Результаты тестирования разных DPI Роскомнадзором

Internet censorship all around the world Russia
2

Мои небольшие заметки о разных DPI.
Используемая терминология:

in-path = установка DPI в разрыв = активный DPI = man-in-the-middle
on-path = установка DPI с зеркалированием оптическим сплиттером или программно = пассивный DPI = man-on-the-side

СПАК “Equila”

От компании napalabs

  • Поставляется в виде программно-аппаратного комплекса
  • До 80 Gbit/s (на сайте написано про 80, в документе — до 160).
  • Поддерживает режимы подключения: in-path, двусторонний on-path («пассивный» DPI, в который зеркалируется и входящий, и исходящий трафик оптическим сплиттером или программно), односторонний on-path (зеркалируется только исходящий клиентский трафик)
  • Помимо блокировок может осуществлять QoS, кеширование, родительский контроль и внедрение рекламы

CyberFilter

Компания CyberFilter

  • Поставляется в виде ISO-образа для установки на обычные серверы
  • Перенаправляет трафик на себя через BGP или DNS RPZ
  • 3 разных варианта подключения: облачный, прокси у провайдера, программно-аппаратный комплекс
  • 25+ Gbit/s (в случае программно-аппаратного комплекса. Видимо, имеется в виду общая пропускная способность провайдера, а не возможности обработки ПАК.)

Есть Wiki. Из FAQ:

Как происходит фильтрация ?

  1. Запросы пользователя перенаправляются на фильтрующий сервер. Перенаправление может осуществляться через маршрутизацию (основной способ) или через DNS RPZ (дополнительный способ).

  2. Фильтрующий сервер проверяет наличие запрашиваемого ресурса в реестрах запрещенных сайтов и либо пропускает запрос, либо выводит сообщение, что ресурс заблокирован.

Как обрабатываются протоколы отличные от HTTP/HTTPS ?

  • если перенаправление произошло через маршрутизацию и ресурс НЕ блокируется по IP, то запрос пропускается (с использованием NAT)

  • если перенаправление произошло через DNS RPZ, то запрос блокируется

Как обрабатывается HTTPS ?

  • запросы к сайтам, которые размещены на тех же IP, что и ресурсы из реестра - пропускаются

  • запросы к сайтам из реестра блокируются без вывода сообщения (вывод сообщения может быть настроен дополнительно, но браузер пользователя будет «ругаться» на сертификат)

  • запросы по HTTPS к youtube.com пропускаются

Барьер

От компании NVision

  • Поддерживается установка in-path и on-path.
  • Внедрён у МТС Москва (по информации из документа)

По этому DPI почти нет информации в интернете.

ADM Filter

От компании АМД СИСТЕМЫ
ADM_Filter_2.1.9.25_2.2.13.pdf (831.7 KB)

  • Поставляется в виде программно-аппаратного комплекса
  • До 80 ГБит/с
  • Устанавливается только in-path
  • Также реализует родительский контроль и QoS
  • Поддержка HTTP/2 и QUIC

Фильтрация WEB-ресурсов выполняется путем поиска соответствия в списке Роскомнадзора по IP-адресу, доменному имени и полному указателю страницы.
Список Роскомнадзора выгружается раз в час через XML-интерфейс.
Блокировка по доменному имени выполняется в случае, если в XML-списке отсутствует полный указатель страницы. Блокировка по IP-адресу выполняется, если в XML-списке отсутствует и полный указатель страницы, и доменное имя ресурса.
Проверка выполняется для фрагментированных IP-пакетов и сегментированных блоков данных на уровне TCP.

ZapretService

«Игрушечный» комплекс от компании ZapretService.
Доступна пробная версия, ISO-файл свободно скачивается с веб-сайта производителя!
zapretservice_readme.pdf (969.0 KB)

  • Поставляется в виде ISO-образа для установки на обычные серверы
  • До 400 Мбит/с
  • In-path и on-path-подключение

Ideco SELECTA

DPI компании Ideco.
IdecoSelecta_Admin_Guide.pdf (2.9 MB)
SELECTA-140219-1954-6402.pdf (2.9 MB)

  • Поставляется в виде ISO-образа для установки на обычные серверы
  • До 40 Гбит/с
  • 4 варианта установки: in-path, BGP, WCCP (GRE), режим роутера

Carbon Reductor DPI X

DPI компании Carbon Soft
Доступна пробная версия, ISO-файл и Flash-образ свободно скачивается с веб-сайта производителя!
Доступна подробная документация от производителя.

  • Поставляется в виде ISO-образа для установки на обычные серверы
  • Предназначен для обработки ~10 Гбит/с
  • Устанавливается только on-path
  • Осуществляет блокировку записей, заблокированных по IP-адресам и диапазонам, через BGP/OSPF, blackhole.
  • Блокирует доменную зону целиком (если в реестр внесён домен второго уровня, то любой поддомен этого домена будет блокироваться)
  • Имеет интересный модуль «Избежание частичных блокировок популярных ресурсов», исключающий из DNS-ответов заблокированные IP-адреса, если ответ содержит несколько адресов (заблокированных и незаблокированных в одном ответе).
  • Умеет выявлять неизвестные протоколы и отправляет информацию о них разработчику

Это сообщение всё ещё дописывается

1 Like