diff --git a/chapters/23.md b/chapters/23.md index 91d8e43..88587e1 100644 --- a/chapters/23.md +++ b/chapters/23.md @@ -60,11 +60,11 @@ DPI-движок также анализирует **содержимое пак Причины ложноположительных срабатываний: -| Причина | Описание | -| -------------------------------------- | ----------------------------------------------------------------- | -| **Похожие профили трафика** | Разные протоколы могут генерировать трафик с похожими размерами пакетов и частотой | -| **Шифрование скрывает различия** | Без доступа к содержимому пакетов анализ опирается на меньше признаков | -| **Новые версии протоколов** | Обновления приложений могут изменить профиль трафика, сделав его похожим на другой протокол | +| Причина | Описание | +| -------------------------------- | ------------------------------------------------------------------------------------------- | +| **Похожие профили трафика** | Разные протоколы могут генерировать трафик с похожими размерами пакетов и частотой | +| **Шифрование скрывает различия** | Без доступа к содержимому пакетов анализ опирается на меньше признаков | +| **Новые версии протоколов** | Обновления приложений могут изменить профиль трафика, сделав его похожим на другой протокол | **Последствия ложного срабатывания:** если фильтр ошибочно распознал легитимный трафик как блокируемый протокол и сразу заблокировал его — пользователь потеряет доступ к полезному ресурсу. Именно поэтому прямая блокировка по результатам DPI на фильтре **не применяется** для протоколов — вместо этого используется двухстадийная схема. @@ -111,10 +111,10 @@ DPI-движок также анализирует **содержимое пак На одном фильтре **одновременно работают два процесса**: -| DPI-лист | Behavior | Назначение | -| --------------------- | ----------- | --------------------------------------------------- | -| DPI-лист 0 | **ignore** | Распознавание протоколов, запись логов, без блокировки | -| DPI-лист 5 (пример) | **block** | Блокировка по очищенным спискам из ЦСУ | +| DPI-лист | Behavior | Назначение | +| ------------------- | ---------- | ------------------------------------------------------ | +| DPI-лист 0 | **ignore** | Распознавание протоколов, запись логов, без блокировки | +| DPI-лист 5 (пример) | **block** | Блокировка по очищенным спискам из ЦСУ | Таким образом, распознавание и блокировка выполняются **в разных DPI-листах** — это позволяет независимо управлять каждым процессом. @@ -134,17 +134,17 @@ DPI-движок также анализирует **содержимое пак Обфускация — это намеренное изменение характеристик протокола, направленное на то, чтобы DPI-движок **не смог его распознать**. Это постоянная «гонка вооружений» между разработчиками средств обхода блокировок и разработчиками систем фильтрации. -### Принцип «ананасных мальчиков» +### Принцип «нанайских мальчиков» Борьба между системами обхода и системами блокировки описывается как **постоянное противостояние**: одна сторона в какой-то момент имеет преимущество, которое затем нивелируется следующим шагом противоположной стороны. ### Типы обфускации и возможности распознавания -| Тип обфускации | Возможность распознавания | -| ------------------------------------- | ------------------------------------------------------- | -| **Простая** (например, XOR) | Фильтр может «развернуть» обфускацию и распознать протокол | -| **Протокол притворяется другим** | Распознавание возможно, но требует разработки новых сигнатур и методик | -| **Качественная имитация другого протокола** | Распознать **невозможно** без разработки принципиально нового подхода | +| Тип обфускации | Возможность распознавания | +| ------------------------------------------- | ---------------------------------------------------------------------- | +| **Простая** (например, XOR) | Фильтр может «развернуть» обфускацию и распознать протокол | +| **Протокол притворяется другим** | Распознавание возможно, но требует разработки новых сигнатур и методик | +| **Качественная имитация другого протокола** | Распознать **невозможно** без разработки принципиально нового подхода | ### Обновление сигнатур