В последнее время в интернете появились сообщения о том, что российские провайдеры могут приобретать оборудование DPI (Deep Packet Inspection) с целью блокировать VPN. В данной статье рассмотрим вопрос блокировок в интернете, а также роль DPI в этом процессе.
Как в настоящее время происходят блокировки?
На данный момент Роскомнадзор вносит нежелательные интернет-ресурсы в черный список, и интернет-провайдеры обязаны следовать указаниям и блокировать доступ к таким ресурсам. Например, при попытке посетить Twitter, ваш браузер отправляет DNS-запрос провайдеру, чтобы получить IP-адрес Twitter. Если провайдер определяет, что этот IP-адрес находится в черном списке, он перенаправляет вас на свою страницу, уведомляя о невозможности доступа.
Однако блокировка по IP-адресам оказывается неэффективной по нескольким причинам. Например, целевой ресурс может просто сменить свой IP-адрес, что произошло в 2018 году, когда Роскомнадзор пытался заблокировать Telegram, а Telegram просто менял адреса. Более того, в данном случае Telegram хостился на Amazon Web Services (AWS), где помимо него размещалось множество других сайтов, включая сам Роскомнадзор. Это привело к тому, что Роскомнадзор заблокировал практически всё, включая собственный сайт, но Telegram остался доступным.
Даже если ресурс, например, Twitter, не меняет IP-адрес, существуют множество способов обхода блокировки, такие как использование альтернативных DNS-серверов, прокси и VPN. Учитывая, что сегодня практически все используют VPN, Роскомнадзору становится сложно справляться с блокировками.
DPI - новый инструмент для блокировки
Именно здесь на сцену выходит DPI (Deep Packet Inspection) - технология, позволяющая анализировать содержание сетевых пакетов и определять и блокировать конкретные типы трафика. DPI анализирует каждый пакет данных и, если что-то вызывает подозрение, блокирует его. Например, DPI может фильтровать все пакеты, идущие по протоколу OpenVPN.
Но ведь если мы используем VPN, то наш трафик зашифрован. Как DPI сможет в него вмешиваться?
Да, DPI не может прочитать зашифрованные пакеты, но он способен выявить VPN-трафик на основе метаданных и других характеристик. Например, протокол OpenVPN является открытым и доступен для изучения. Он использует порт 1194, и если DPI обнаружит зашифрованный трафик, идущий через этот порт, он может определить его как трафик OpenVPN и заблокировать его по желанию.
Кроме того, DPI может определять протокол, используемый в пакете, анализируя различные аспекты, такие как заголовки и характеристики трафика, а также сравнивая с сигнатурами или шаблонами известных протоколов.
Получается, DPI сможет блокировать весь VPN-трафик?
Нет, так как появляются все более популярные и совершенные методы обфускации (запутывания) трафика. Эти методы призваны скрыть VPN-трафик, делая его похожим на обычный трафик, чтобы обойти DPI. Например, данные могут быть скрыты под видом изображений или аудиофайлов. Большие VPN-сервисы уже реализовали такие обфусцирующие протоколы, такие как Shadowsocks, obfs4, Cloak, Stunnel и OpenVPN Scramble.
Кроме того, полное блокирование всего VPN-трафика вредно для экономики, так как VPN используется не только для обхода блокировок, но и для обеспечения безопасной работы больших компаний. Проверка каждого пакета в сети требует времени и может существенно замедлить скорость трафика. Для глобальных блокировок необходимо большое количество дорогостоящего оборудования.
Опыт Китая показывает, что любые блокировки с применением DPI, включая великий китайский "Great Firewall", можно обойти с помощью технологий обфускации.
Несмотря на блокировки, некоторые VPN-сервисы, такие как BUBU VPN, продолжают функционировать, используя современные протоколы, защищенные от блокировок.