GoodbyeDPI в роли «краш-теста» для NGFW: как безболезненно нагрузить корпоративный DPI

Почти любой современный Next-Generation Firewall (NGFW) обещает «видеть сквозь шифр» и ловить самые экзотические приёмы сокрытия трафика. Однако на практике проверить эти заявления бывает сложнее, чем реализовать их в маркетинговой брошюре. Тут на сцену выходит GoodbyeDPI — компактная утилита, способная симулировать десятки хитрых манипуляций с пакетами, которые обычно встречаются лишь в серьёзных лабораторных стендах или гибридных облаках. Она работает поверх драйвера WinDivert и не требует вмешательства в сетевую инфраструктуру — достаточно запустить её на тестовом хосте. 

Зачем это нужно безопасникам

Даже премиальная модель NGFW порадует вас огромным списком сигнатур, инспекций и «умной» аналитикой. Но в реальной сети важнее другое — срабатывают ли эти механизмы на непредсказуемые, «грязные» варианты пакетов, которые никогда не встречаются в финтех-сегменте, но однажды прилетят с ноутбука аудитора. GoodbyeDPI позволяет:

• Дробить TCP-поток на микросегменты и наблюдать, реагирует ли NGFW на аномальный размер MSS.
• Разрывать Host:-заголовок HTTP на несколько пакетов, проверяя, где именно DPI «клеит» строку.
• Играть TTL-значениями, чтобы отлавливать устройства, зависящие от глубины маршрута.
• Динамически менять Window Size, оценивая устойчивость механизмов reassembly.
• Создавать «шум» дополнительными, но легитимными полями TCP-опций, наблюдая, не всплывут ли ложные срабатывания.

Мини-лаборатория: топология и первая кровь

Базовый стенд строится за полчаса:

1. Поднимите виртуальную машину (Windows 10/11) в том же L2-сегменте, где стоит NGFW.
2. Установите WinDivert ( официальный сайт) и распакуйте GoodbyeDPI в удобную директорию.
3. Пропишите на VM статический маршрут через тестируемый NGFW, чтобы трафик шёл строго через него.
4. Запустите, например:
   goodbyedpi.exe -j -w 10 -s 8192
   — с ключами фрагментации HTTP и установки оконного размера.
5. Пустите нагрузку (curl, wget или Selenium-скрипт) на тестовый веб-сервис и смотрите логи NGFW.

В большинстве случаев вы увидите ровно две крайности: либо NGFW пропускает всё как «чистое» HTTPS, либо режет сессии на раннем этапе TLS-рукопожатия. В любом случае это отличный индикатор, что пора переезжать из «лабораторного» режима в боевой.

Разбор полётов: что именно смотреть в логах NGFW

Ниже чек-лист, который мы используем на аудите корпоративных сетей:

• IPS ID. Засветилось ли срабатывание IPS-сигнатуры? Если нет — база требует апдейта.
• DPI Engine Verdict. Видит ли движок отложенную передачу Application ID после фрагментации?
• Session Age / Bytes. Зависла ли сессия в «Established» до тайм-аута?
• Threat Score. Отмечает ли NGFW нестандартные флаги TCP как подозрительные?
• SSL Handshake. Прошёл ли он успешно и за какой шаг его оборвали политики?

Автоматизация экспериментов: CI/CD для NetSec

Единичные прогоны дают «снимок» состояния, но корпоративная сеть живёт и меняется. Подружите GoodbyeDPI с Jenkins или GitLab CI: скрипт дергает разные пресеты ключей, гоняет curl-тесты и каждый раз складывает логи в S3. Так можно построить простую ретроспективу устойчивости NGFW-правил и ловить момент, когда апдейт прошивки сломал DPI.

Лучшие практики и тонкие моменты

• Изолированная подсеть. Никогда не гоните экспериментальный трафик через продуктивный шлюз компании: выделите VLAN или даже отдельный VRF.
• Чёткая политика «чистой машины». После тестов откатывайте снапшот или переустанавливайте систему: WinDivert и драйверы любят оставаться в памяти.
• Снимки PCAP. Записывайте всё в tcpdump/Wireshark — поможет разбирать спорные кейсы с вендором NGFW.
• Версионирование конфигов. Храните пресеты GoodbyeDPI в Git, чтобы видеть, какое сочетание флагов «сломало» политику в конкретном релизе NGFW.
• Согласование с IT-службой. Несмотря на лабораторный характер, утилита работает c сырыми пакетами; убедитесь, что никто случайно не заблокирует ваш тестовый хост системами NAC.

Выводы

GoodbyeDPI — это не «волшебная кнопка», а лабораторный микроскоп для NGFW. Он позволяет без тяжёлых генераторов трафика показать, насколько ваш DPI корректно собирает «сломанную» сессию и где именно правила дают сбой. Когда маркетинговые буклеты обещают миллион TPS и «прозрачность» на канальном уровне, такой микроскоп становится обязательным инструментом здравого скепсиса. А значит — залогом того, что ваш периметр выдержит не только идеальные пакеты из RFC, но и реальный, порой весьма экзотичный трафик корпоративной сети.

Счастливых испытаний — и пусть RST,ACK будет с вами!