знаете, с чем сталкиваетесь, возрастает степень обфускации, которая может сделать трафик OpenVPN незаметным для вашего интернет-провайдера. В порядке от самой простой реализации и обнаружения (они коррелируют) до самых сложных, вы можете попробовать эти методы:

<р>1. Конфигурация по умолчанию — просто установите открытый VPN. По умолчанию он работает на TCP-порту 80, как и обычный веб-трафик. Многие операторы блокируют зашифрованные пакеты на этом порту, так что это, вероятно, первый шаг в стратегии блокировки VPN провайдера.

<р>3. Obfsproxy (и другие подключаемые транспорты) — проще, чем кажется. Это проект, разработанный Tor, чтобы разрешить доступ к заблокированным ретрансляторам, но он также работает с VPN-трафиком. Необходимо установить как на VPN-сервер, так и на клиентский компьютер.

<р>4. Через SSL-туннель. Используя stunnel, можно отправлять свой VPN-трафик через второй уровень SSL-шифрования, эффективно маскируя VPN-трафик как стандартный SSL-трафик. Этот метод незаметен для известных методов глубокой проверки пакетов.

<р>5. Через туннель SSH. Даже в средах с жесткой цензурой SSH почти всегда будет проходить, поскольку это основная функциональность современной серверной архитектуры, а тактика цензуры сама по себе включает SSH.

Читайте также: