Refactor tables for clarity and consistency in section 23 of the DPI Engine documentation
This commit is contained in:
Daniel Lavrushin
@@ -60,11 +60,11 @@ DPI-движок также анализирует **содержимое пак
|
|||||||
|
|
||||||
Причины ложноположительных срабатываний:
|
Причины ложноположительных срабатываний:
|
||||||
|
|
||||||
| Причина | Описание |
|
| Причина | Описание |
|
||||||
| -------------------------------------- | ----------------------------------------------------------------- |
|
| -------------------------------- | ------------------------------------------------------------------------------------------- |
|
||||||
| **Похожие профили трафика** | Разные протоколы могут генерировать трафик с похожими размерами пакетов и частотой |
|
| **Похожие профили трафика** | Разные протоколы могут генерировать трафик с похожими размерами пакетов и частотой |
|
||||||
| **Шифрование скрывает различия** | Без доступа к содержимому пакетов анализ опирается на меньше признаков |
|
| **Шифрование скрывает различия** | Без доступа к содержимому пакетов анализ опирается на меньше признаков |
|
||||||
| **Новые версии протоколов** | Обновления приложений могут изменить профиль трафика, сделав его похожим на другой протокол |
|
| **Новые версии протоколов** | Обновления приложений могут изменить профиль трафика, сделав его похожим на другой протокол |
|
||||||
|
|
||||||
**Последствия ложного срабатывания:** если фильтр ошибочно распознал легитимный трафик как блокируемый протокол и сразу заблокировал его — пользователь потеряет доступ к полезному ресурсу. Именно поэтому прямая блокировка по результатам DPI на фильтре **не применяется** для протоколов — вместо этого используется двухстадийная схема.
|
**Последствия ложного срабатывания:** если фильтр ошибочно распознал легитимный трафик как блокируемый протокол и сразу заблокировал его — пользователь потеряет доступ к полезному ресурсу. Именно поэтому прямая блокировка по результатам DPI на фильтре **не применяется** для протоколов — вместо этого используется двухстадийная схема.
|
||||||
|
|
||||||
@@ -111,10 +111,10 @@ DPI-движок также анализирует **содержимое пак
|
|||||||
|
|
||||||
На одном фильтре **одновременно работают два процесса**:
|
На одном фильтре **одновременно работают два процесса**:
|
||||||
|
|
||||||
| DPI-лист | Behavior | Назначение |
|
| DPI-лист | Behavior | Назначение |
|
||||||
| --------------------- | ----------- | --------------------------------------------------- |
|
| ------------------- | ---------- | ------------------------------------------------------ |
|
||||||
| DPI-лист 0 | **ignore** | Распознавание протоколов, запись логов, без блокировки |
|
| DPI-лист 0 | **ignore** | Распознавание протоколов, запись логов, без блокировки |
|
||||||
| DPI-лист 5 (пример) | **block** | Блокировка по очищенным спискам из ЦСУ |
|
| DPI-лист 5 (пример) | **block** | Блокировка по очищенным спискам из ЦСУ |
|
||||||
|
|
||||||
Таким образом, распознавание и блокировка выполняются **в разных DPI-листах** — это позволяет независимо управлять каждым процессом.
|
Таким образом, распознавание и блокировка выполняются **в разных DPI-листах** — это позволяет независимо управлять каждым процессом.
|
||||||
|
|
||||||
@@ -134,17 +134,17 @@ DPI-движок также анализирует **содержимое пак
|
|||||||
|
|
||||||
Обфускация — это намеренное изменение характеристик протокола, направленное на то, чтобы DPI-движок **не смог его распознать**. Это постоянная «гонка вооружений» между разработчиками средств обхода блокировок и разработчиками систем фильтрации.
|
Обфускация — это намеренное изменение характеристик протокола, направленное на то, чтобы DPI-движок **не смог его распознать**. Это постоянная «гонка вооружений» между разработчиками средств обхода блокировок и разработчиками систем фильтрации.
|
||||||
|
|
||||||
### Принцип «ананасных мальчиков»
|
### Принцип «нанайских мальчиков»
|
||||||
|
|
||||||
Борьба между системами обхода и системами блокировки описывается как **постоянное противостояние**: одна сторона в какой-то момент имеет преимущество, которое затем нивелируется следующим шагом противоположной стороны.
|
Борьба между системами обхода и системами блокировки описывается как **постоянное противостояние**: одна сторона в какой-то момент имеет преимущество, которое затем нивелируется следующим шагом противоположной стороны.
|
||||||
|
|
||||||
### Типы обфускации и возможности распознавания
|
### Типы обфускации и возможности распознавания
|
||||||
|
|
||||||
| Тип обфускации | Возможность распознавания |
|
| Тип обфускации | Возможность распознавания |
|
||||||
| ------------------------------------- | ------------------------------------------------------- |
|
| ------------------------------------------- | ---------------------------------------------------------------------- |
|
||||||
| **Простая** (например, XOR) | Фильтр может «развернуть» обфускацию и распознать протокол |
|
| **Простая** (например, XOR) | Фильтр может «развернуть» обфускацию и распознать протокол |
|
||||||
| **Протокол притворяется другим** | Распознавание возможно, но требует разработки новых сигнатур и методик |
|
| **Протокол притворяется другим** | Распознавание возможно, но требует разработки новых сигнатур и методик |
|
||||||
| **Качественная имитация другого протокола** | Распознать **невозможно** без разработки принципиально нового подхода |
|
| **Качественная имитация другого протокола** | Распознать **невозможно** без разработки принципиально нового подхода |
|
||||||
|
|
||||||
### Обновление сигнатур
|
### Обновление сигнатур
|
||||||
|
|
||||||
|
|||||||
Reference in New Issue
Block a user