Глубокая проверка пакетов

Процедуры проверки сетевых данных

Глубокая проверка пакетов ( DPI ) — это тип обработки данных, который подробно проверяет данные, отправляемые по компьютерной сети , и может предпринимать такие действия, как оповещение, блокировка, изменение маршрутизации или регистрация соответствующих действий. Глубокая проверка пакетов часто используется для определения базового поведения приложений, анализа использования сети, устранения неполадок в работе сети, обеспечения правильного формата данных, проверки на наличие вредоносного кода, подслушивания и интернет-цензуры ^[1] среди других целей. ^{[2] Для} IP-пакетов существует несколько заголовков ; сетевому оборудованию для нормальной работы необходимо использовать только первый из них ( заголовок IP ), но использование второго заголовка (например, TCP или UDP ) обычно считается поверхностной проверкой пакетов (обычно называемой проверкой пакетов с отслеживанием состояния ), несмотря на это определение. . ^[3]

Существует несколько способов получения пакетов для глубокой проверки пакетов. Использование зеркалирования портов (иногда называемое Span Port ) является очень распространенным способом, а также физической вставкой сетевого отвода , который дублирует и отправляет поток данных в инструмент-анализатор для проверки.

Глубокая проверка пакетов (и фильтрация) обеспечивает расширенное управление сетью , обслуживание пользователей и функции безопасности , а также сбор данных в Интернете , подслушивание и цензуру в Интернете . Хотя DPI уже много лет используется для управления Интернетом, некоторые сторонники сетевого нейтралитета опасаются, что этот метод может быть использован в антиконкурентных целях или для снижения открытости Интернета. ^[4]

DPI используется в широком спектре приложений, на так называемом «корпоративном» уровне (корпорации и более крупные учреждения), у поставщиков телекоммуникационных услуг и в правительстве. ^[5]

Фон

Технология DPI может похвастаться долгой и технологически развитой историей, начавшейся в 1990-х годах, до того, как эта технология вошла в то, что сегодня считается обычным, массовым развертыванием. Эта технология берет свое начало более чем 30 лет назад, когда многие пионеры предоставили свои изобретения для использования участниками отрасли, например, посредством общих стандартов и ранних инноваций, таких как следующие:

• РМОН
• Нюхач
• Вайршарк

Основные функции DPI включают анализ заголовков пакетов и полей протокола. Например, Wireshark предлагает важные функции DPI благодаря своим многочисленным диссекторам, которые отображают имена и содержимое полей и, в некоторых случаях, предлагают интерпретацию значений полей.

Некоторые решения безопасности, предлагающие DPI, сочетают в себе функциональность системы обнаружения вторжений (IDS) и системы предотвращения вторжений (IPS) с традиционным брандмауэром с отслеживанием состояния . ^[6] Эта комбинация позволяет обнаруживать определенные атаки, которые ни IDS/IPS, ни межсетевой экран с отслеживанием состояния не могут отразить самостоятельно. Межсетевые экраны с отслеживанием состояния, хотя и способны видеть начало и конец потока пакетов, не могут самостоятельно перехватывать события, которые выходят за рамки определенного приложения. Хотя IDS способны обнаруживать вторжения, у них очень мало возможностей для блокировки таких атак. DPI используются для предотвращения атак вирусов и червей на скорости передачи данных. В частности, DPI может быть эффективен против атак на переполнение буфера, атак типа «отказ в обслуживании» (DoS), сложных вторжений и небольшого процента червей, умещающихся в одном пакете. ^[7]

Устройства с поддержкой DPI имеют возможность просматривать уровень 2 и за пределами уровня 3 модели OSI . В некоторых случаях DPI можно использовать для просмотра уровней 2–7 модели OSI. Сюда входят заголовки и структуры протоколов данных, а также полезная нагрузка сообщения. Функциональность DPI активируется, когда устройство просматривает или выполняет другие действия на основе информации за пределами уровня 3 модели OSI. DPI может идентифицировать и классифицировать трафик на основе базы данных сигнатур, которая включает информацию, извлеченную из части данных пакета, что обеспечивает более точный контроль, чем классификация, основанная только на информации заголовка. Во многих случаях конечные точки могут использовать методы шифрования и запутывания, чтобы избежать действий DPI.

Классифицированный пакет может быть перенаправлен, помечен/маркирован (см. качество обслуживания ), заблокирован, ограничен по скорости и, конечно же, передан отчетному агенту в сети. Таким образом, могут быть идентифицированы и отправлены на анализ HTTP-ошибки различных классификаций. Многие устройства DPI могут идентифицировать потоки пакетов (а не анализировать пакет за пакетом), позволяя выполнять действия по управлению на основе накопленной информации о потоке. ^[8]

На уровне предприятия

Первоначально безопасность на уровне предприятия была просто дисциплиной по периметру, с доминирующей философией предотвращения доступа неавторизованных пользователей и защиты авторизованных пользователей от внешнего мира. Наиболее часто используемым инструментом для достижения этой цели является межсетевой экран с отслеживанием состояния. Он может разрешить детальный контроль доступа из внешнего мира к заранее определенным местам назначения во внутренней сети, а также разрешить обратный доступ к другим хостам только в том случае, если запрос к внешнему миру был сделан ранее. ^[9]

Однако на сетевых уровнях существуют уязвимости, которые не видны межсетевому экрану с отслеживанием состояния. Кроме того, рост использования ноутбуков на предприятиях затрудняет предотвращение проникновения таких угроз, как вирусы , черви и шпионское ПО , в корпоративную сеть, поскольку многие пользователи подключают ноутбуки к менее безопасным сетям, таким как домашние широкополосные соединения или беспроводные сети в общественных местах. Брандмауэры также не различают разрешенное и запрещенное использование приложений, к которым разрешен законный доступ. DPI позволяет ИТ-администраторам и специалистам по безопасности устанавливать политики и обеспечивать их соблюдение на всех уровнях, включая уровень приложений и пользователей, чтобы помочь в борьбе с этими угрозами. ^{[10] [11]}

Deep Packet Inspection способен обнаружить несколько видов атак переполнения буфера .

DPI может использоваться предприятием для предотвращения утечки данных (DLP). Когда пользователь электронной почты пытается отправить защищенный файл, ему может быть предоставлена ​​информация о том, как получить надлежащее разрешение на отправку файла. ^{[12] [ необходим пример ] [ необходимо пояснение ]}

У сетевых/интернет-провайдеров

Помимо использования DPI для защиты своих внутренних сетей, интернет-провайдеры также применяют его в общедоступных сетях, предоставляемых клиентам. Интернет-провайдеры обычно используют DPI для законного перехвата , определения и обеспечения соблюдения политики , целевой рекламы , качества обслуживания , предложения многоуровневых услуг и защиты авторских прав .

Законный перехват

Практически все правительства мира требуют от поставщиков услуг предоставления законных возможностей перехвата. Десятилетия назад в устаревшей телефонной среде эта проблема была решена путем создания точки доступа к трафику (TAP) с использованием перехватывающего прокси-сервера , который подключается к правительственному оборудованию наблюдения. Компонент приобретения этой функциональности может быть обеспечен разными способами, включая DPI, продукты с поддержкой DPI, которые «совместимы с LI или CALEA », могут использоваться – по решению суда – для доступа к потоку данных пользователя. ^[13]

Определение и обеспечение соблюдения политики

Поставщики услуг, обязанные по соглашению об уровне обслуживания со своими клиентами предоставлять определенный уровень обслуживания и в то же время обеспечивать соблюдение политики приемлемого использования , могут использовать DPI для реализации определенных политик, которые охватывают нарушения авторских прав, незаконные материалы и несправедливые действия. использование полосы пропускания . В некоторых странах интернет-провайдеры обязаны выполнять фильтрацию в зависимости от законодательства страны. DPI позволяет поставщикам услуг «легко узнать, какие пакеты информации вы получаете в Интернете — от электронной почты до веб-сайтов, до совместного использования музыки, видео и загрузки программного обеспечения». ^[14] Могут быть определены политики, разрешающие или запрещающие подключение к IP-адресу или с него, определенные протоколы или даже эвристики , которые идентифицируют определенное приложение или поведение.

Таргетированная реклама

Поскольку интернет-провайдеры маршрутизируют трафик всех своих клиентов, они могут очень детально отслеживать привычки просмотра веб-страниц, что позволяет им получать информацию об интересах своих клиентов, которая может быть использована компаниями, специализирующимися на целевой рекламе. Таким образом отслеживаются не менее 100 000 клиентов в США, и до 10% клиентов в США отслеживаются таким образом. ^[15] Среди поставщиков технологий — NebuAd , Front Porch и Phorm . В число американских интернет-провайдеров , контролирующих своих клиентов, входят Knology ^[16] и Wide Open West . Кроме того, британский интернет-провайдер British Telecom допустил тестирование решений Phorm без ведома и согласия своих клиентов. ^[15]

Качество обслуживания

DPI можно использовать против сетевого нейтралитета .

Такие приложения, как одноранговый (P2P) трафик, создают все больше проблем для поставщиков услуг широкополосного доступа. Обычно P2P-трафик используется приложениями, осуществляющими обмен файлами. Это могут быть файлы любого типа (например, документы, музыка, видео или приложения). Из-за часто большого размера передаваемых медиафайлов P2P приводит к увеличению нагрузки на трафик, что требует дополнительной пропускной способности сети. Поставщики услуг утверждают, что меньшинство пользователей генерируют большие объемы P2P-трафика и снижают производительность большинства абонентов широкополосного доступа, использующих такие приложения, как электронная почта или просмотр веб-страниц, которые используют меньшую пропускную способность. ^[17] Плохая производительность сети увеличивает неудовлетворенность клиентов и приводит к снижению доходов от услуг.

DPI позволяет операторам перепродавать доступную пропускную способность, обеспечивая при этом справедливое распределение пропускной способности среди всех пользователей, предотвращая перегрузку сети. Кроме того, более высокий приоритет может быть присвоен вызову VoIP или видеоконференции, для которого требуется низкая задержка, по сравнению с просмотром веб-страниц, который этого не требует. ^[18] Это подход, который используют поставщики услуг для динамического распределения полосы пропускания в соответствии с трафиком, проходящим через их сети.

Многоуровневые услуги

Поставщики услуг мобильной и широкополосной связи используют DPI как средство реализации многоуровневых планов обслуживания, чтобы отличать услуги « огороженного сада » от услуг передачи данных «с добавленной стоимостью», «все, что вы можете съесть» и «один размер подходит всем». . ^[19] Имея возможность взимать плату за «огороженный сад», за приложение, за услугу или за «все, что вы можете съесть», а не за пакет «один размер подходит всем», оператор может адаптировать свою предложения отдельным подписчикам и увеличить их средний доход на пользователя (ARPU). Политика создается для каждого пользователя или группы пользователей, а система DPI, в свою очередь, обеспечивает соблюдение этой политики, предоставляя пользователю доступ к различным службам и приложениям.

Защита авторских прав

Владельцы авторских прав иногда просят интернет-провайдеров или требуют от судов или официальной политики помочь обеспечить соблюдение авторских прав. В 2006 году один из крупнейших интернет-провайдеров Дании, Tele2 , получил судебный запрет и предписал ему заблокировать своим клиентам доступ к The Pirate Bay , точке запуска BitTorrent . ^[20]

Вместо того, чтобы по одному преследовать владельцев файлов, ^[21] Международная федерация фонографической индустрии (IFPI) и большая четверка звукозаписывающих компаний EMI , Sony BMG , Universal Music и Warner Music подали в суд на интернет-провайдеров, таких как Eircom, за недостаточность действий. о защите своих авторских прав. ^[22] IFPI хочет, чтобы интернет-провайдеры фильтровали трафик, чтобы удалить из своей сети незаконно загруженные и загруженные материалы, защищенные авторским правом, несмотря на европейскую директиву 2000/31/EC, в которой четко указано, что на интернет-провайдеров не может быть возложено общее обязательство контролировать информацию, которую они передают, и директива 2002/58/EC, предоставляющая европейским гражданам право на конфиденциальность сообщений.

Американская ассоциация кинематографистов (MPAA), которая обеспечивает соблюдение авторских прав на фильмы, вместе с Федеральной комиссией по связи (FCC) заняла позицию , согласно которой сетевой нейтралитет может нанести вред таким методам борьбы с пиратством, как глубокая проверка пакетов и другие формы фильтрации. ^[23]

Статистика

DPI позволяет интернет-провайдерам собирать статистическую информацию о моделях использования по группам пользователей. Например, может быть интересно, используют ли пользователи с 2-мегабитным соединением сеть иначе, чем пользователи с 5-мегабитным соединением. Доступ к данным о тенденциях также помогает планированию сети. ^{[ нужны разъяснения ]}

Правительствами

Помимо использования DPI для обеспечения безопасности своих сетей, правительства Северной Америки, Европы и Азии используют DPI для различных целей, таких как наблюдение и цензура . Многие из этих программ засекречены. ^[24]

Китай

Правительство Китая использует глубокую проверку пакетов для мониторинга и цензуры сетевого трафика и контента, который, по его утверждению, наносит вред китайским гражданам или государственным интересам. Этот материал включает порнографию, информацию о религии и политическом инакомыслии. ^[25] Китайские сетевые интернет-провайдеры используют DPI, чтобы определить, проходит ли через их сеть какое-либо конфиденциальное ключевое слово. В этом случае соединение будет разорвано. Люди в Китае часто блокируются при доступе к веб-сайтам, содержащим контент, связанный с независимостью Тайваня и Тибета , Фалуньгун , Далай-ламой , протестами на площади Тяньаньмэнь и резней 1989 года , политическими партиями, выступающими против правящей Коммунистической партии, и т. д. антикоммунистических движений ^[26] , поскольку эти материалы уже были подписаны чувствительными ключевыми словами DPI. Ранее Китай блокировал весь VoIP-трафик, входящий и исходящий из своей страны ^[27] , но многие доступные VoIP-приложения теперь работают в Китае. Голосовой трафик в Skype не затрагивается, хотя текстовые сообщения подлежат фильтрации, а сообщения, содержащие конфиденциальный материал, например ругательства, просто не доставляются без уведомления ни одного из участников разговора. Китай также блокирует сайты визуальных медиа, такие как YouTube.com, а также различные сайты с фотографиями и блогами. ^[28]

Египет

Сообщается, что с 2015 года Египет начал присоединяться к этому списку, который постоянно опровергался представителями Египетского национального органа регулирования электросвязи (NTRA). Однако в новостях стало известно, что страна решила заблокировать приложение для зашифрованного обмена сообщениями Signal , как объявил разработчик приложения. ^[29]

В апреле 2017 года в стране были заблокированы все приложения VoIP , включая FaceTime , Facebook Messenger , Viber , звонки в WhatsApp и Skype. ^[30]

С 2022 года FaceTime и Facebook Messenger разблокированы.

Индонезия

Правительство Индонезии через Telkom Indonesia, ^[31] при поддержке технологии Cisco Meraki DPI, осуществляет наблюдение по всей стране посредством глубокой проверки пакетов, ^[32] и сопоставляет его с SSN/NIK (Nomor Induk Kependudukan) своих зарегистрированных граждан. государственному интернет-провайдеру. Цель глубокой проверки пакетов, включая фильтрацию порнографии, разжигания ненависти и снижение напряженности в Западном Папуа. ^[33] Правительство Индонезии планировало вывести эпиднадзор на новый уровень до 2030 года. ^[34]

Иран

Правительство Ирана приобрело систему, как сообщается, для глубокой проверки пакетов, в 2008 году у Nokia Siemens Networks (NSN) (совместное предприятие Siemens AG, немецкого конгломерата, и Nokia Corp., финской компании сотовой связи), теперь NSN - это Nokia Solutions. и Networks, согласно сообщению Wall Street Journal в июне 2009 года со ссылкой на представителя NSN Бена Рума. ^[35] По мнению неназванных экспертов, упомянутых в статье, система «позволяет властям не только блокировать общение, но и отслеживать его для сбора информации о людях, а также изменять ее в целях дезинформации».

Система была приобретена компанией Telecommunication Infrastructure Co., входящей в телекоммуникационную монополию иранского правительства. По данным журнала , NSN «поставила оборудование Ирану в прошлом году в соответствии с международно признанной концепцией «законного перехвата», сказал г-н Рум. ^{[ нужна ссылка ]} Это касается перехвата данных в целях борьбы с терроризмом, детской порнографией, незаконным оборотом наркотиков. и другие преступные действия, осуществляемые в Интернете, - такая возможность есть у большинства, если не у всех телекоммуникационных компаний, сказал он... Центр мониторинга, который Nokia Siemens Networks продала Ирану, был описан в брошюре компании как позволяющий «мониторинг и перехват все виды передачи голоса и данных во всех сетях». Совместное предприятие вышло из бизнеса, включавшего оборудование для мониторинга, то, что оно назвало «разведывательным решением», в конце марта, продав его Perusa ^[36] Partners Fund 1 LP, инвестиционной фирме со штаб-квартирой в Мюнхене , сообщил г-н Ром. Он сказал, что компания решила, что это больше не является частью ее ^{основного бизнеса .}

Система NSN последовала за покупками Ирана у Secure Computing Corp. в начале десятилетия. ^[37]

Были подняты вопросы о достоверности отчета журнала Дэвидом Айзенбергом, независимым аналитиком из Вашингтона, округ Колумбия , адъюнкт-ученым Института Катона , в котором конкретно говорится, что г-н Рум отрицает приписываемые ему цитаты и что он, Изенберг, также имел аналогичные жалобы с одним из тех же репортеров журнала в более ранней статье. ^[38] NSN опубликовала следующее опровержение: NSN «не предоставила Ирану каких-либо возможностей глубокой проверки пакетов, веб-цензуры или интернет-фильтрации». ^[39] В параллельной статье в The New York Times говорилось, что продажа NSN была освещена в «потоке новостей в апреле [2009 года», включая The Washington Times », и рассматривалась цензура Интернета и других средств массовой информации в стране. но не упомянул DPI. ^[40]

По словам Валида Аль-Сакафа, разработчика программы обхода интернет-цензуры Alkasir , в феврале 2012 года Иран использовал глубокую проверку пакетов, в результате чего скорость интернета по всей стране практически остановилась. Это на короткое время лишило доступ к таким инструментам, как Tor и Alkasir. ^[41]

Малайзия

Сообщается, что действующее правительство Малайзии, возглавляемое Барисаном Насионалом, использовало ДОИ против политического оппонента во время подготовки к 13-м всеобщим выборам, состоявшимся 5 мая 2013 года.

Целью DPI в данном случае было заблокировать и/или затруднить доступ к выбранным веб-сайтам, например, учетным записям Facebook, блогам и новостным порталам. ^{[42] [43]}

Российская Федерация

DPI пока не обязателен в России. Федеральный закон №139 предписывает блокировать сайты в черном списке российского Интернета с помощью IP-фильтрации, но не обязывает интернет-провайдеров анализировать информационную часть пакетов. Тем не менее, некоторые интернет-провайдеры по-прежнему используют различные решения DPI для внесения в черный список. В 2019 году правительственное агентство Роскомнадзор планирует развернуть DPI по всей стране после пилотного проекта в одном из регионов страны, ориентировочная стоимость которого составит 20 миллиардов рублей (300 миллионов долларов США). ^[44]

Некоторые правозащитники ^{[ кто? ]} считают глубокую проверку пакетов противоречащей статье 23 Конституции Российской Федерации , хотя юридического процесса для доказательства или опровержения так и не было. ^{[ нужна ссылка ] [45]}

Сингапур

Сообщается, что в городе-штате применяется глубокая проверка пакетов интернет-трафика. ^[46]

Сирия

Сообщается, что государство использует глубокую проверку пакетов интернет-трафика для анализа и блокировки запрещенного транзита.

Соединенные Штаты

FCC принимает требования Internet CALEA : FCC в соответствии со своим мандатом Конгресса США и в соответствии с политикой большинства стран мира потребовала, чтобы все поставщики телекоммуникационных услуг, включая интернет-услуги, были способны поддерживать исполнение постановления суда. для обеспечения криминалистики общения определенных пользователей в режиме реального времени. В 2006 году FCC приняла новые правила Раздела 47, Подраздел Z, требующие от провайдеров доступа в Интернет соблюдать эти требования. DPI была одной из платформ, необходимых для удовлетворения этого требования, и была развернута с этой целью по всей территории США.

Агентство национальной безопасности (АНБ) в сотрудничестве с AT&T Inc. использовало Deep Packet Inspection, чтобы сделать наблюдение, сортировку и пересылку интернет-трафика более интеллектуальными. DPI используется для определения того, какие пакеты передают электронную почту или телефонный звонок по протоколу передачи голоса по Интернету (VoIP). ^[47] Трафик, связанный с общей магистральной сетью AT&T, «разделялся» между двумя волокнами, разделяя сигнал так, чтобы 50 процентов мощности сигнала приходилось на каждое выходное волокно. Одно из выходных волокон было перенаправлено в охраняемую комнату; другой обеспечивал связь с коммутационным оборудованием AT&T. В защищенной комнате находились анализаторы трафика и логические серверы Narus ; Нарус заявляет, что такие устройства способны собирать данные в реальном времени (записывать данные для рассмотрения) и захватывать их со скоростью 10 гигабит в секунду. Определенный трафик был выбран и отправлен по выделенной линии в «центральный пункт» для анализа. Согласно показаниям свидетеля-эксперта Дж. Скотта Маркуса, бывшего старшего советника по интернет-технологиям Федеральной комиссии по связи США, перенаправленный трафик «представлял весь или практически весь пиринговый трафик AT&T в районе залива Сан-Франциско» и таким образом, «разработчики… конфигурации не предприняли попыток с точки зрения местоположения или положения разветвления волокна исключить источники данных, состоящие в основном из внутренних данных». ^[48] ​​Программное обеспечение семантического анализатора трафика Narus, которое работает на серверах IBM или Dell Linux с использованием DPI, сортирует IP-трафик со скоростью 10 Гбит/с, чтобы выбрать конкретные сообщения на основе целевого адреса электронной почты, IP-адреса или, в случае VoIP, номер телефона. ^[49] Президент Джордж Буш и генеральный прокурор Альберто Р. Гонсалес заявили, что, по их мнению, президент имеет полномочия отдавать приказы о тайном прослушивании телефонных разговоров и электронной почты между людьми внутри Соединенных Штатов и их контактами за рубежом без получения разрешения FISA . ордер. ^[50]

Агентство оборонных информационных систем разработало сенсорную платформу, использующую глубокую проверку пакетов. ^[51]

Вьетнам

Вьетнам запустил свой центр сетевой безопасности и потребовал от интернет-провайдеров обновить свои аппаратные системы, чтобы использовать глубокую проверку пакетов для блокировки интернет-трафика. ^{[52] [53]}

Индия

Известно , что индийский интернет-провайдер Jio , который также является крупнейшим сетевым оператором в Индии, использует сложные методы DPI, такие как фильтрация на основе SNI , для обеспечения соблюдения цензуры. ^{[54] [55]}

Пакистан

Управление электросвязи Пакистана (PTA) заявляет, что система DPI была установлена ​​для реализации Закона о предотвращении электронных преступлений (PECA) 2016 года, в частности, для фильтрации и блокировки кощунственного контента и любых материалов, которые считаются противоречащими целостности или безопасности Пакистана. . ^[56] Канадская фирма Sandvine заключила контракт на поставку и установку оборудования в Пакистане. ^[57]

Сетевой нейтралитет

Люди и организации, обеспокоенные конфиденциальностью или нейтральностью сети , считают проверку уровней контента интернет-протокола оскорбительной, ^[13] заявляя, например, что «Сеть была построена на открытом доступе и недискриминации пакетов!» ^[58] Критики правил сетевого нейтралитета, между тем, называют их «решением в поисках проблемы» и говорят, что правила сетевого нейтралитета уменьшат стимулы к обновлению сетей и запуску сетевых услуг следующего поколения . ^[59]

Многие считают, что глубокая проверка пакетов подрывает инфраструктуру Интернета. ^[60]

Шифрование и туннелирование, разрушающее DPI

Глубокая проверка SSL/TLS

С увеличением использования HTTPS и конфиденциального туннелирования с использованием VPN эффективность DPI оказывается под вопросом. ^[61] В ответ многие брандмауэры веб-приложений теперь предлагают проверку HTTPS , при которой они расшифровывают HTTPS-трафик для его анализа. ^[62] WAF может либо прекратить шифрование, чтобы соединение между WAF и клиентским браузером использовало обычный HTTP, либо повторно зашифровать данные с использованием собственного сертификата HTTPS, который необходимо заранее распространить среди клиентов . ^[63] Методы, используемые при проверке HTTPS/SSL (также известной как перехват HTTPS/SSL), аналогичны методам, используемым при атаках «человек посередине» (MiTM) ^[64]

Это работает следующим образом: ^{[ нужна ссылка ]}

1. Клиент хочет подключиться к https://www.targetwebsite.com.
2. Трафик проходит через брандмауэр или продукт безопасности
3. Брандмауэр работает как прозрачный прокси.
4. Брандмауэр создает SSL-сертификат , подписанный собственным «CompanyFirewall CA » .
5. Брандмауэр представляет клиенту подписанный сертификат «CompanyFirewall CA » (а не сертификат targetwebsite.com).
6. В то же время межсетевой экран самостоятельно подключается к https://www.targetwebsite.com.
7. targetwebsite.com представляет свой официально подписанный сертификат (подписанный доверенным центром сертификации )
8. Брандмауэр самостоятельно проверяет цепочку доверия сертификатов
9. Брандмауэр теперь работает по принципу «человек посередине» .
10. Трафик от Клиента будет расшифрован (с помощью информации об обмене ключами от Клиента), проанализирован (на предмет вредоносного трафика, нарушения политики или вирусов), зашифрован (с помощью информации об обмене ключами с targetwebsite.com) и отправлен на targetwebsite.com.
11. Трафик с targetwebsite.com также будет расшифрован (с помощью информации об обмене ключами от targetwebsite.com), проанализирован (как указано выше), зашифрован (с помощью информации об обмене ключами от клиента) и отправлен клиенту.
12. Продукт межсетевого экрана может читать всю информацию, которой обмениваются SSL-клиент и SSL-сервер (targetwebsite.com).

Это можно сделать с любым TLS-терминированным соединением (не только HTTPS), если продукт брандмауэра может изменять TrustStore SSL-клиента.

Программное обеспечение

nDPI (форк OpenDPI ^[65] который является EoL разработчиками ntop ) ^{[66] [67]} — это версия с открытым исходным кодом для незапутанных протоколов . PACE, еще один такой механизм, включает в себя запутанные и зашифрованные протоколы, которые относятся к типам, связанным со Skype или зашифрованным BitTorrent . ^[68] Поскольку OpenDPI больше не поддерживается, был создан форк OpenDPI под названием nDPI ^{[69] , который активно поддерживается и расширяется за счет новых протоколов, включая} Skype , Webex , Citrix и многие другие.

L7-Filter — это классификатор Netfilter Linux, который идентифицирует пакеты на основе данных прикладного уровня. ^[70] Он может классифицировать такие пакеты, как Kazaa , HTTP , Jabber , Citrix , Bittorrent , FTP , Gnucleus , eDonkey2000 и другие. Он классифицирует потоковые, почтовые, P2P, VoIP , протоколы и игровые приложения. Программное обеспечение было снято с производства и заменено механизмом Netify DPI Engine с открытым исходным кодом. ^[71]

Hippie (Hi-Performance Protocol Identification Engine) — это проект с открытым исходным кодом, который был разработан как модуль ядра Linux. ^[72] Его разработал Джош Баллард. Он поддерживает как DPI, так и функции брандмауэра. ^[73]

Проект SPID (Statistical Protocol IDentification) основан на статистическом анализе сетевых потоков для идентификации трафика приложений. ^[74] Алгоритм SPID может обнаружить протокол прикладного уровня (уровень 7) по сигнатурам (последовательность байтов с определенным смещением в процессе установления связи), путем анализа информации о потоке (размеры пакетов и т. д.) и статистики полезной нагрузки (как часто байтовое значение возникает для измерения энтропии) из файлов pcap. Это всего лишь экспериментальное приложение, которое в настоящее время поддерживает около 15 приложений/протоколов, таких как трафик eDonkey Obfuscation , Skype UDP и TCP, BitTorrent , IMAP , IRC , MSN и другие.

Tstat (инструмент статистики и анализа TCP) обеспечивает понимание моделей трафика и предоставляет подробную информацию и статистику для многочисленных приложений и протоколов. ^[75]

Libprotoident представляет облегченную проверку пакетов (LPI), которая проверяет только первые четыре байта полезной нагрузки в каждом направлении. Это позволяет свести к минимуму проблемы конфиденциальности, одновременно уменьшая дисковое пространство, необходимое для хранения трассировок пакетов, необходимых для классификации. Libprotoident поддерживает более 200 различных протоколов, и классификация основана на комбинированном подходе с использованием сопоставления шаблонов полезной нагрузки, размера полезной нагрузки, номеров портов и сопоставления IP-адресов. ^[76]

Французская компания Amesys разработала и продала Муаммару Каддафи интрузивную и масштабную систему интернет-мониторинга Eagle . ^[77]

Сравнение

Всестороннее сравнение различных классификаторов сетевого трафика, которые зависят от глубокой проверки пакетов (PACE, OpenDPI, 4 различных конфигурации L7-фильтра, NDPI, Libprotoident и Cisco NBAR), показано в независимом сравнении популярных инструментов DPI для классификации трафика. . ^[78]

Аппаратное обеспечение

Больше внимания уделяется глубокой проверке пакетов - это стало очевидным ^{[ необходимы разъяснения ]} после отклонения законопроектов SOPA и PIPA . Многие современные методы DPI медленны и дорогостоящи, особенно для приложений с высокой пропускной способностью. Разрабатываются более эффективные методы DPI. Специализированные маршрутизаторы теперь могут выполнять DPI; Маршрутизаторы, оснащенные словарем программ, помогут определить цели локальной сети и интернет-трафика, который они маршрутизируют. Cisco Systems сейчас выпускает вторую версию маршрутизаторов с поддержкой DPI, анонсировав маршрутизатор CISCO ISR G2. ^[79]

Смотрите также

• Общий носитель
• Директива о хранении данных
• Глубокая проверка контента
• ЭШЕЛОН
• Брандмауэр
• Закон о надзоре за внешней разведкой
• Золотой Щит
• Система предотвращения вторжений
• Сетевой нейтралитет
• Споры о слежке АНБ без ордера
• Анализатор пакетов
• Брандмауэр с отслеживанием состояния
• Тета Сети
• Вайршарк

Рекомендации

1. Дункан Гир, https://www.wired.co.uk/article/how-deep-packet-inspection-works
2. Дхармапурикарг, Саранг; Кришнамурти, Правин; Спроролл, Тодд; Локвуд, Джон. «Глубокая проверка пакетов с использованием параллельных фильтров Блума». 11-й симпозиум по высокопроизводительным межсетевым соединениям .
3. Томас Портер (11 января 2005 г.). «Опасности глубокой проверки пакетов». SecurityFocus.com . _ Проверено 2 марта 2008 г.
4. Хэл Абельсон; Кен Ледин; Крис Льюис (2009). «Просто доставьте пакеты», в: «Очерки глубокой проверки пакетов», Оттава. Офис комиссара по конфиденциальности Канады . Проверено 8 января 2010 г.
5. Ральф Бендрат (16 марта 2009 г.). «Глобальные технологические тенденции и национальное регулирование: объяснение различий в управлении глубокой проверкой пакетов», документ, представленный на Ежегодном съезде международных исследований, Нью-Йорк, 15–18 февраля 2009 г.» (PDF) . Ассоциация международных исследований . Проверено 8 января 2010 г.
6. Идо Дубравски (29 июля 2003 г.). «Эволюция межсетевого экрана — глубокая проверка пакетов». SecurityFocus.com . _ Проверено 2 марта 2008 г.
7. Хачатрян, Артавазд (01.02.2020). «DPI сети 100 Гбит/с, извлечение контента на FPGA Xilinx». Середина . Проверено 23 октября 2020 г.
8. Москола, Джеймс и др. «Внедрение модуля сканирования контента для межсетевого экрана Интернета». Программируемые пользователем вычислительные машины, 2003. FCCM 2003. 11-й ежегодный симпозиум IEEE. ИИЭР, 2003.
9. Элан Амир (29 октября 2007 г.). «Дело в пользу глубокой проверки пакетов». itbusinessedge.com . Архивировано из оригинала 4 февраля 2008 г. Проверено 2 марта 2008 г.
10. Ноферести, Мортеза; Джалили, Расул (15 января 2020 г.). «ACoPE: адаптивный подход к обучению с полуконтролем для обеспечения соблюдения сложной политики в сетях с высокой пропускной способностью». Компьютерная сеть . 166 : 106943. doi : 10.1016/j.comnet.2019.106943. ISSN  1389-1286. S2CID  208094726.
11. «Брандмауэр». TechTarget.com . _
12. Тахбуб, Радван; Салех, Юсеф (январь 2014 г.). «Системы предотвращения утечки/потери данных (DLP)». Всемирный конгресс по компьютерным приложениям и информационным системам (WCCAIS) 2014 г .: 1–6. doi : 10.1109/WCCAIS.2014.6916624. S2CID  1022898.
13. Нейт Андерсон (25 июля 2007 г.). «Глубокая проверка пакетов соответствует сетевому нейтралитету, CALEA». Арс Техника . Проверено 6 февраля 2006 г.
14. Джефф Честер (1 февраля 2006 г.). «Конец Интернета?». Нация . Проверено 6 февраля 2006 г.
15. Питер Вориски (4 апреля 2008 г.). «Каждый клик, который вы делаете: интернет-провайдеры незаметно тестируют расширенное отслеживание использования Интернета для таргетирования рекламы». Вашингтон Пост . Проверено 8 апреля 2008 г.
16. «Чартерные коммуникации: расширенный онлайн-опыт» . Проверено 14 мая 2008 г.
17. «Глубокая проверка пакетов: укрощение зверя P2P-трафика» . Легкое чтение . Архивировано из оригинала 02 марта 2008 г. Проверено 3 марта 2008 г.
18. Мэтт Хэмблен (17 сентября 2007 г.). «Ball State использует глубокую проверку пакетов для обеспечения производительности видеоконференций». компьютерный мир.com . Проверено 3 марта 2008 г.
19. «Allot развертывает решение DPI у двух операторов мобильной связи первого уровня для предоставления пакетов услуг с добавленной стоимостью и многоуровневых услуг» . новости.moneycentral. MSN.com . _ 05 февраля 2008 г. Проверено 3 марта 2008 г.^{[ постоянная мертвая ссылка ]}
20. Джереми Кирк (13 февраля 2008 г.). «Датский интернет-провайдер готовится бороться с судебным запретом Pirate Bay» . InfoWorld.com . _ Архивировано из оригинала 14 февраля 2008 г. Проверено 12 марта 2008 г.
21. Мэтью Кларк (5 июля 2005 г.). «Eircom и BT не будут выступать против музыкальных фирм». энн.и. _ Архивировано из оригинала 14 августа 2007 г. Проверено 12 марта 2008 г.
22. Эрик Бангеман (11 марта 2008 г.). «Год фильтров» превращается в год судебных исков против интернет-провайдеров». Арс Техника . Проверено 12 марта 2008 г.
23. Энн Броуч (19 июля 2007 г.). «MPAA: Сетевой нейтралитет может навредить технологиям борьбы с пиратством». Новости CNET . Проверено 12 марта 2008 г.^{[ постоянная мертвая ссылка ]}
24. Кэролин Даффи Марсан (27 июня 2007 г.). «ОЕМ-поставщик Bivio нацелен на государственный рынок» . NetworkWorld.com . _ Архивировано из оригинала 23 апреля 2014 г. Проверено 13 марта 2008 г.
25. Бен Элджин; Брюс Эйнхорн (12 января 2006 г.). «Великий китайский файрвол». Деловая неделя . Архивировано из оригинала 28 февраля 2008 г. Проверено 13 марта 2008 г.
26. «Интернет-фильтрация в Китае в 2004–2005 годах: страновое исследование». Инициатива OpenNet . Архивировано из оригинала 28 сентября 2007 г. Проверено 13 марта 2008 г.
27. Гай Кьюни, Китай блокирует Skype, VoIP, The Register, 2005 г.
28. «Китай блокирует YouTube, восстанавливает Flickr и Blogspot» . Мир ПК . 18 октября 2007 г. Архивировано из оригинала 13 марта 2008 г. Проверено 3 марта 2008 г.
29. «Египет заблокировал приложение для обмена зашифрованными сообщениями Signal» . 18 июля 2019 г.
30. مة". HuffPost Араби . Архивировано из оригинала 23 апреля 2017 г. Проверено 22 апреля 2017 г.
31. Томпсон, Ник; МакГилл, Таня; Кристианто, Даниэль Веро (1 января 2021 г.). «Общественное признание интернет-цензуры в Индонезии». Материалы ACIS 2021 . Проверено 21 августа 2022 г.
32. Трембле, Джессика (2018). «Интернет-Кампунг: Интернет на уровне сообществ в Индонезии после Сухарто». Индонезия . 105 : 97–125. дои : 10.1353/инд.2018.0004. hdl : 1813/60028 . S2CID  158357806 – через проект MUSE Университета Джонса Хопкинса.
33. Вильдана, Фаик (30 октября 2021 г.). «Исследовательское исследование блокировки социальных сетей в Индонезии». Журнал общества и СМИ . 5 (2): 456–484. дои : 10.26740/jsm.v5n2.p456-484 . ISSN  2580-1341. S2CID  248056103.
34. Патерсон, Томас (4 мая 2019 г.). «Расширение киберпространства Индонезии: палка о двух концах». Журнал киберполитики . 4 (2): 216–234. дои : 10.1080/23738871.2019.1627476 . ISSN  2373-8871. S2CID  197825581.
35. Кристенсен, Кристиан (1 июля 2009 г.). «Иран: сетевое инакомыслие». Ле Монд Дипломатик 1 .
36. "Перуса :: Кто мы" . perusa-partners.de . Архивировано из оригинала 24 сентября 2015 г.
37. «Иранский веб-шпионаж с помощью западных технологий», Кристофер Роудс в Нью-Йорке и Лоретта Чао в Пекине, The Wall Street Journal , 22 июня 2009 г. Проверено 22.06.09.
38. «Вопросы об истории WSJ об управлении сетями в Иране», Дэвид С. Изенберг, isen.blog, 23 июня 2009 г. Проверено 22.06.09.
39. «Предоставление возможностей законного перехвата в Иране». Архивировано 25 июня 2009 г., в пресс-релизе компании Wayback Machine . 22 июня 2009 г. Дата обращения 22.06.09.
40. «Веб-призрак иранской цензуры», Брайан Стелтер и Брэд Стоун, The New York Times , 22 июня 2009 г. Проверено 23 июня 2009 г.
41. 14 февраля 2012 г. «Ломая и сгибая цензуру с Валидом Аль-Сакафом». Архивировано 2 мая 2013 г., в Wayback Machine . Интервью с Арсехом Севом. Архивировано 12 июня 2017 г. в Wayback Machine . Последний просмотр 23 февраля 2012 г.
42. Го Кхенг Теонг (20 мая 2013 г.). «DAP жалуется в MCMC на блокаду его веб-сайтов, видео, Facebook и социальных сетей» . Проверено 21 мая 2013 г.
43. «В Малайзии онлайн-выборные баталии принимают неприятный оборот» . Рейтер. 04 мая 2013 г. Архивировано из оригинала 7 мая 2013 г. Проверено 22 мая 2013 г.
44. "Роскомнадзор внедрит новую технологию блокировки" . Русская служба BBC News . 18 декабря 2018 г.
45. «Конституция Российской Федерации (английский перевод)» . Архивировано из оригинала 4 мая 2013 года.
46. «Глубокая проверка пакетов поднимает уродливую голову» . Проверено 28 апреля 2015 г.
47. Дж. И. Нельсон (26 сентября 2006 г.). «Как работает система несанкционированного прослушивания телефонных разговоров АНБ» . Проверено 3 марта 2008 г.
48. Белловин, Стивен М .; Мэтт Блейз; Уитфилд Диффи; Сьюзан Ландау; Питер Г. Нойман; Дженнифер Рексфорд (январь – февраль 2008 г.). «Риск безопасности связи: потенциальные опасности Закона о защите Америки» (PDF) . Безопасность и конфиденциальность IEEE . Компьютерное общество IEEE . 6 (1): 24–33. дои :10.1109/MSP.2008.17. S2CID  874506. Архивировано из оригинала (PDF) 27 февраля 2008 г. Проверено 3 марта 2008 г.
49. Роберт По (17 мая 2006 г.). «Лучший инструмент сетевого мониторинга». Проводной . Проверено 3 марта 2008 г.
50. Кэрол Д. Леонниг (07 января 2007 г.). «Отчет опровергает информацию Буша о шпионаже - законность внутренних действий под вопросом». Вашингтон Пост . Проверено 3 марта 2008 г.
51. Шерил Гербер (18 сентября 2008 г.). «Глубокая безопасность: DISA повышает безопасность за счет глубокой проверки пакетов IP-передач». Архивировано из оригинала 26 июля 2011 г. Проверено 30 октября 2008 г.
52. "Ra mắt Nền tảng cung cấp dịch vụ Trung tâm điều hành an toan, an ninh mạng đap ứng yêu cầu kết noi, chia sẻ thông олово" .
53. "Ан Тоан Трен Кхонг Гиан Монг - khonggianmang.vn - Чунг Там Гиам сидел Тоан Конг Гиан Монг Куок Гиа - Национальный центр кибербезопасности (NCSC)" . khonggianmang.vn .
54. «Reliance Jio использует проверку SNI для блокировки веб-сайтов — Центр Интернета и общества» . cis-india.org . Проверено 13 ноября 2022 г.
55. Сингх, Кушагра; Гровер, Гуршабад; Бансал, Варун (2020). «Как Индия цензурирует Интернет». 12-я конференция ACM по веб-науке . стр. 21–28. arXiv : 1912.08590 . дои : 10.1145/3394231.3397891. ISBN 9781450379892. S2CID  209405297 . Проверено 13 ноября 2022 г.
56. «Цифровое пространство и конфиденциальность Пакистана: Раскрытие DPI и его последствий | Политическая экономия | thenews.com.pk» . www.thenews.com.pk . Проверено 21 ноября 2023 г.
57. Стол, Мониторинг (25 октября 2019 г.). «Правительство работает со скандальной фирмой для мониторинга интернет-трафика: отчет» . РАССВЕТ.КОМ . Проверено 21 ноября 2023 г.
58. Дженни Першинг. «Сетевой нейтралитет: исторический нейтралитет». Кибертелеком . Архивировано из оригинала 11 мая 2008 г. Проверено 26 июня 2008 г.
59. Дженни Першинг. «Сетевой нейтралитет: недостаточный вред». Кибертелеком . Архивировано из оригинала 11 мая 2008 г. Проверено 26 июня 2008 г.
60. Фукс, Кристиан. «Последствия интернет-наблюдения с помощью глубокой проверки пакетов (DPI) для общества» (PDF) . Архивировано из оригинала (PDF) 29 августа 2013 г. Проверено 23 июля 2022 г.
61. Шерри Джастин, Чанг Лан, Ралука Ада Попа и Сильвия Ратнасами, «Слепая коробка»: глубокая проверка пакетов в зашифрованном трафике, Обзор компьютерных коммуникаций ACM SIGCOMM, 2015
62. «Лучшие практики — проверка HTTPS» . Центр поддержки Check Point . 21 июля 2017 г. С помощью проверки HTTPS шлюз безопасности может проверять трафик, зашифрованный HTTPS. Шлюз безопасности использует сертификаты и становится посредником между клиентским компьютером и защищенным веб-сайтом. Все данные хранятся в журналах проверки HTTPS. Только администраторы с разрешениями на проверку HTTPS могут видеть все поля журнала.
63. «Спецификации SecureSphere WAF» . Спецификации SecureSphere WAF […] Проверка HTTPS/SSL: пассивное дешифрование или завершение
64. «Что такое проверка SSL? Как она работает? - SSL Store™» . Хешировано The SSL Store™ . 03.08.2018 . Проверено 26 июня 2019 г.
65. "OpenDPI.org". Архивировано из оригинала 7 декабря 2015 г.
66. ntop (2 февраля 2012 г.). «nDPI — открытая и расширяемая библиотека глубокой проверки пакетов LGPLv3». ntop.org . _ Проверено 23 марта 2015 г.
67. Фихтнер, Франко (6 августа 2012 г.). «Прощай, OpenDPI». LastSummer.de . Проверено 23 марта 2015 г.
68. «Механизм глубокой проверки пакетов становится открытым исходным кодом» . Арс Техника . 9 сентября 2009 г.
69. "нДПИ". нтоп . 2 февраля 2012 г.
70. «Классификатор пакетов прикладного уровня для Linux» . sourceforge.net .
71. «Нежное прощание с l7-фильтром» .
72. "Репозиторий SourceForge.net - Индекс [хиппи]" . sourceforge.net .
73. «HiPPIE - Бесплатная загрузка» . linux112.com . Архивировано из оригинала 7 апреля 2012 г. Проверено 28 декабря 2011 г.
74. Хьельмвик (23 апреля 2013 г.). «Идентификация статистического протокола SPID». СоурсФордж .
75. «Tstat - Инструмент статистики и анализа TCP» . tstat.tlc.polito.it .
76. "Группа сетевых исследований WAND: libprotoident" . wand.net.nz. _ Архивировано из оригинала 24 февраля 2021 г. Проверено 6 февраля 2014 г.
77. Бизнес по производству шпионского оборудования будет продан — Amesys продаст бизнес, предоставляющий технологии наблюдения, используемые Каддафи , Wall Street Journal, немецкое издание, 9 марта 2012 г.
78. Томаш Буйлов; Валентин Карела-Эспаньол; Пере Барле-Рос (2015). «Независимое сравнение популярных инструментов DPI для классификации трафика». Компьютерная сеть . 76 : 75–89. CiteSeerX 10.1.1.697.8589 . дои : 10.1016/j.comnet.2014.11.001. S2CID  7464085 . Проверено 10 ноября 2014 г. 
79. «Видимость и контроль приложений Cisco (AVC)» . Циско .

Внешние ссылки

• Что такое «глубокая проверка»? Маркус Дж. Ранум . Проверено 10 декабря 2018 г.
• Сборник эссе от экспертов отрасли.
• Что такое глубокая проверка пакетов и почему возникают разногласия
• Технический документ «Глубокая проверка пакетов – технологии, приложения и сетевой нейтралитет»
• Кибер-репрессии в Египте поддерживаются американской компанией - DPI использовалось правительством Египта в недавних интернет-репрессиях
• Deep Packet Inspection оставляет свой след в развивающемся Интернете
• Глубокая проверка пакетов с использованием частного фильтра