بهترین VPN ها با رمزگذاری اتصال اینترنتی شما از فعالیت آنلاین شما محافظت می کنند و نظارت یا کنترل داده های شما را برای طرف های خارجی سخت تر می کند. با این حال، برخی از ارائه دهندگان اینترنت و سازمانها از فناوری به نام بازرسی بسته عمیق (DPI) برای بررسی دادههایی که از طریق شبکههایشان عبور میکنند، استفاده میکنند.
این تکنیک به اپراتور شبکه مقدار زیادی اطلاعات در مورد ترافیک عبوری از شبکه خود می دهد و به آنها اجازه می دهد حملات، بدافزارها و حملات انکار سرویس توزیع شده (DDoS) را به راحتی شناسایی کنند. با این حال، DPI همچنین می تواند برای شناسایی و مسدود کردن ترافیک VPN استفاده شود. در این راهنما، من توضیح خواهم داد که بازرسی بسته عمیق چیست، چگونه کار می کند، و چه کاری می توانید انجام دهید تا VPN خود را حتی زمانی که سیستم های DPI سعی می کنند اتصال شما را قطع کنند، کار کند.
بازرسی بسته عمیق چیست؟
بازرسی عمیق بستهها نوعی فیلتر کردن بستههای شبکه است که به بستههای داده اجازه میدهد تا در حین حرکت در شبکه با جزئیات بازرسی شوند. بسته داده واحد کوچکی از داده های ارسال شده از طریق شبکه است و از دو بخش اصلی تشکیل شده است: هدر و بار. هدر به زیرساخت شبکه می گوید که بسته کجا می رود و چگونه آن را تفسیر کند، در حالی که بار حاوی داده های واقعی منتقل شده است.
DPI با بررسی هدر و بارگذاری کار می کند و به مدیران شبکه اجازه می دهد تا محتویات بسته را فراتر از اطلاعات سطحی تجزیه و تحلیل کنند. برخلاف فیلتر کردن بستههای اولیه، که از قوانین ثابت برای اجازه یا رد ترافیک استفاده میکند، DPI محتوای واقعی را بررسی میکند و میتواند زمینه را در مورد ترافیک استنباط کند و به مدیر شبکه اجازه میدهد ترافیک را به روشهای مختلف مدیریت کند.
دلایل زیادی وجود دارد که چرا یک مدیر شبکه میخواهد DPI را در زیرساخت خود پیادهسازی کند، که عمدتاً مربوط به امنیت است. برای مثال، DPI میتواند به مدیر شبکه کمک کند تا با جستجوی امضاهای بدافزار در بستههای داده، به حفاظت از بدافزار نفوذ کند. سپس آنها می توانند فوراً مانع از برقراری ارتباط بدافزار با هر طرف خارجی شوند و شروع به ردیابی مسیر بسته در سراسر شبکه به سمت ماشین در معرض خطر کنند. میتوان همین رویکرد را برای استخراج داده یا حملات DDoS اتخاذ کرد و سرعتی را که یک تیم امنیتی ماهر میتواند تهدیدها را شناسایی و کاهش دهد، بسیار افزایش میدهد.
DPI همچنین امکان فیلتر کردن محتوا را فراهم می کند. ممکن است یک کسبوکار بخواهد دسترسی به وبسایتهای خاصی را محدود کند یا در برابر بردارهای بدافزار محبوب مانند تبلیغات آنلاین محافظت کند، که DPI با تجزیه و تحلیل و مسدود کردن درخواستها برای دامنههای خاص به آن کمک میکند. یک فایروال ساده یا پراکسی آنلاین می تواند با ممنوع کردن URL ها به همان اثر برسد، اما تفاوت DPI در عمقی است که می توانید ترافیک را برای محتوای ممنوعه تجزیه و تحلیل کنید، حتی امکان مسدود کردن پویا کلمات کلیدی خاص را فراهم می کند.
بازرسی بسته عمیق چگونه کار می کند؟
بازرسی عمیق بسته با بررسی هدر و محموله هر بسته داده ای که روی یک شبکه حرکت می کند، کار می کند. DPI هر بسته ای را که از فیلترهای آن عبور می کند تجزیه و تحلیل می کند تا مطمئن شود که با قوانین خاصی مطابقت دارد. این قوانین میتوانند از چیزهای اساسی مانند فهرست بلاک IP یا فهرست بلاک پروتکل گرفته تا قوانین پیشرفته مانند شناسایی هرزنامه در ایمیل یا شناسایی بدافزار به صورت پویا بر اساس الگوی ترافیک عمومی زندگی متغیر باشند.
هنگامی که یک بسته در شبکه حرکت می کند، از یک نقطه بازرسی که در آن DPI رخ می دهد عبور می کند. معمولاً این یک سوئیچ شبکه است که تمام ترافیک عبوری از آن را کپی می کند و آن را به دستگاه خاصی که DPI را انجام می دهد یا دستگاه شنود شبکه ای که بین دو دستگاه قرار می گیرد و به صورت غیرفعال ترافیک عبوری از آن را تجزیه و تحلیل می کند، پخش می کند.
در هر دو مورد، تمام ترافیک عبوری از نقطه DPI تجزیه و تحلیل می شود. DPI هدر بسته را میخواند تا ببیند به کجا میرود و محموله را بررسی میکند تا ببیند چه نوع دادهای در آن وجود دارد (مانند جریان ویدیو، ایمیل، بدافزار). سپس سیستم DPI میتواند بسته را در صورتی که حاوی محتوای ناخواسته باشد مسدود کند، اگر ترافیک نیاز به بهینهسازی داشته باشد، بسته را تغییر مسیر دهد، یا اگر همه چیز خوب است به بسته اجازه عبور دهد.
به عنوان مثال، DPI می تواند تعیین کند که یک تماس VoIP در حال انجام است و برای حفظ کیفیت تماس، ترافیک را به سرورهای با تأخیر پایین هدایت کند. برعکس، DPI همچنین می تواند تعیین کند که یک جریان ترافیک ترافیک بیت تورنت است و بسته های عبوری از شبکه را به نفع سایر پروتکل ها مانند HTTP بی اولویت کند.
اما یکی از بزرگترین مسائلی که ما را نگران می کند، رابطه بین DPI و VPN است که اکثر سیستم های DPI به راحتی آن را مسدود می کنند.
آیا می توانید با بازرسی بسته عمیق از شناسایی جلوگیری کنید؟
اگر از یک VPN امن برای محافظت از حریم خصوصی خود استفاده می کنید یا از یکی از بهترین VPN های پخش جریانی برای دور زدن محدودیت های محتوا در کشورهایی که نظارت بر اینترنت توسط قانون لازم است استفاده می کنید، به احتمال زیاد با استفاده از DPI برای مسدود کردن اتصال VPN خود مواجه خواهید شد.
این به این دلیل است که ISP مورد استفاده شما نمی تواند ترافیک VPN شما را بخواند. بنابراین آنها بهترین کار بعدی را انجام می دهند: آنها اتصال را مسدود می کنند بنابراین شما مجبور می شوید به یک اتصال رمزگذاری نشده برگردید، جایی که آنها می توانند دوباره ترافیک شبکه را بخوانند.
اکثر پروتکلهای VPN، مانند OpenVPN و WireGuard، با اعلام پروتکل در هدر بسته، مشخص میکنند که ترافیک را رمزگذاری میکنند. اگرچه آنها با رمزگذاری داده ها از ایمن بودن آن ها مطمئن می شوند، اما این واقعیت را پنهان نمی کنند که این یک اتصال VPN است.
با این حال، راه هایی برای جلوگیری از شناسایی VPN شما توسط DPI وجود دارد. برخی از خدمات VPN ویژگی های پیشرفته ای را ارائه می دهند که به طور خاص برای جلوگیری از DPI طراحی شده اند، اما تفاوت های جزئی در نحوه عملکرد آنها وجود دارد. چیزی که به احتمال زیاد با آن روبرو می شوید چیزی به نام “پروتکل درهم” مانند Shadowsocks است که برای استفاده توسط VPN های برتر چین برای جلوگیری از فایروال بزرگ چین طراحی شده است.
مبهم سازی عمل پنهان کردن این واقعیت است که شما از VPN استفاده می کنید. کاری که آنها انجام می دهند این است که ترافیک VPN رمزگذاری شده شما را در لایه دوم رمزگذاری که شبیه ترافیک HTTPS معمولی طراحی شده است، قرار می دهند. این بدان معنی است که از دیدگاه ISP، تنها کاری که انجام می دهید این است که به یک وب سایت رمزگذاری شده متصل شوید و ترافیک را با آن به عقب و جلو ارسال کنید.
از آنجایی که هیچ عنوان مشخصه پروتکل VPN برای تعریف وجود ندارد، سیستم DPI نمی تواند از این امر جلوگیری کند. Shadowsocks به طور خاص یک افزونه برای پروتکل OpenVPN است، اما پروژههای دیگری نیز برای مبهم کردن پروتکل WireGuard کار میکنند.
برخی از ارائه دهندگان، مانند دسترسی به اینترنت خصوصی، این ویژگی را به عنوان یک پروتکل جداگانه ارائه می دهند که می توانید به آن متصل شوید، در حالی که سایر ارائه دهندگان، مانند NordVPN، به جای آن از سرورهای مبهم استفاده می کنند. تفاوت زیادی در رویکرد فنی وجود ندارد، اما کمتر احتمال دارد که هنگام استفاده از یک سرور مبهم با ممنوعیت IP مواجه شوید، زیرا آنها به طور خاص برای حمل ترافیک مبهم طراحی شده اند. این بدان معناست که برای یک ISP دشوارتر است که بفهمد IP که به آن وصل میشوید در واقع یک سرور VPN است.
منبع: tomsguide
نظرات کاربران