في هذا المنشور، ساناقش أساليب التي تستخدمها هذه شركات الاتصالات لحظر حركة مرور الإنترنت الخاصة بك واكتشافها، بالإضافة إلى أدوات التجاوز والطُرق المتاحة لكلّ منها.
يمكن لنظام الرقابة المُتقدم استخدام مجموعة من هذه الأساليب بناءً على عوامل متعدّدة، مثل الموقع الجغرافي لخادم الوجهة أو مركز بياناته، بالإضافة إلى بصمة الحِزم وتقييد حركة المرور المشبوهة، من بين أمور أخرى.
حظر IP
يُعد حظر IP أبسط وأسهل طريقة يمكن لجدران الحماية تنفيذها. يتضمن ذلك التحقق من عنوان وجهة حركة المرور، وإذا كان يتطابق مع IP معين أو نطاق IP، فسوف يقوم جدار الحماية إما بحظر حركة المرور أو توجيهها إلى IP آخر.
نظرًا لبساطته، فمن السهل جدًا تجاوزه أيضًا. كل ما عليك فعله هو توجيه حركة المرور عبر خادم آخر لا يُوجد عنوان IP الخاص به في قائمة الحظر باستخدام خادم وكيل.
انتحال DNS
في أغلب الأحيان، يمكن استخدام IP لخدمات متعددة. على سبيل المثال، قد تتشارك يوتيوب وخدمات جوجل الأخرى في نفس عناوين IP. وهذا من شأنه أن يجعل حظر IP مكلفًا للغاية بالنسبة للISP لأنهم قد يحظروا عن غير قصد بعض الخدمات التي لم تكن ينوا حظرها.
في هذه الحالة، فإن أسهل شيء يمكن القيام به لحظر مواقع ويب وخدمات معينة هو انتحال حركة مرور DNS للمستخدم (حيث يفتقر DNS إلى التعمية ويمكن قراءته أثناء ذلك). إذا كان مجال الوجهة يتطابق مع مجال معين، فسوف يعيد عنوانًا غير صالح أو لا يستجيب للمستخدم على الإطلاق.
إن إصلاح هذه المشكلة سيكون بسيطًا نسبيًا أيضًا. كل ما علينا فعله هو تعمية حركة مرور DNS باستخدام بروتوكولات مثل DNS-Over-TLS أو DNS-Over-HTTPS أو DNSSEC أو DNSCrypt. نظرًا لأن جدار الحماية لن يرى اسم النطاق (domain name) الذي نطلبه، فإنه لا يمكنه تحديد ما إذا كنا نحاول الوصول إلى موقع ويب محظور أم لا.
حظر البروتوكول
في بعض الحالات القصوى، قد يحظر جدار الحماية بروتوكولًا بالكامل، وخاصة تلك المستخدمة في شبكات VPN مثل PPTP وL2TP و Wireguard.
تُطبق هذه الطريقة عادةً على البروتوكولات التي لا تترتب عليها تكاليف كبيرة. على سبيل المثال، إذا قاموا بحظر HTTPS أو TLS، فسيؤدي ذلك إلى تعطيل معظم مواقع الويب بغض النظر عما إذا كانت محظورة أم لا، وقد يكون ذلك مكلفًا للغاية.
للتغلب على هذا النوع من الحظر، تم إنشاء بعض البروتوكولات لجعل حركة المرور الموكّلة تبدو وكأنها حركة مرور ويب أو TLS عادية قدر الإمكان. تم تصميم بروتوكولات مثل REALITY وTrojan لهذا الغرض أو الأقوى على الأطلاق V2ray و هو إطار عمل لعدة بروتوكولات أو استخدم تطبيق VPN أمن و خصوصي يدعم بروتوكولات تخطي الحجب كيفية تخطي حجب VPN.
تصفية الحِزم (Packet Filtering)
قد تقوم جدران الحماية بتصفية الحِزم وحظرها أو خنقها بناءً على عوامل مثل بروتوكولها (سواء كان TCP أو UDP) والحجم والطول ومنفذ الوجهة والرؤوس.
على سبيل المثال، في الحالات القصوى، قد تقوم بحظر حركة مرور UDP بالكامل والسماح فقط باتصالات TCP إلى منافذ معينة، مثل 443 و22، وهي منافذ شائعة لـ TLS وSSH.
تجاوز هذا النوع من القيود ليس بالأمر الصعب، ولكنه سيأتي مع تضحيات السرعة وعرض النطاق الترددي، حيث قد تقتصر على استخدام اتصالات TCP، والتي تكون أبطأ عادةً من اتصالات UDP، وخاصةً للبث.
فحص الحِزم العميق (DPI)
تُعد DPI (فحص الحِزم العميق) هي طريقة تستخدم لفحص وتصفية حركة المرور في الوقت الفعلي، مما يعني أن جدار الحماية سيفتح الحِزم الخاصة بك ويحلل محتواها ويقرر ما إذا كان سيحظرها أو يسمح لها بالمرور.
يمكن لـ DPI حتى اكتشاف حركة المرور المُعمَّاة بالكامل وحظرها من خلال طرق مثل التبصيم، مما يسمح لها بتحديد ما إذا كانت حركة المرور عبارة عن VPN أو حركة مرور بالوكالة أو حركة مرور عادية.
إن تجاوز DPI يمثل تحديًا في الواقع، حيث تتطور أنظمة DPI باستمرار وتصبح أكثر تقدمًا في اكتشاف حركة المرور المُعمَّاة. ومع ذلك، فإن البروتوكولات المستخدمة لتجاوزها تتطور أيضًا.
البروتوكول الأكثر وعدًا واختبارًا جيدًا لتجاوز DPI هو بروتوكولات التعتيم، مثل obfs4، والتي تم تصميمها لجعل حركة المرور تبدو وكأنها ضوضاء أو حركة مرور عادية.
الفحص النشط (Active Probing)
على عكس طُرق الرقابة الأخرى، فإن الفحص النشط ليس سلبيًا (passive)؛ فهو يتضمن خوادم آلية تُرسل طلبات إلى خوادم أخرى للتحقق مما إذا كانت تُستخدم لتجاوز الرقابة أم لا.
قد تعمل هذه الخوادم كعملاء obfs4 وتُرسل طلبات إلى خادمك لفحص استجابته.
إن منع هذه المحاولات تُعد مهمة صعبة، ولكن هناك إجراءات يمكن اتخاذها، مثل السماح فقط بالاتصالات من عناوين IP مُحدّدة أو حظر أي محاولات مشبوهة على الخادم.
إذا لديك أي سؤال أو استفسار.
انضم إلى مجموعة أسس لأمن المعلومات والخصوصية الرقمية على: