Bloqueo de derivación de Tor. Bypass de bloqueo transparente y acceso a la red Tor. ¿Qué quieren lograr la Duma Estatal y Roskomnadzor?
Muchas oficinas han estado bloqueando las redes sociales, los servicios de video, el intercambio de archivos y los sitios de entretenimiento durante bastante tiempo. Algunos incluso bloquean servicios populares de anonimización. De esta manera, los empleadores intentan obligar a los empleados a cumplir con sus deberes inmediatos y no dedicar el tiempo de trabajo al entretenimiento. En este artículo, le contaré paso a paso cómo nosotros, los usuarios comunes, podemos evitar este bloqueo y disfrutar de un acceso ilimitado a Internet.
De hecho, ya se ha inventado todo para nosotros y utilizaremos una solución preparada.
Conoce a Tor.
Tor es un sistema que le permite establecer una conexión de red anónima, que organiza la transferencia de datos en forma encriptada. Mediante el uso Colina los usuarios pueden permanecer en el anonimato cuando visitan sitios web, publican contenido, envían mensajes y usan otras aplicaciones que usan el protocolo TCP. Tecnología Colina también brinda protección contra mecanismos de análisis de tráfico que comprometen no solo el anonimato del usuario, sino también la confidencialidad de los datos.
Sistema Colina fue creado en el laboratorio de investigación de la Marina de los EE. UU. por orden federal. En 2002, decidieron desclasificar este desarrollo y los códigos fuente se transfirieron a desarrolladores independientes que crearon software de cliente y publicaron el código fuente bajo una licencia libre para que todos pudieran verificarlo en busca de errores y puertas traseras.
Terminemos con la teoría y pasemos a la instalación y configuración del sistema.
Vamos a la página de descarga del sistema Tor, donde seleccionamos la opción con la interfaz rusa y descargamos el archivo de instalación. El tamaño del archivo es de unos 25 megabytes.
Ejecute el archivo descargado, seleccione la ubicación de instalación y haga clic en el botón Extraer
Una vez completada la instalación, no aparecerán nuevos accesos directos en nuestro escritorio, por lo que abrimos el directorio en el que instalamos el sistema y ejecutamos el archivo Start Tor Browser.exe desde allí.
Se abrirá una ventana del programa en la que se mostrará el proceso de conexión.
Si su red accede a Internet a través de un servidor proxy, el proceso de conexión se detendrá en la etapa de creación de una conexión cifrada
Haga clic en el botón Configuración
En la ventana que aparece, ve a la pestaña Red
Configuramos todo como se muestra en la figura, especificando su dirección proxy y puerto
Haga clic en el botón Salir
Reiniciar Iniciar Tor Browser.exe
Estamos esperando una conexión al sistema Tor
Después de eso, abrirá el navegador Firefox integrado en el sistema, a través del cual puede visitar de forma anónima cualquier sitio.
Por qué necesitas una VPN
Con los servicios de VPN, puede evitar el bloqueo de sitios que no funcionan en Rusia (por ejemplo, Spotify). Pero esa no es la única razón por la que son necesarios. Los trabajadores remotos y los empleados de las sucursales se conectan a través de VPN a los servicios corporativos, por lo que no ponen en riesgo los datos de la empresa. Las personas que acceden a Internet a través de Wi-Fi público y temen que sus datos sean interceptados también usan VPN para protegerse de los intrusos.
¿Como funciona? Si su computadora generalmente se conecta a Internet a través de un servidor ISP, entonces el servicio VPN establece un túnel entre su computadora y un servidor remoto. Por lo tanto, accede a Internet de forma indirecta. Todos los datos dentro del túnel están encriptados, por lo que el proveedor y los piratas informáticos no saben a dónde va bajo la conexión VPN y qué está haciendo en Internet. Al mismo tiempo, los sitios no ven la verdadera dirección IP de su computadora, ya que está trabajando con la dirección de otra persona. VPN (red privada virtual) crea una red privada segura dentro de Internet no segura.
¿Cómo se bloqueará?
Sargis Darbinyan: “Hay muchas maneras que una persona puede usar: estudie el problema y configure fácilmente su propia VPN, use otras soluciones como Psiphon, Tor, modos turbo del navegador, complementos, compre otro servicio VPN que se preocupe por los usuarios y tome medidas rápidas ” .
¿A qué conducirá el bloqueo?
Artem Kozliuk: “Prácticamente todo el negocio está ligado a VPN. Las redes privadas virtuales de cualquier empresa, desde pequeña hasta grande, están amenazadas. Las fallas de VPN pueden ocurrir en cualquier momento debido a la aplicación incorrecta de la nueva ley. Vemos un número infinito de veces cómo Roskomnadzor hace cumplir estas leyes. En primer lugar, están escritos analfabetamente desde el punto de vista técnico y, en segundo lugar, en el proceso de aplicación de la ley, Roskomnadzor está aumentando este analfabetismo técnico a nuevas proporciones”.
Markus Sarre:: “Todavía no está claro cómo se llevará a cabo la verificación y el control. VPN, a diferencia de la forma anonimizadora, es una red cerrada, y para acceder a ella, debe comprar una suscripción paga e instalar el software. Además, algunos servicios no tienen su propio software y es necesario configurar la conexión manualmente mediante archivos de configuración, claves y certificados. La segunda pregunta es qué tan racional es "golpear" a los usuarios expertos en tecnología que han llegado a usar VPN, Tor y otras herramientas. Después de todo, si una vez encontraron la fuerza y el deseo de eludir la censura, lo harán una y otra vez.
Sargis Darbinyan: “El bloqueo del tráfico VPN por parte de los operadores de telecomunicaciones significa claramente un daño enorme para todo el sector empresarial, la economía digital del país y una disminución de la seguridad de los ciudadanos rusos en el entorno digital global frente a los servicios de inteligencia extranjeros, corporaciones e intrusos que utilizar vulnerabilidades para la vigilancia y el robo de datos. Nadie ha podido cerrar aún al 100% la capacidad de transmitir y recibir información vía VPN, ni siquiera en países asiáticos y musulmanes con regímenes represivos. Los proveedores tienen listas de direcciones IP de las VPN más populares, que actualizan y bloquean con cierta frecuencia. Pero el tráfico VPN también ha aprendido a camuflarse. Un proveedor de VPN puede crear nuevas direcciones IP al menos cada minuto (más un sinfín de IPv6), por lo que será cada vez más difícil y costoso hacerlo.
Las autoridades rusas prohibirán los servicios para eludir el bloqueo. Afecta al navegador Tor, que utiliza la suplantación de direcciones IP múltiples, pero no es tan fácil de superar. Tor proporciona protección contra el bloqueo mediante los llamados "puentes".
Cómo eludir el bloque Tor:
1. Inicie el Navegador Tor y vaya a bridges.torproject.org.
2. Haga clic en Obtener puentes e ingrese los caracteres de la imagen (lo más probable es que no funcione la primera vez).
3. Copie la lista de puentes emitidos.
4. Haga clic en el icono Tor a la izquierda de la barra de direcciones y seleccione "Configuración de red Tor".
5. Seleccione "Mi proveedor de servicios de Internet (ISP) bloquea las conexiones a la red Tor"
6. Haga clic en "Ingresar puentes personalizados".
7. Pegue los puentes que copió anteriormente y haga clic en Aceptar.
8. Reinicie el navegador Tor. Ahora puede visitar sitios que han sido bloqueados de Tor por su ISP.
Si no puede acceder a bridges.torproject.org, envíe un correo electrónico con cualquier contenido a
¿Qué sucede si desea acceder a la red sin restricciones exageradas, pero no desea reemplazar el proxy cada vez que está en el navegador? ¿Qué sucede si desea visitar sitios prohibidos y regulares y, al mismo tiempo, la velocidad a la que se abren los sitios regulares no se ve afectada? ¿Qué sucede si está interesado en saber qué sucede en partes remotas de la red global?
En base a estas consideraciones, debemos:
- Sitios normales abiertos como de costumbre
- Sitios prohibidos abiertos a través de Tor sin configuración
- Todos los sitios en la zona .onion también se abren sin configuración
Por un lado, los requisitos son contradictorios. Por otro lado, ¡qué no puedes hacer por conveniencia!
Uno podría recordar varias formas y medios para eludir DPI, pero si no quiere pensar en nada de eso, sino que incluso desea configurarlo y olvidarlo, entonces no hay análogos de Tor para resolver la tarea en términos de fácil acceso a los sitios bloqueados.
No obtendrá el anonimato completo siguiendo estas instrucciones solo. El anonimato sin medidas OPSEC no es posible. Las instrucciones implican únicamente la elusión de las restricciones.
¿Lo que necesitamos?
Para empezar, necesitamos un enrutador o un servidor que actúe como un puente transparente que pase todo el tráfico a través de sí mismo. Podría ser un servidor existente, podría ser una caja de Raspberry Pi. Los enrutadores compactos comunes con Linux también pueden funcionar, si en principio puede ponerles los paquetes necesarios.
Si ya tiene un enrutador adecuado, entonces no necesita configurar el puente por separado y puede hacerlo.
Si instalar Tor en su enrutador es un problema, entonces necesitará cualquier computadora con dos interfaces de red y Debian Linux a bordo. Eventualmente lo conectará a la brecha de red entre el enrutador, que mira hacia el mundo exterior, y su red local.
Si no a los servidores y enrutadores, entonces tal vez.
Montamos el puente
Configurar un puente en Debian no es un problema. Necesitará el programa brctl, que se encuentra en el paquete bridge-utils:
apt install bridge-utils
La configuración permanente del puente se establece en /etc/network/interfaces. Si está creando un puente desde las interfaces eth0 y eth1, la configuración se verá así:
# Marcar las interfaces como configurables manualmente iface eth0 inet manual iface eth1 inet manual # El puente aparece automáticamente después de reiniciar auto br0 # Puente con adquisición de IP DHCP iface br0 inet dhcp bridge_ports eth0 eth1 # Puente con IP estática iface br0 inet static bridge_ports eth0 eth1 dirección 192.168 .1.2 máscara de red 255.255.255.0 puerta de enlace 192.168.1.1
Debe elegir una configuración para el puente: con una IP dinámica o estática.
Tenga en cuenta que en esta etapa no es necesario incluir el servidor en una interrupción de la red. Puede arreglárselas con una interfaz conectada.
Pidamos al sistema que aplique la nueva configuración:
recarga de red de servicio
Ahora puede verificar la existencia del puente con el comando brctl show:
# brctl show bridge name bridge id STP habilitado interfaces br0 8000.0011cc4433ff no eth0 eth1
Puede ver la dirección IP emitida y, en general, verificar el hecho de que se emitió una IP a través de DHCP o estáticamente, utilizando el comando ip:
# ip --family inet addr show dev br0 scope global 4: br0:
Si todo está en orden con las direcciones IP, ya puede intentar incluir el servidor en una interrupción de la red...
Al final, todos los dispositivos en su red, incluidos a través del servidor, deberían tener acceso completo a la red global como si no hubiera un servidor entre ellos y el enrutador externo. Lo mismo se aplica al funcionamiento de DHCP y otras cosas. Vale la pena revisar todo esto antes de continuar con la configuración de Tor.
Si algo no funciona igual que antes, o no funciona en absoluto, primero debe resolver los problemas y luego continuar con la configuración de Tor.
Configurar el demonio Tor
La instalación de Tor se realiza normalmente. Instalemos también la base de datos de vinculación de países:
apt install tor tor-geoipdb
Al final del archivo de configuración /etc/tor/torrc, debe agregar directivas para habilitar la función del servidor proxy:
VirtualAddrNetworkIPv4 10.0.0.0/8 AutomapHostsOnResolve 1 Transporte 0.0.0.0:9040 DNSPort 0.0.0.0:5300
Reiniciemos Tor y verifiquemos que el DNS en nuestra configuración funcione en algún sitio conocido:
# servicio para reiniciar # dig +short facebookcorewwwi.onion @localhost -p 5300 10.11.127.156
El último comando debe generar la IP de la subred 10.0.0.0/8.
Al reiniciar, Tor en el caso jura usar una IP pública para TransPort y DNSPort, a la que, de hecho, pueden acceder personas ajenas. Arreglemos este malentendido permitiendo solo conexiones desde la red local (en mi caso es 192.168.1.0/24):
iptables -A INPUT -s 192.168.1.0/24 -p tcp --dport 9040 -j ACCEPT -dport 9040 -j DROP iptables -A INPUT -p udp --dport 5300 -j DROP
Las dos últimas reglas se pueden omitir si tiene la regla DROP predeterminada para la cadena INPUT.
Configurar el acceso para toda la red local
Para que todos los dispositivos de la red puedan acceder a sitios en Tor, debemos reenviar todas las solicitudes a la red dedicada 10.0.0.0/8 al puerto del servidor proxy Tor integrado:
iptables -t nat -A PREROUTING -p tcp -d 10.0.0.0/8 -j REDIRECT --to-port 9040 iptables -t nat -A OUTPUT -p tcp -d 10.0.0.0/8 -j REDIRECT --to- puerto 9040
Agregamos dos reglas para las cadenas PREROUTING y OUTPUT para que el esquema funcione no solo desde los dispositivos de la red, sino también desde el propio servidor. Si no se requiere que este esquema funcione desde el propio servidor, se puede omitir la adición de la regla a la cadena de SALIDA.
Reenvío de consultas de DNS a la zona .onion
Este problema podría resolverse reemplazando el servidor DNS por uno propio en las respuestas DHCP a los clientes o, si no es habitual usar un servidor DNS local en su red, interceptando todo el tráfico DNS. En el segundo caso, no necesitará configurar nada en absoluto, pero todos sus clientes, incluido usted, perderán la capacidad de realizar solicitudes arbitrarias a servidores arbitrarios. Este es un inconveniente evidente.
Solo reenviaremos las solicitudes de DNS que mencionen el dominio .onion al puerto del servidor DNS incorporado, dejando las demás solicitudes en paz:
iptables -t nat -A PREROUTING -p udp --dport 53 -m string \ --hex-string "|056f6e696f6e00|" --algo bm -j REDIRECT --to-ports 5300 iptables -t nat -A SALIDA -p udp --dport 53 -m string \ --hex-string "|056f6e696f6e00|" --algo bm -j REDIRECT --a-puertos 5300
La cadena mágica 056f6e696f6e00 está relacionada con las peculiaridades de pasar un punto en las consultas de DNS: se transmite como la longitud de la línea que le sigue. Es por eso que nuestra cadena mágica comienza con 0x05 para los cinco caracteres de la palabra cebolla. Al final de la cadena está el byte nulo 0x00 porque el dominio raíz (punto) tiene una longitud cero.
Este enfoque permite a sus usuarios (y a usted mismo) utilizar cualquier servidor DNS que sea conveniente para ellos, así como solicitar información de cualquier servidor DNS sin intermediarios. Sin embargo, ninguna solicitud en la zona .onion llegará a la Internet abierta.
Ahora intente llegar a algún sitio popular en la red Tor desde cualquier dispositivo en la red local. Por ejemplo, así:
$ curl -I facebookcorewwwi.onion HTTP/1.1 301 Movido permanentemente Ubicación: https://facebookcorewwwi.onion/
Depuración y solución de problemas
Si desea asegurarse de que ninguna solicitud de DNS a .onion vaya más allá del servidor, puede verificar su ausencia de esta manera:
ngrep -q -d br0 -q -W byline cebolla puerto udp 53
Normalmente, este comando, ejecutado en el servidor, no debería mostrar paquetes en absoluto, es decir, no debería mostrar nada que no haya hecho.
Si Firefox no ve .onion
Si esto le molesta, y la perspectiva de una anonimización accidental no le molesta (porque ya no permitimos consultas de DNS a .onion en la Internet abierta), puede deshabilitar esta configuración en about:config usando la clave network.dns.blockDotOnion .
Safari móvil y .onion
Las aplicaciones de iOS, incluidas Safari y Chrome, básicamente ignoran .onion cuando se usan de esta manera. No sé cómo solucionar este problema en el marco de dicho esquema.
Proveedor reemplaza IP en DNS
Algunos proveedores, por razones económicas, en lugar de bloquear sitios por IP o mediante DPI, solo sustituyen IP por solicitudes de DNS de acuerdo con la lista de sitios prohibidos.
La solución más sencilla a este problema sería cambiar a los servidores DNS públicos de Google. Si esto no ayuda, lo que significa que su proveedor redirige todo el tráfico DNS a su servidor en general, entonces puede cambiar a Tor DNS, redirigiendo a su vez todo el tráfico a él:
iptables -t nat -A PREROUTING -p udp --dport 53 -j REDIRECT --to-ports 5300 iptables -t nat -A OUTPUT -p udp --dport 53 -j REDIRECT --to-ports 5300
Mi red usa IPs desde 10.0.0.0/8
¡No hay problema! En todas las directivas anteriores, use alguna otra subred de las proporcionadas para esto, excluyendo las reservadas. En serio, presta atención a los reservados.
Además, no es necesario usar todo el rango a la vez; puede limitarse a una subred. Por ejemplo, 10.192.0.0/10 servirá.
Omitir el bloqueo a través de Tor
Para acceder a sitios bloqueados a través de Tor, primero debe asegurarse de no cambiar la aguja por jabón, utilizando nodos de salida sujetos a las mismas restricciones que usted debido a la ubicación geográfica. Esto se puede hacer especificando en torrc los nodos de salida en los que no se pueden usar los países.
Excluir nodos de salida (RU), (UA), (BY)
Actualización del registro
El registro no se detiene y la lista de sitios bloqueados se repone. Por lo tanto, debe descargar la lista real de direcciones IP de vez en cuando y agregarla a ipset. La mejor manera de hacer esto no es descargar la lista completa cada vez, sino descargar solo los cambios, por ejemplo, desde aquí en GitHub.
#!/bin/bash set -e mkdir -p /var/local/lista negra cd /var/local/lista negra git pull -q || clon de git https://github.com/zapret-info/z-i.git. ipset flush lista negra cola +2 dump.csv | cortar -f1 -d \; | grep-Eo "{1,3}\.{1,3}\.{1,3}\.{1,3}" | tee /var/local/lista negra/lista negra.txt | xargs -n1 ipset agregar lista negra
Es posible eliminar y agregar solo las IP que han cambiado en la lista, para lo cual es posible que necesite git whatchanged.
Si el script anterior le conviene, debería estar en /etc/cron.daily/blacklist-update. No olvide otorgar permisos de ejecución a este archivo.
chmod +x /etc/cron.daily/blacklist-update
Guardar ajustes
apt install iptables-persistente
dpkg-reconfigure iptables-persistente
Desafortunadamente, todavía no existe un paquete tan conveniente para ipset, pero este problema se resuelve con el script /etc/network/if-pre-up.d/ipset:
#!/bin/sh ipset -exist crear hash de lista negra: ip cat /var/local/blacklist/blacklist.txt | xargs -n1 ipset agregar -exist lista negra
Asegúrese de darle a este script el derecho de ejecución:
chmod +x /etc/network/if-pre-up.d/ipset
En el próximo reinicio, este script se ejecutará y restaurará la lista de direcciones IP bloqueadas.
Si te olvidas de los servidores...
De acuerdo, dime, ¿qué pasa si quiero obtener el mismo acceso conveniente a .onion, pero sin servidores, localmente, en la misma computadora?
¡No hay problema! En este caso, todo es aún más simple. Deja de agregar estas tres líneas a torrc:
AutomapHostsOnResolve 1 Transporte 9040 DNSPort 5300
Entonces estas dos reglas para iptables:
iptables -t nat -A SALIDA -p tcp -d 127.192.0.0/10 -j REDIRECT --to-port 9040 iptables -t nat -A SALIDA -p udp --dport 53 -m string \ --hex-string " |056f6e696f6e00|" --algo bm -j REDIRECT --a-puertos 5300
Y puedes comprobar. El acceso a los sitios bloqueados se configura de acuerdo con las instrucciones anteriores.
una cucharada de alquitrán
A pesar de su simplicidad y conveniencia, este enfoque hereda algunas de las deficiencias de la red Tor.
Accede a sitios prohibidos en la red en nombre de nodos de salida, que brinda a los administradores de nodos de salida la capacidad fundamental de observar su tráfico y sus contraseñas si el sitio de destino no está encriptado (debe ser https al comienzo de la dirección o un candado verde 🔒 en la barra de direcciones).
Uno esperaría que los administradores de dichos sitios no lo siguieran para dormir bien, pero...
Si accede a un sitio a través de una conexión no segura, ya sea a través de Tor directamente, siempre debe tener en cuenta que sus nombres de usuario y contraseñas básicamente puede terminar en una carpeta con cartas en la mesa de una persona en uniforme.
¡Eso es todo!
¿Todavía hay algo que no está claro? ¿Hay algo que necesites arreglar o hay algo que te haya gustado especialmente? Escribe abajo en los comentarios.
Con una iniciativa así, el Internet gratuito se hace más pequeño ante nuestros ojos. Al mismo tiempo, la mayoría de los usuarios están seguros de que Tor y VPN no se pueden limitar de ninguna manera. Le preguntamos a Mikhail Lisnyak, el creador de Zenrus, un servicio de meditación para rastrear las cotizaciones de divisas y los precios del petróleo, y profesor de la Escuela de Codificación de Moscú, cuya inscripción al curso comenzó hoy, para obtener asesoramiento sobre este asunto.
VPN, en pocas palabras, es la creación de una red virtual sobre otra red, como nuestra Internet. Es decir, se crea un canal encriptado entre el usuario y el servidor VPN, a través del cual el usuario se conecta a otra red, y resulta que una persona de Moscú accede a Internet como si fuera, por ejemplo, de Ámsterdam. Ahora estamos considerando una de las opciones de VPN, que se refiere a las noticias, en general, hay muchos más tipos y aplicaciones diferentes, pero los principios de su trabajo son absolutamente los mismos.
Tor es un sistema de enrutamiento basado en el cifrado y una red distribuida de nodos intermediarios (también pueden ser usuarios ordinarios de Tor). Al conectarse a Tor, el cliente recopila una lista de nodos intermediarios disponibles, selecciona varios de ellos y cifra cada paquete enviado a su vez con las claves de los nodos seleccionados. Además, este paquete cifrado con varias claves se envía al primer nodo intermediario (de entrada). Ese nodo descifra su clave y envía el paquete más allá, el segundo nodo descifra la suya, y así sucesivamente. Al final, el último nodo descifra la última "capa" y envía el paquete a Internet. Puede imaginar esto como una cebolla, de la cual cada nodo posterior elimina una capa. En realidad, así es como significa Tor: The Onion Routing, es decir, "enrutamiento cebolla". Dado que casi toda la ruta del paquete está encriptada y nadie, excepto el nodo de entrada, conoce el remitente del paquete, el sistema garantiza el anonimato y la seguridad del tráfico.
Pero puedes bloquear Tor para que no funcione. Primero, el cliente Tor debe obtener de alguna manera una lista de nodos de entrada. Para ello, el cliente se conecta al registro raíz de estos nodos. Si bloquea el acceso a este servidor raíz, el cliente no podrá obtener una lista de los nodos de entrada de la red y, naturalmente, no podrá conectarse a la red. Hay una forma manual de recibir nodos (por ejemplo, por correo), pero esto, en primer lugar, no es muy conveniente y, en segundo lugar, si las autoridades de supervisión encuentran las direcciones de estos nodos, aún pueden bloquearse de inmediato.
Además, existe un sistema como DPI, un sistema de filtrado y análisis de paquetes. Ahora, gradualmente, los proveedores están introduciendo este sistema en Rusia. Es bastante caro, por lo que no todos los proveedores lo utilizan. Pero eso es por ahora. Creo que en un futuro próximo todos los proveedores de red troncal lo instalarán. Este sistema puede analizar el tráfico a bajo nivel, determinar el tipo de este tráfico (incluso encriptado, pero sin recibir el contenido en sí), filtrarlo y, si es necesario, bloquearlo. Ahora estos sistemas ya son capaces de detectar el tráfico de Tor según ciertos criterios. Tor, en respuesta, ideó un sistema de enmascaramiento de tráfico (obfsproxy), pero gradualmente están aprendiendo a determinarlo. Y usar todo esto es cada vez más difícil para el usuario promedio.
Si las autoridades quieren, bloquearán todo para la gran mayoría de usuarios. Los geeks particularmente obstinados podrán encontrar lagunas, pero para el usuario promedio esta no es una opción.
Es decir, Tor se puede prohibir en todo el país usando el mismo DPI. Cuando introduzcan la responsabilidad penal por el uso de dicho software, rápidamente llevarán a cabo varios juicios, y este será el final de la mayor parte. Todavía no hay reemplazos sensatos para Tor. El mismo i2p está prohibido de la misma manera. Ahora bloquear Tor no es fácil, costoso, pero bastante factible si el estado realmente lo quiere.
En general, todo ya ha sido inventado y utilizado, por ejemplo, en la gloriosa China. Los hosts conocidos se bloquean, el DPI analiza el tráfico y los paquetes determinados se bloquean (y la información del remitente se envía al lugar correcto). Además, hay un sistema de "conexión directa", cuando un paquete sospechoso se "suspende" a algún servidor en el Gran Cortafuegos, y el propio cortafuegos realiza la misma solicitud a este servidor y analiza la respuesta. Y luego, según varios criterios, se determina si es posible o no.
Si las autoridades quieren, bloquearán todo para la gran mayoría de usuarios. Por supuesto, especialmente los geeks obstinados podrán encontrar lagunas, se cubrirán, habrá nuevas lagunas; este es un proceso eterno, como sucede con los virus y antivirus. Pero para el usuario promedio, esta no es una opción. Además, siempre existe la oportunidad de introducir listas blancas o simplemente cerrar completamente la Internet externa. Pero espero que no llegue a eso.
