Contourner une censure par DPI (Deep Packet Inspection)

Image illustrant l'article : Contourner une censure par DPI (Deep Packet Inspection)

Contourner une censure par DPI (Deep Packet Inspection)

par Korben -

Si vous êtes dans un pays qui censure internet, il est possible que cela soit fait en utilisant du DPI. DPI signifie Deep Packet Inspection, et cela permet à un gouvernement ou à un fournisseur d’accès internet d’analyser en live tout le contenu des paquets internet qui transitent sur le réseau. Dans le but super sympathique de bloquer les paquets qui ne respecteraient pas la dictature en vigueur.

Alors, comment faire pour contourner ce système d’analyse de paquet sans pour autant faire transiter l’ensemble de votre trafic au travers de Tor ou de systèmes similaires ?

Et bien grâce à GoodbyeDPI. Cet outil disponible pour Windows permet d’agir sur le DPI passif et actif. Concernant le DPI passif, la plupart de ces derniers balancent une redirection HTTP 302 si vous essayez d’accéder à un site Web bloqué via HTTP et un TCP Reset HTTPS, plus rapidement que le site Web de destination.

Le TCP Reset appelé également RST survient lorsqu’un paquet TCP inattendu arrive sur un hôte. Ce dernier répond généralement en renvoyant un paquet de réinitialisations sur la même connexion. Il est sans charge utile, mais avec un bit RST activé dans les drapeaux de l’en-tête TCP.

Par conséquent, les paquets envoyés par le système du DPI ont généralement un champ d’identification IP égal à 0x0000 ou 0x0001, comme c’est le cas avec les fournisseurs russes. C’est là qu’entre en action GoodbyeDPI qui va tout simplement bloquer ces paquets, les empêchant de vous rediriger vers un autre site web comme une page vous informant du blocage.

Schéma illustrant le fonctionnement de DPI

Cela ne nécessite pas de serveur tiers et n’affecte pas la vitesse de connexion internet. Mais ça ne fonctionne pas avec tous les FAI puisque certains utilisent un système de filtrage par DPI actif. Celui-ci est un peu plus complexe à contourner, mais pas impossible.

Pour ce faire, GoodbyeDPI utilise 7 méthodes différentes comme de la fragmentation TCP, des modifications de l’entête des paquets ainsi que l’envoi de faux paquets HTTP / HTTPS avec un faible TTL (time to live), une somme de contrôle incorrecte…etc. dans le but de tromper le système qui ne pourra pas traiter les paquets.

Toutes ces méthodes ne perturbent pas le fonctionnement des sites web que vous visiterez puisqu’elles sont respectueuses de normes TCP et HTTP.

Vous l’aurez compris, ce n’est pas une science exacte, mais c’est cool de savoir que des solutions existent et peuvent permettre de surfer en contourner la censure. Évidemment, cela reste risqué dans certains pays car une analyse plus poussée peut permettre de voir que vous utilisez un système de contournement. Donc prudence.

GoodbyeDPI est télécharge ici et il y a tout un forum d’entraide ici. Et si vous voulez un truc qui fait à peu près la même chose pour macOS et Linux, il y a aussi cet outil nommé SpoofDPI.