id: Гость   вход   регистрация
текущее время 22:04 28/03/2024
Автор темы: Гость, тема открыта 10/11/2012 10:55 Печать
Категории: приватность, анализ трафика, цензура, атаки, человек посередине
https://www.pgpru.com/Форум/АнонимностьВИнтернет/DPI--ЗабудьтеОПравеНаПриватность
создать
просмотр
ссылки

DPI — забудьте о праве на приватность


Скайнет пришел. Машины, без вашего разрешения, вторгаются в пакеты которые генерят ваши устройства, в пакеты предназначенные только вам. Пакеты с этим текстом как минимум раз были просканированы машинами, прежде чем попасть в ваш браузер. DPI стоит у вашего домашнего провайдера, если нет то возможно у его аплинка, и уж точно у магистрального провайдера. Серые люди за консолями решают, что вам читать/смотреть и с какой скоростью.


Жил да был большой провайдер, пропускал пакеты, ограничивал понемногу трафик. Всем было счастье. Или почти всем. До тех пор, пока кто-то не сказал: "Нам мало средств контроля трафика". Так в уютной обжитой сети появился DPI. Эта молодая бестия со своим уставом лезет в самую глубину пакетов, куда не добраться простым файрволам.


 
На страницу: 1, 2, 3, 4, 5, 6, 7, 8 След.
Комментарии
— SATtva (10/11/2012 11:07)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
Классные картинки.
— Гость (11/11/2012 00:49)   <#>
DPI, кстати, так или иначе придется внедрять всем — без этого не получится выполнить закон о блокировках, чтобы не заблокировать при этом половину интернета. DPI, в отличие от СОРМ, — чисто провайдерская система управления трафиком, причём с глубоким анализом, без которого нельзя заблокировать определенные страницы на сайтах. DPI скоро станет обязательным, но из московских провайдеров он пока есть, говорят, только у йоты (они прямо об этом заявляли), причём их клиентам, пользующимся VPN, приходится настраивать туннели, чтобы маскироваться под видеостриминг, получая для своего трафика больший приоритет.

Зная особенности нашего русского бизнеса, внедрение DPI ничего хорошего абонентам не принесет: скорее начнется тарифный обман, подобный тому, который наблюдается у ОпСоСов (веб-браузинг дешевле, торренты дороже, безлимиты с хитрыми условиями и т.д.; или схемы типа «скайп блокируем, а за разблокировку платите отдельные деньги»). Если мошенничество будет давать больше денег, будут этим заниматься и создавать тарифы «хренпросцышь» — это как ОпСоСы, у которых нет простых и понятных тарифов с простыми и неизменяемыми условиями, что позволяет им воровать деньги со счетов абонентов на раз, имея сотни приемов для этого. Например, внедрил МТС DPI на GPRS-интернете, и первое, для чего они его начали использовать — брать за Skype, как за звонки, поминутно, и еще сделали список платных сайтов, при заходе на которые автоматически списываются деньги с абонентского счета.

Во всех договорах всех ОпСоСов написано, что ОпСоС всегда прав, а абонент всегда неправ, правила могут меняться в одностороннем порядке, когда угодно, абонент же лишь имеет право самостоятельно отслеживать изменение условий договора, чтобы вовремя его разорвать. Судиться с ОпСоСами можно (часто даже небезуспешно), но они обманывают миллионы людей, каждого на 100-1000 рублей, за такие деньги мало кто пойдет судиться. Даже если решиться на суд, отсудишь (в лучшем случае) свою тысячу рублей ценой уймы потраченного времени и денег, а если вдруг они в суде ещё и окажутся правы, то и в минусе останешся, т.к. придется оплачивать их адвокатов. Одним словом, судиться — дело сплошь убыточное, поэтому люди поругаются, поматерят опсосов и находят какой-то временный выход, типа вовремя отключать все навязанные услуги, не пользоваться скайпом и т.п.

В интернете об этом трубят на всех углах, все про это знают, но ОпСоСов мало (на этот рынок очень высокий порог вхождения), потому им «можно». Даже если пользуешься телефоном только для звонков, это не помогает: например, гудок заменяют на мелодию, подключая услугу «гудок». Услуга бесплатная (по ЗПП нельзя навязывать платные услуги), но только первый месяц. Если её вовремя не отключил, начинаешь просто так платить рублей 200 в месяц. И это только одна из самых банальных схем обмана. Затем идут SMS-лохотроны, которые делаются при явном попустительстве тех же ОпСоСов. Или вот у МТС есть такая фишка: проверка балланса — *100#, ошибся номером — тебе приходит анекдот и списывается 25 рублей, причём на все окружающие номера повешена такая платная услуга. А могут и просто подключить подписку на платные услуги патрнеров, а потом скажут, что сам подписался.

Смысл всех этих схем прост: из 100 обманутых где-то 50 не узнает, что их обманывают; 20 следит за этим и отключает платные услуги; а 10 звонят в поддержку и ругаются (если дозвонятся, что тоже проблема, и звонок в поддержку МТС уже платный). Те, кто ругается, удовлетворяются отключением платной услуги, но мало кто идет до конца — с досудебными претензиями и требованем вернуть деньги. И только один из тысячи подаст в суд, выиграв его с вероятностью 50% (а проиграл суд — оплативаешь судебные расходы компании). ОпСоС в любом случае не проиграет. В их договорах ещё бывает пункт «все претензии решаются в суде таком-то», причём это законный пункт договора, и оспорить его очень трудно (по ГК РФ договаривающеся стороны имеют право оговорить судебный орган, где будут решаться возникшие претензии; оспорить постфактум можно, но трудно и без гарантии). Короче, вывод такой: в суд можно идти, только если совсем делать нечего, потому как искать справедливости в суде глупо и наивно.

Недавно разрешили ОпСоСам выбивать долги за минусовые счета, госдума даже специально закон приняла для этого: раньше, если ушел в минус миллион в роуминге, мог послать в ОпСоСа в пешее и не платить, потому что ОпСоС не имел право оказывать услуги в кредит, теперь же под ОпСоСов написали закон, который им это разрешает. И, вообще, надо понимать: кто имеет доминирующее положение, тот и заказывает законы, ограничивая всех остальных. То, что мы при этом живём ещё не при рабовладельческом строе, а при квазифеодальном, объясняется только тем, что законы проталкивает не один рабовладелец-император, а много заинтересованных и влиятельных сторон. И только народ, как всегда, ничего не решает.

Извиняюсь за возможный оффтоп, это компиляция разговора в текст, из песни слов не вырежешь. Мораль такова: то, что сейчас творится с ОпСоСами, вскоре будет и с интернет-провайдерами, ничего хорошего ждать не приходится.

P.S.: Есть ли какие-то DPI-решения для десктопов, позволяющие фильтровать/ограничивать/инспектировать свой собственный трафик? Интересуют, как всегда, OpenSource-решения для Linux/Unix. Кто-то ранее уже здесь спрашивал про «родительский контроль своими силами/средствами», но по сути ему никто ничего таки и не ответил.
— Гость (11/11/2012 16:22)   <#>


Смотрите в сторону IDS для которых DPI является одним из ключевых моментов.

http://www.bro-ids.org/
http://www.snort.org/

Остальное пионерские поделки пожалуй.

Впрочем стоит заметить что для нормального анализа траффика нужен коммутатор способный зеркалировать трафик и отдельный сервер для установки системы DPI.
— Гость (11/11/2012 18:30)   <#>
— Гость (11/11/2012 00:49)

Успокойтесь, чего Вы нервничаете так? Сколько лет у меня телефон, ни разу ни одной из перечисленных Вами проблем не возникало.
Ну даже если и будет DPI, что, на этом свет клином сойдётся?
За последние годы я наблюдаю у многих провайдеров РФ улучшение работы, снижение тарифов, акцент на реальном анлиме и расширение каналов. Не сейте панику раньше времени.
— Гость (11/11/2012 20:29)   <#>

Интересные вещи пишут:
This service provides near real-time reputation information on a large number of TLS/SSL certificates seen in the wild, collected continuously by Bro at several partner network sites. The notary’s data includes the time when a certificate was first and last seen, and whether we can establish a valid chain to a root certificate from the Mozilla root store.
Это что-то типа того, что пытались запустить по умолчанию HTTPS Everywhere & EFF? Поди ещё и HTTPS-трафик снифать умеет через MITM(?).


Если объём трафика небольшой (домашняя сеть из пары компьютеров), то зачем нужно зеркалирование?
— Гость (11/11/2012 22:06)   <#>

Да.
Да. Более того, используя как базу анализатор пакетов может строить статистическую картину скажем туннелированого трафика и на основе сверки с образцом предполагать с высокой долей вероятности что конкретно пересылалось по туннелю. Полностью от этого можно избавиться только гоня псевдослучайный шум на всю ширину канала который смешивается с полезным сигналом.
Сколько компьютеров в сети и количество трафика для принципиальной схемы решения значения не имеет. Важно вынести точку наблюдения с источника трафика потому что у host-based IDS есть большое количество ограничений. Наиболее простое решение этого вопроса в домашних это зеркалирование порта коммутатора.
Почитайте рекомендации NIST на тему IDS/IPS, в них подробно расписаны принципиальные схемы установки анализатора пакетов в разных точках сети.
filehttp://csrc.nist.gov/publicati...../800-94/SP800-94.pdf

В любом случае для постоянного (а непостоянный он особого практического смысла в плане безопасности не имеет) полноценного анализа трафика (пакетов) без отдельного сервера в качестве арбитра не обойтись. OpenBSD и snort Вам в помощь. :) Bro всё же несколько монструозен и требует высокого уровня подготовки оператора.
— Гость (11/11/2012 22:31)   <#>

Говорят, Tor существенно менее этому всему подвержен, хотя, кажется, unknown ранее выкладывал информацию про фингерпринтинг и его трафика.


Не могли бы вы вкратце указать, какие ограничения имеются в виду? А то там 127 страниц в pdf, всё читать пока не хочется.

Получается, что DPI, как и антивирус, всегда срабатывает постфактум: только когда подозрительные пакеты уже пропущены, с какой-то задержкой DPI сообщит, что они подозрительны. Это, конечно, лучше, чем ничего, но обычные файерволлы работают не так — там если пакет не удовлетворяет политике/правилам, он никуда дальше не идёт.
— Гость (11/11/2012 23:54)   <#>


В данном контексте Тор принципиально не отличается от приведённого мной примера.


Если вкратце то, нет гарантии того что действительно весь поток трафика попадёт в анализатор и будет проанализирован правильно по целому ряду причин.


Нет, это не так.
— Гость (12/11/2012 00:39)   <#>

Здесь на сайте ранее всюду писали, что Tor куда менее подвержен этому, чем VPN.


Тогда как достигается синхронизация? На точке зеркалирования трафика пакеты останавливются, и рутер ждёт инструкции от сервера-арбитра по каждому пакету? Я-то думал, что DPI не вносит задержек в трафик.
— Гость (12/11/2012 03:52)   <#>
Про мобильную связь написано справедливо. Лично я уже давно не пользуюсь российскими симками после того как меня благополучно кинули с этими "гудками" на почти 50 тысяч деревянных один из "рех китов мобильной связи".
И банковскими карточками не пользуюсь с тех пор как еще в 2002 году увидел кучу синяков которым стали выдавать кредиты это было первым тревожным звонком чтобы завязывать с этой банковской системой и только потом появились банковские подставы, коллекторные агенства, "ограничение выезда должников" и т.д.
Но возвращаясь к топику извечный вопрос "что делать?" а что можно сделать когда с одной стороны старперы-законодатели считающие основную массу людей быдлом которым ничего кроме футбола и порнухи в инете не надо, которые живут по принципу "а что мы можем сделать?" и которые даже не ходили на последние выборы говоря "все-равно это ни на что не повлияет" :(
с другой стороны IT-шники которые подсказывают руководству возможности технической реализации и РЕАЛИЗУЮТ помогая перекрывать кислород своим же IT-шникам... придумывая, настраивая все это, тоже думая: "если я один откажусь выполнять эту работенку все-равно это не остановит внедрение" :) и чтобы вовремя свалить в свою Новую Зеландию или Сингапур...
А с третьей та самая оголтелая толпа которая сначала голосит: "пидафилы, тирраристы запретим симки без паспорта и инет" а потом сама же удивляется почему их "личные фотки" оказываются в открытом доступе... и которая принципиально не хочет понимать "этих непонятных лохматых компутерщиков" которые заранее предупреждают о грядущей опасности.
Еще в середине девяностых я видел таких "сумашедших" которых всерьез хотели запрятать в дурдом за "предсказания" системы СОРМ (никто не верил, что трафик может сохраняться или фильтроваться весь, что все разговоры могут записываться, а сегодня это реальность), потом "с наркотиками боролись" точно так же (гебня имела очень удобный инструмент для "склонения к сотрудничеству" методом подброса) и сегодня до инета вплотную добрались.
Когда я узнаю о нововедениях типа "чипирования", "приказа 311", "тотальной установки вебкамер", DPI я думаю даже не о "Оруэловском фашизме", а о том сколько больниц можно было бы построить (без откатов!) и скольким детям и старикам нуждающимся в помощи помочь... :(
— Гость (12/11/2012 05:50)   <#>
Мораль такова: то, что сейчас творится с ОпСоСами, вскоре будет и с интернет-провайдерами, ничего хорошего ждать не приходится.
Опсосы активно захватывают рынок проводного интернета. Скупают интернет-провайдеров пачками. К тому же государством насильно ограничен круг магистральных провайдеров. Рынок интернета всегда был монополизирован, и вскоре это почуствуют и жители ДС. Можно жить в ДС и думать что есть выбор, но его нет. Аплинком вашего провайдера или им самим, владеют те же люди, что владеют опсосами. Опсосы посеяли жажду неконтролируемой наживы и обмана в интернет отрасль, и это необратимо. В проводном интернете будет такой же лохотрон, что устроили опсосы у себя с их премиум сайтами, звездочками и мелким шрифтом.
— SATtva (12/11/2012 08:44)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118

Господа, завязываем с оффтопом.
— Гость (14/11/2012 06:18)   <#>
Реклама про DPI решения, но почитать интересно.
Причем p2p-приложения, как правило, ведут себя крайне агрессивно, открывая огромное кол-во сессий
Пишите меньше писем, наш майор не успевает. Наши netflow логи пухнут.
плюс недавний переход BitTorrent на UDP-транспорт долил масла в огонь

оператор получает возможность блокирования неугодного ему трафика

И ведь продадут, и ведь внедряд.
— unknown (14/11/2012 10:28, исправлен 14/11/2012 10:30)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664

Получается, что DPI — это фактически такой СОРМ в руках коммерсантов. Если раньше заурядный пользователь мог думать, что никаким специальным агентствам он сам и его убогий трафик неинтересен, то теперь к трафику могут с разной степенью нарушения закона (вопрос лишь, как это провернуть и как оформить), но достаточно легко и незаметно (всё ведь продаётся и покупается), получить доступ кто-угодно, от сетевых маркетологов до ревнивых знакомых и прочих вполне заурядных персонажей.

— Гость (14/11/2012 10:42)   <#>
Если формально никто из людей не читал трафик, то закон не нарушен. DPI может ответить на ряд вопросов этих "кто-угодно". Ревнующая жена может узнать общался ли муж в интернетах с любовницами. Что может быть проще, знай правила в консоль записывай да деньги греби.
На страницу: 1, 2, 3, 4, 5, 6, 7, 8 След.
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3