Заблокируют ли нам VPN с помощью DPI?

В сети стали появляться новости о том, что провайдеры закупают DPI оборудование, для того чтобы блокировать VPN. В этой статье я хочу поделиться своим мнением в целом о блокировках и конкретно о DPI.

Как у нас происходят блокировки сейчас?

Роскомнадзор вносит нежелательный ресурс в черный список. Провайдеры вынуждены подчиняться и не пропускать запросы к такому ресурсу. Например, при попытке зайти в твиттер, наш браузер отправляет DNS запрос провайдеру для получения IP-адреса твиттера. Провайдер, поняв то, что этот IP-адрес в черном списке, отдает нам свою страницу, где сообщается о том, что доступ невозможен.

Блокировка IP-адресов не эффективна по многим причинам. Например, необходимый ресурс может просто сменить IP-адрес. Мы такое наблюдали в 2018, когда РКН блокировал телеграм. Телеграм же просто менял адреса. А учитывая, то что телеграм хостился на AWS (Amazon Web Services), где кроме него хостилось огромное количество сайтов, в том числе и сам РКН. В итоге мы получили ситуацию, когда РКН заблокировал всё, что можно, в том числе и себя, а телеграм так и остался не заблокированным.

Но если ресурс, как твиттер не собирается менять IP-адрес, мы все равно можем попасть на него большим количеством способов: использовать другой DNS, прокси, VPN и др. А учитывая то, что в 2023 VPN используют почти все, то у РКН не остается шансов.
И тут на помощь приходит DPI (Deep Packet Inspection) - это технология, которая анализирует содержание сетевых пакетов, позволяя определять и блокировать определенные типы трафика. То есть DPI заглядывает в каждый пакет, и если ему, что-то не нравится он просто его не пропускает. Например, может взять и отфильтровывать все пакеты которые идут по OpenVPN протоколу.

— Но ведь если мы используем VPN, то наши пакеты зашифрованы. Как DPI сможет заглянуть в них?

Да, в такие пакеты DPI заглянуть не сможет, но он сможет по метаданным и другим характеристикам понять, что этот пакет принадлежит VPN трафику. Например, возьмем протокол OpenVPN, это опенсорс протокол, и все могут посмотреть как он устроен. OpenVPN использует порт 1194, и встретив зашифрованный пакет с таким портом, DPI поймет, что это OpenVPN трафик и при желании заблокирует его.

Также DPI может определять к какому протоколу принадлежит пакет, на основе анализа различных аспектов пакета, таких как заголовки и характеристики трафика, а также на основе сравнения с сигнатурами или шаблонами известных протоколов.

— Так, что получается, DPI сможет заблокировать весь VPN трафик?

Нет. Всё большую популярность набирают (и, как следствие — лучше и быстрее развиваются) средства всевозможной обфускации (запутывание) трафика.
Как следствие, это выливается в «гонку вооружений»: технологии DPI становятся всё более «надёжными», но одновременно с этим улучшаются и технологии обфускации трафика.

Цель обфускации - маскировка VPN трафика, делая его похожим на обычный трафик, чтобы обойти DPI. Например, данные можно скрыть под видом изображений или звуковых файлов. Обфусцирующие протоколы (Shadowsocks, obfs4, Cloak, Stunnel, OpenVPN Scramble) уже реализовали у себя крупные VPN сервисы.

К тому же блокировать весь VPN трафик вредно для экономики, т.к. VPN нужен не для того чтобы мог зайти в твиттер или инстаграм, а также большим компаниям для безопасной работы. Да и к тому же проверка каждого пакета в сети - это задача требующая временных затрат, что может существенно повлиять на скорость трафика. Ну и для глобальных блокировок нужны огромное количество дорогостоящего оборудования.

Опыт Китая, нам показывает, что любые DPI блокировки, в том числе и великий китайский файрвол можно обойти с помощью технологий обфускации.

via habr.com