[Windows Apps] GoodbyeDPI : contourner une censure par DPI (Deep Packet Inspection)
-
Si vous êtes dans un pays qui censure internet, il est possible que cela soit fait en utilisant du DPI. DPI signifie Deep Packet Inspection, et cela permet à un gouvernement ou à un fournisseur d’accès internet d’analyser en live tout le contenu des paquets internet qui transitent sur le réseau. Dans le but super sympathique de bloquer les paquets qui ne respecteraient pas la dictature en vigueur.
Alors, comment faire pour contourner ce système d’analyse de paquet sans pour autant faire transiter l’ensemble de votre trafic au travers de Tor ou de systèmes similaires ?
Et bien grâce à GoodbyeDPI. Cet outil disponible pour Windows permet d’agir sur le DPI passif et actif. Concernant le DPI passif, la plupart de ces derniers balancent une redirection HTTP 302 si vous essayez d’accéder à un site Web bloqué via HTTP et un TCP Reset HTTPS, plus rapidement que le site Web de destination.
Le TCP Reset appelé également RST survient lorsqu’un paquet TCP inattendu arrive sur un hôte. Ce dernier répond généralement en renvoyant un paquet de réinitialisations sur la même connexion. Il est sans charge utile, mais avec un bit RST activé dans les drapeaux de l’en-tête TCP.
Par conséquent, les paquets envoyés par le système du DPI ont généralement un champ d’identification IP égal à 0x0000 ou 0x0001, comme c’est le cas avec les fournisseurs russes. C’est là qu’entre en action GoodbyeDPI qui va tout simplement bloquer ces paquets, les empêchant de vous rediriger vers un autre site web comme une page vous informant du blocage.
Cela ne nécessite pas de serveur tiers et n’affecte pas la vitesse de connexion internet. Mais ça ne fonctionne pas avec tous les FAI puisque certains utilisent un système de filtrage par DPI actif. Celui-ci est un peu plus complexe à contourner, mais pas impossible.
Pour ce faire, GoodbyeDPI utilise 7 méthodes différentes comme de la fragmentation TCP, des modifications de l’entête des paquets ainsi que l’envoi de faux paquets HTTP / HTTPS avec un faible TTL (time to live), une somme de contrôle incorrecte…etc. dans le but de tromper le système qui ne pourra pas traiter les paquets.
Toutes ces méthodes ne perturbent pas le fonctionnement des sites web que vous visiterez puisqu’elles sont respectueuses de normes TCP et HTTP.
Vous l’aurez compris, ce n’est pas une science exacte, mais c’est cool de savoir que des solutions existent et peuvent permettre de surfer en contourner la censure. Évidemment, cela reste risqué dans certains pays car une analyse plus poussée peut permettre de voir que vous utilisez un système de contournement. Donc prudence.
GoodbyeDPI est télécharge ici et il y a tout un forum d’entraide ici. Et si vous voulez un truc qui fait à peu près la même chose pour macOS et Linux, il y a aussi cet outil nommé SpoofDPI.
– Source:
https://korben.info/contourner-une-censure-par-dpi-deep-packet-inspection.html
V:\> █░░ SPR3AD TH3 C0D3 ░░█ ✌(◕‿-)✌
╚═ Admin, Dev et auteur de la plupart des bugs de PW… -
C’est effectivement quand même un peu comme rouler sans les plaques, on ne reçoit plus les bûches, jusqu’à ce qu’on se fasse pécho par un contrôle.
Ça serait plutôt utile pour éviter le peering, surtout en iptv.
-
Si vous êtes dans un pays qui censure internet, il est possible que cela soit fait en utilisant du DPI. DPI signifie Deep Packet Inspection, et cela permet à un gouvernement ou à un fournisseur d’accès internet d’analyser en live tout le contenu des paquets internet qui transitent sur le réseau. Dans le but super sympathique de bloquer les paquets qui ne respecteraient pas la dictature en vigueur.
Alors, comment faire pour contourner ce système d’analyse de paquet sans pour autant faire transiter l’ensemble de votre trafic au travers de Tor ou de systèmes similaires ?
Et bien grâce à GoodbyeDPI. Cet outil disponible pour Windows permet d’agir sur le DPI passif et actif. Concernant le DPI passif, la plupart de ces derniers balancent une redirection HTTP 302 si vous essayez d’accéder à un site Web bloqué via HTTP et un TCP Reset HTTPS, plus rapidement que le site Web de destination.
Le TCP Reset appelé également RST survient lorsqu’un paquet TCP inattendu arrive sur un hôte. Ce dernier répond généralement en renvoyant un paquet de réinitialisations sur la même connexion. Il est sans charge utile, mais avec un bit RST activé dans les drapeaux de l’en-tête TCP.
Par conséquent, les paquets envoyés par le système du DPI ont généralement un champ d’identification IP égal à 0x0000 ou 0x0001, comme c’est le cas avec les fournisseurs russes. C’est là qu’entre en action GoodbyeDPI qui va tout simplement bloquer ces paquets, les empêchant de vous rediriger vers un autre site web comme une page vous informant du blocage.
Cela ne nécessite pas de serveur tiers et n’affecte pas la vitesse de connexion internet. Mais ça ne fonctionne pas avec tous les FAI puisque certains utilisent un système de filtrage par DPI actif. Celui-ci est un peu plus complexe à contourner, mais pas impossible.
Pour ce faire, GoodbyeDPI utilise 7 méthodes différentes comme de la fragmentation TCP, des modifications de l’entête des paquets ainsi que l’envoi de faux paquets HTTP / HTTPS avec un faible TTL (time to live), une somme de contrôle incorrecte…etc. dans le but de tromper le système qui ne pourra pas traiter les paquets.
Toutes ces méthodes ne perturbent pas le fonctionnement des sites web que vous visiterez puisqu’elles sont respectueuses de normes TCP et HTTP.
Vous l’aurez compris, ce n’est pas une science exacte, mais c’est cool de savoir que des solutions existent et peuvent permettre de surfer en contourner la censure. Évidemment, cela reste risqué dans certains pays car une analyse plus poussée peut permettre de voir que vous utilisez un système de contournement. Donc prudence.
GoodbyeDPI est télécharge ici et il y a tout un forum d’entraide ici. Et si vous voulez un truc qui fait à peu près la même chose pour macOS et Linux, il y a aussi cet outil nommé SpoofDPI.
– Source:
https://korben.info/contourner-une-censure-par-dpi-deep-packet-inspection.html
Si vous êtes dans un pays qui censure internet, il est possible que cela soit fait en utilisant du DPI. DPI signifie Deep Packet Inspection, et cela permet à un gouvernement ou à un fournisseur d’accès internet d’analyser en live tout le contenu des paquets internet qui transitent sur le réseau. Dans le but super sympathique de bloquer les paquets qui ne respecteraient pas la dictature en vigueur.
Certaines administrations françaises aiment bien jouer du DPI. De là a penser que ce beau pays est une dictature…
-
@Kourhage Avec un VPN, on peut voir le contenu des packets, ce n’est pas du tout le même usage, et même en combinant les deux techniques, il n’y a aucune garantie.
-
undefined Violence a épinglé ce sujet sur
-
@Kourhage
Le VPN est excellent comme couche de protection pour empêcher l’espionnage des FAI, mais la technologie DPI est bien au dessus du cryptage effectué par le VPN et peut donc sniffer et identifier de nombreuses informations à partir des paquets VPN.
Si un FAI/gouvernement utilise le DPI (c’est-à-dire l’inspection complète des paquets), il analyse tout le trafic par opposition aux données de connexion réseau de base telles que les adresses IP avec lesquelles tu te connectes, le numéro de port, le protocole et éventuellement quelques autres détails sur la connexion réseau.
Malgré un protocoles SSL (HTTPS) ou un l’utilisation d’un VPN, la technologie DPI peut donc toujours lire ton trafic Internet, les modèles d’identité et créer une empreinte digitale de toi sur la base de ces modèles.
Les capacités d’identification du DPI rendent un VPN largement inutile, et même si les données elles-mêmes sont cryptées, le trafic VPN ajoute un en-tête dans la trame ethernet (Tu peux le voir en sniffant toi même une trame ethernet avec Wireshark) qui identifie le paquet comme provenant d’une machine cliente VPN.
Si tu est en chine ou en russie par exemple, quitte à se faire nicker (car en général tu sais à quoi tu t’exposes), autant utiliser ce soft plutôt qu’un VPN qui ne servira à rien.
V:\> █░░ SPR3AD TH3 C0D3 ░░█ ✌(◕‿-)✌
╚═ Admin, Dev et auteur de la plupart des bugs de PW… -
@Kourhage
Le VPN est excellent comme couche de protection pour empêcher l’espionnage des FAI, mais la technologie DPI est bien au dessus du cryptage effectué par le VPN et peut donc sniffer et identifier de nombreuses informations à partir des paquets VPN.
Si un FAI/gouvernement utilise le DPI (c’est-à-dire l’inspection complète des paquets), il analyse tout le trafic par opposition aux données de connexion réseau de base telles que les adresses IP avec lesquelles tu te connectes, le numéro de port, le protocole et éventuellement quelques autres détails sur la connexion réseau.
Malgré un protocoles SSL (HTTPS) ou un l’utilisation d’un VPN, la technologie DPI peut donc toujours lire ton trafic Internet, les modèles d’identité et créer une empreinte digitale de toi sur la base de ces modèles.
Les capacités d’identification du DPI rendent un VPN largement inutile, et même si les données elles-mêmes sont cryptées, le trafic VPN ajoute un en-tête dans la trame ethernet (Tu peux le voir en sniffant toi même une trame ethernet avec Wireshark) qui identifie le paquet comme provenant d’une machine cliente VPN.
Si tu est en chine ou en russie par exemple, quitte à se faire nicker (car en général tu sais à quoi tu t’exposes), autant utiliser ce soft plutôt qu’un VPN qui ne servira à rien.
@Violence a dit:
la technologie DPI est bien au dessus du cryptage effectué par le VPN et peut donc sniffer et identifier de nombreuses informations à partir des paquets VPN.
Ah bon, lesquelles?
Malgré un protocoles SSL (HTTPS) ou un l’utilisation d’un VPN, la technologie DPI peut donc toujours lire ton trafic Internet, les modèles d’identité et créer une empreinte digitale de toi sur la base de ces modèles.
Concrètement ça veut dire quoi? C’est quoi une “empreinte digitale” et que peuvent-ils vraiment lire de mon trafic? La destination? Le contenu?
Parce qu’aux dernières nouvelles c’était plutôt limité à des trucs du genre “ah tu dois regarder une vidéo en streaming… ah non là tu écoutes sans doute de la musique… et ah cette fois tu as juste un navigateur”… Sachant qu’à chaque fois, l’activité première cache les suivantes… et ça, c’est aussi sans compter les VPNs qui s’adaptent pour empêcher ça, par exemple en créant du trafic random sur la ligne encryptée en parallèle de ton trafic réel, ce qui rend la DPI quasi impossible)
-
Salut @7cf148fd
Content de te voir ici !
Désolé pour ma réponse tardive, je suis au boulot et je ne voulais pas dire de conneries non plus
Personnellement et pour être honnête, je ne suis pas assez calé en DPI/VPN pour connaitre la nature exacte des informations que tu demande mais que l’utilisation de VPN ne garantit pas toujours la confidentialité.
– Pour informations, je me suis basé sur les sources suivantes et je ne suis pas allé chercher plus loin :
https://www.securitybind.com/does-a-vpn-protect-against-deep-packet-inspection-by-isps/
https://www.dealarious.com/blog/deep-packet-inspection-dpi-blocks-vpn/
Ce que je comprends c’est que ce serait plutôt des metadata présentes dans l’en-tête de la trame qui donnerais à peu près ce que tu décris plus haut, le type de connexion et flux vidéos utilisés, et notamment le fait que tu établisse tout simplement une connexion VPN. Ce qui pour certains pays est amplement suffisant pour te bloquer l’accès internet ou te considérer comme criminel.
–> Vu ta technicité supérieure à la mienne, si tu as plus d’informations à ce sujet - même si tu l’as déjà fait - qui m’intéresse grandement, je suis preneur à 100 %
V:\> █░░ SPR3AD TH3 C0D3 ░░█ ✌(◕‿-)✌
╚═ Admin, Dev et auteur de la plupart des bugs de PW… -
Salut @7cf148fd
Content de te voir ici !
Désolé pour ma réponse tardive, je suis au boulot et je ne voulais pas dire de conneries non plusPersonnellement et pour être honnête, je ne suis pas assez calé en DPI/VPN pour connaitre la nature exacte des informations que tu demande mais que l’utilisation de VPN ne garantit pas toujours la confidentialité.
– Pour informations, je me suis basé sur les sources suivantes et je ne suis pas allé chercher plus loin :
https://www.securitybind.com/does-a-vpn-protect-against-deep-packet-inspection-by-isps/
https://www.dealarious.com/blog/deep-packet-inspection-dpi-blocks-vpn/
Ce que je comprends c’est que ce serait plutôt des metadata présentes dans l’en-tête de la trame qui donnerais à peu près ce que tu décris plus haut, le type de connexion et flux vidéos utilisés, et notamment le fait que tu établisse tout simplement une connexion VPN. Ce qui pour certains pays est amplement suffisant pour te bloquer l’accès internet ou te considérer comme criminel.
–> Vu ta technicité supérieure à la mienne, si tu as plus d’informations à ce sujet - même si tu l’as déjà fait - qui m’intéresse grandement, je suis preneur à 100 %
@Violence
Le premier article est du clickbait. L’auteur passe son temps d’une phrase à l’autre à parler de ce qui se passe avec le VPN, ou sans, mais peut-être pas…La réponse à la question posée en prélude est d’ailleurs oui sans fioriture, elle est juste enterrée à la fin de l’article: “A VPN would protect you against DPI performed by the ISP (but not by the VPN provider).”
Bref, si tu es connecté à un VPN, le DPI ne permet en rien de lire ton activité entre toi et le serveur VPN.Par ailleurs mes cheveux se hérissent quand je lis des trucs du genre “Your internet service provider is likely hijacking your DNS traffic or running DPI on their network.” Ah bon? Likely? Selon quelle source? Bref.
Le second article, pour sa part, explique comment le DPI peut être utilisé pour bloquer les connexions aux serveurs VPN… C’est tout-à-fait exact mais en tant qu’utilisateur tu es totalement au courant quand ça arrive, vu que ta connexion au serveur VPN échoue.
-
Ce message a été supprimé !
Bonjour ! Vous semblez intéressé par cette conversation, mais vous n’avez pas encore de compte.
Marre de refaire défiler les mêmes messages ? Créez un compte pour retrouver votre position, recevoir des notifications des nouvelles réponses, sauvegarder vos favoris et voter pour les messages que vous appréciez.
Grâce à votre participation, ce message peut devenir encore meilleur 💗
S'inscrire Se connecter