Все способы обхода трафика

Обзор специализированных способов обхода блокировок в интернете

Представляю вашему вниманию обзор и мои субъективные оценки некоторых специализированных способов обхода блокировок со стороны провайдеров или сетевых администраторов.

1. Аддоны для браузеров

ZenMate (Chromium-based, Firefox, Android, iOS)

• Удобство использования: 5/5
• Скорость: 5/5
• Шифрование трафика: Да (TLS)
• Анонимность: Да
• Проксирование всего трафика: Да
• Выборочное проксирование: Да

Описание:
Хороший, быстрый аддон.
На момент тестирования было доступно 5 прокси в разных странах.

Плюсы:
Высокая скорость работы аддона
Быстрые прокси

Минусы:
Требуется регистрация в сервисе

Hola (Firefox, Chromium-based, Internet Explorer, Android)

• Удобство использования: 3/5
• Скорость: 4/5
• Шифрование трафика: Нет
• Анонимность: Да
• Проксирование всего трафика: Нет
• Выборочное проксирование: Да

Описание:
Можно выбрать страну, из длинного выпадающего списка.
Можно переключиться на следующий прокси в этой стране,
если текущий работает плохо.

Плюсы:
Большой выбор стран
Высокая скорость прокси

Минусы:
Внимание! Приложение продает ваш интернет-канал третьим лицам! Подробности здесь.
Проксирует только по домену. Не умеет проксировать все и сразу.
Если при открытии заблокированного сайта закешировалась провайдерская заглушка,
то придется заходить в настройки аддона и добавлять его вручную через
страницу настроек.
Интерфейс настроек открывается медленно.
Не поможет против Full DPI.

FriGate (Chromium-based, Firefox)

• Удобство использования: 4/5
• Скорость: 5/5
• Шифрование трафика: Нет
• Анонимность: Да
• Проксирование всего трафика: Нет
• Выборочное проксирование: Да

Описание:
Аддон использует собственный список заблокированных сайтов. Также, вы можете
составлять списки с собственными сайтами, которые вы хотите проксировать.
Аддон умеет определять, заблокирован ли у вас конкретный сайт, или нет, и
включаться только в том случае, если он заблокирован, однако доступна
опция «проксировать всегда».
Можно использовать свой собственный прокси, а не прокси сервиса.
Заявлен режим «AntiDPI» для обхода провайдерского DPI, однако
у меня он не заработал.
Firefox-версия умеет проксировать все сайты, в отличие от Chrome-версии.

Плюсы:
Использует список заблокированных сайтов, обновляемый администраторами
Умеет определять, заблокирован ли сайт, и только в случае блокировки
использовать прокси.

Минусы:
В списке заблокированных сайтов небольшое количество адресов

Stealthy (Chromium-based, Firefox)

• Удобство использования: 4/5
• Скорость: 2/5
• Анонимность: Нет
• Шифрование трафика: Нет
• Проксирование всего трафика: Да
• Выборочное проксирование: Нет

Описание:
Бесплатная версия аддона просто устанавливает один из публичных
прокси-серверов в настройки браузера, в то время как в платной версии
доступны два премиум-прокси сервера.

Минусы:
Медленная скорость открытия сайтов
Крайне скудное количество настроек

Anonymox (Firefox, Chromium-based)

• Удобство использования: 5/5
• Скорость: 3/5
• Шифрование трафика: Нет
• Анонимность: Да
• Проксирование всего трафика: Да
• Выборочное проксирование: Частично (можно выбрать прокси для конкретного сайта)

Описание:
Проксирует все сайты.
На момент обзора, в бесплатной версии аддона
было доступно 9 прокси-серверов в 3 странах для выбора.
Быстрые и анонимные серверы помечаются отдельными значками,
однако, на момент тестирования и не-анонимные серверы
являлись, фактически, анонимными.

Плюсы:
Удобный интерфейс
Возможность удалять все cookie или с конкретного домена
при переключении сервера

Минусы:
Реклама на страницах в бесплатной версии, ограничение
скорости и трафика
Chrome-версия не справляется с Full DPI

Browsec (Firefox, Chromium-based, iOS)

• Удобство использования: 4/5
• Скорость: 5/5
• Шифрование трафика: Да
• Анонимность: Да
• Проксирование всего трафика: Да
• Выборочное проксирование: Нет

Описание:
Очень простой интерфейс, фактически нет настроек

Плюсы:
Высокая скорость работы прокси

Минусы:
Не выявлено

Data Compression Proxy (Chrome)

• Удобство использования: 5/5
• Скорость: 4/5
• Шифрование трафика: Да
• Анонимность: Нет
• Проксирование всего трафика: Да
• Выборочное проксирование: Нет

Описание:
Аддон использует сжимающий прокси-сервер Google, фактически,
это аналог Opera Turbo.
Аддон проксирует только HTTP (не HTTPS)

Минусы:
Отсутствие настроек

2. PAC-файлы для браузеров

Русский Immunicity

• Удобство использования: 2/5
• Скорость: 4/5
• Шифрование трафика: Нет
• Анонимность: Нет
• Проксирование всего трафика: Нет
• Выборочное проксирование: Да

Описание:
Надстройка над PAC-файлом от Immunicity.
Открывает только заблокированные торрент-трекеры (в том числе русские) и порносайты.

Минусы:
Открывает очень ограниченное количество сайтов

ПростоVPN.АнтиЗапрет

• Удобство использования: 5/5
• Скорость: 5/5
• Шифрование трафика: Да (только Firefox и Chromium-based)
• Анонимность: Да
• Проксирование всего трафика: Нет
• Выборочное проксирование: Да

Описание:
Открывает все сайты, внесенные в реестр.
Доступен исходный код

Плюсы:
Высокая скорость

Минусы:
Не выявлено

3. VPN

ПростоVPN.АнтиЗапрет

• Удобство использования: 5/5
• Скорость: 5/5
• Шифрование трафика: Да
• Анонимность: Да
• Проксирование всего трафика: Нет
• Выборочное проксирование: Да

Описание:
Открывает все сайты, внесенные в реестр.
Доступен исходный код

Источник

Автономный способ обхода DPI и эффективный способ обхода блокировок сайтов по IP-адресу

Провайдеры Российской Федерации, в большинстве своем, применяют системы глубокого анализа трафика (DPI, Deep Packet Inspection) для блокировки сайтов, внесенных в реестр запрещенных. Не существует единого стандарта на DPI, есть большое количество реализации от разных поставщиков DPI-решений, отличающихся по типу подключения и типу работы.

Существует два распространенных типа подключения DPI: пассивный и активный.

Пассивный DPI

Пассивный DPI — DPI, подключенный в провайдерскую сеть параллельно (не в разрез) либо через пассивный оптический сплиттер, либо с использованием зеркалирования исходящего от пользователей трафика. Такое подключение не замедляет скорость работы сети провайдера в случае недостаточной производительности DPI, из-за чего применяется у крупных провайдеров. DPI с таким типом подключения технически может только выявлять попытку запроса запрещенного контента, но не пресекать ее. Чтобы обойти это ограничение и заблокировать доступ на запрещенный сайт, DPI отправляет пользователю, запрашивающему заблокированный URL, специально сформированный HTTP-пакет с перенаправлением на страницу-заглушку провайдера, словно такой ответ прислал сам запрашиваемый ресурс (подделывается IP-адрес отправителя и TCP sequence). Из-за того, что DPI физически расположен ближе к пользователю, чем запрашиваемый сайт, подделанный ответ доходит до устройства пользователя быстрее, чем настоящий ответ от сайта.

Выявляем и блокируем пакеты пассивного DPI

Поддельные пакеты, формируемые DPI, легко обнаружить анализатором трафика, например, Wireshark.
Пробуем зайти на заблокированный сайт:

Мы видим, что сначала приходит пакет от DPI, с HTTP-перенаправлением кодом 302, а затем настоящий ответ от сайта. Ответ от сайта расценивается как ретрансмиссия и отбрасывается операционной системой. Браузер переходит по ссылке, указанной в ответе DPI, и мы видим страницу блокировки.

Рассмотрим пакет от DPI подробнее:

В ответе DPI не устанавливается флаг «Don’t Fragment», и в поле Identification указано 1. Серверы в интернете обычно устанавливают бит «Don’t Fragment», и пакеты без этого бита встречаются нечасто. Мы можем использовать это в качестве отличительной особенности пакетов от DPI, вместе с тем фактом, что такие пакеты всегда содержат HTTP-перенаправление кодом 302, и написать правило iptables, блокирующее их:

Что это такое? Модуль u32 iptables позволяет выполнять битовые операции и операции сравнения над 4-байтовыми данными в пакете. По смещению 0x4 хранится 2-байтное поле Indentification, сразу за ним идут 1-байтные поля Flags и Fragment Offset.
Начиная со смещения 0x60 расположен домен перенаправления (HTTP-заголовок Location).
Если Identification = 1, Flags = 0, Fragment Offset = 0, 0x60 = «warn», 0x64 = «ing.», 0x68 = «rt.ru», то отбрасываем пакет, и получаем настоящий ответ от сайта.

В случае с HTTPS-сайтами, DPI присылает TCP Reset-пакет, тоже с Identification = 1 и Flags = 0.

Активный DPI

Активный DPI — DPI, подключенный в сеть провайдера привычным образом, как и любое другое сетевое устройство. Провайдер настраивает маршрутизацию так, чтобы DPI получал трафик от пользователей к заблокированным IP-адресам или доменам, а DPI уже принимает решение о пропуске или блокировке трафика. Активный DPI может проверять как исходящий, так и входящий трафик, однако, если провайдер применяет DPI только для блокирования сайтов из реестра, чаще всего его настраивают на проверку только исходящего трафика.

Системы DPI разработаны таким образом, чтобы обрабатывать трафик с максимально возможной скоростью, исследуя только самые популярные и игнорируя нетипичные запросы, даже если они полностью соответствуют стандарту.

Изучаем стандарт HTTP

Типичные HTTP-запросы в упрощенном виде выглядят следующим образом:

Запрос начинается с HTTP-метода, затем следует один пробел, после него указывается путь, затем еще один пробел, и заканчивается строка протоколом и переносом строки CRLF.
Заголовки начинаются с большой буквы, после двоеточия ставится символ пробела.

Давайте заглянем в последнюю версию стандарта HTTP/1.1 от 2014 года. Согласно RFC 7230, HTTP-заголовки не зависят от регистра символов, а после двоеточия может стоять произвольное количество пробелов (или не быть их вовсе).

OWS — опциональный один или несколько символов пробела или табуляции, SP — одинарный символ пробела, HTAB — табуляция, CRLF — перенос строки и возврат каретки (\r\n).

Это значит, что запрос ниже полностью соответствует стандарту, его должны принять многие веб-серверы, придерживающиеся стандарта:

На деле же, многие веб-серверы не любят символ табуляции в качестве разделителя, хотя подавляющее большинство серверов нормально обрабатывает и отсутствие пробелов между двоеточием в заголовках, и множество пробелов.

Старый стандарт, RFC 2616, рекомендует снисходительно парсить запросы и ответы сломанных веб-северов и клиентов, и корректно обрабатывать произвольное количество пробелов в самой первой строке HTTP-запросов и ответов в тех местах, где требуется только один:

Clients SHOULD be tolerant in parsing the Status-Line and servers tolerant when parsing the Request-Line. In particular, they SHOULD accept any amount of SP or HT characters between fields, even though only a single SP is required.

Этой рекомендации придерживаются далеко не все веб-серверы. Из-за двух пробелов между методом и путем ломаются некоторые сайты.

Спускаемся на уровень TCP

Соединение TCP начинается с SYN-запроса и SYN/ACK-ответа. В запросе клиент, среди прочей информации, указывает размер TCP-окна (TCP Window Size) — количество байт, которые он готов принимать без подтверждения передачи. Сервер тоже указывает это значение. В интернете используется значение MTU 1500, что позволяет отправить до 1460 байтов данных в одном TCP-пакете.
Если сервер указывает размер TCP-окна менее 1460, клиент отправит в первом пакете данных столько, сколько указано в этом параметре.

Если сервер пришлет TCP Window Size = 2 в SYN/ACK-пакете (или мы его изменим на это значение на стороне клиента), то браузер отправит HTTP-запрос двумя пакетами:

Пакет 1:
Пакет 2:

Используем особенности HTTP и TCP для обхода активного DPI

Многие решения DPI ожидают заголовки только в стандартном виде.
Для блокировки сайтов по домену или URI, они ищут строку «Host: » в теле запроса. Стоит заменить заголовок «Host» на «hoSt» или убрать пробел после двоеточия, и перед вами открывается запрошенный сайт.
Не все DPI можно обмануть таким простым трюком. DPI некоторых провайдеров корректно анализируют HTTP-заголовки в соответствии со стандартом, но не умеют собирать TCP-поток из нескольких пакетов. Для таких DPI подойдет «фрагментирование» пакета, путем искусственного уменьшения TCP Window Size.

В настоящий момент, в РФ DPI устанавливают и у конечных провайдеров, и на каналах транзитного трафика. Бывают случаи, когда одним способом можно обойти DPI вашего провайдера, но вы видите заглушку транзитного провайдера. В таких случаях нужно комбинировать все доступные способы.

Программа для обхода DPI

Я написал программу для обхода DPI под Windows: GoodbyeDPI.
Она умеет блокировать пакеты с перенаправлением от пассивного DPI, заменять Host на hoSt, удалять пробел между двоеточием и значением хоста в заголовке Host, «фрагментировать» HTTP и HTTPS-пакеты (устанавливать TCP Window Size), и добавлять дополнительный пробел между HTTP-методом и путем.
Преимущество этого метода обхода в том, что он полностью автономный: нет внешних серверов, которые могут заблокировать.

По умолчанию активированы опции, нацеленные на максимальную совместимость с провайдерами, но не на скорость работы. Запустите программу следующим образом:
Если заблокированные сайты стали открываться, DPI вашего провайдера можно обойти.
Попробуйте запустить программу с параметром -2 и зайти на заблокированный HTTPS-сайт. Если все продолжает работать, попробуйте режим -3 и -4 (наиболее быстрый).
Некоторые провайдеры, например, Мегафон и Yota, не пропускают фрагментированные пакеты по HTTP, и сайты перестают открываться вообще. С такими провайдерами используйте опцию -3 -a

Эффективное проксирование для обхода блокировок по IP

В случае блокировок по IP-адресу, провайдеры фильтруют только исходящие запросы на IP-адреса из реестра, но не входящие пакеты с этих адресов.
Программа ReQrypt работает как эффективный прокси-сервер: исходящие от клиента пакеты отправляются на сервер ReQrypt в зашифрованном виде, сервер ReQrypt пересылает их серверу назначения с подменой исходящего IP-адреса на клиентский, сервер назначения отвечает клиенту напрямую, минуя ReQrypt.

Если наш компьютер находится за NAT, мы не можем просто отправить запрос на сервер ReQrypt и ожидать ответа от сайта. Ответ не дойдет, т.к. в таблице NAT не создана запись для этого IP-адреса.
Для «пробива» NAT, ReQrypt отправляет первый пакет в TCP-соединении напрямую сайту, но с TTL = 3. Он добавляет запись в NAT-таблицу роутера, но не доходит до сайта назначения.

Долгое время разработка была заморожена из-за того, что автор не мог найти сервер с возможностью спуфинга. Спуфинг IP-адресов часто используется для амплификации атак через DNS, NNTP и другие протоколы, из-за чего он запрещен у подавляющего большинства провайдеров. Но сервер все-таки был найден, хоть и не самый удачный. Разработка продолжается.

Заключение и TL;DR

GoodbyeDPI — программа под Windows, позволяющая обходить пассивные и активные DPI. Просто скачайте и запустите ее, и заблокированные сайты станут снова доступны.
Для Linux есть аналогичная программа — zapret.

Используйте кроссплатформенную программу ReQrypt, если ваш провайдер блокирует сайты по IP-адресу.

Определить тип блокировки сайтов можно программой Blockcheck. Если в тестах DPI вы видите, что сайты открываются, или видите строку «обнаружен пассивный DPI», то GoodbyeDPI вам поможет. Если нет, используйте ReQrypt.

Дополнительная полезная информация есть здесь и здесь.

Источник