Deep packet inspection

Deep packet inspection

Deep Packet Inspection (DPI) — технология накопления статистических данных, проверки и фильтрации сетевых пакетов по их содержимому. В отличие от брандмауэров, Deep Packet Inspection анализирует не только заголовки пакетов, но и полное содержимое трафика на уровнях модели OSI со второго и выше. Deep Packet Inspection способно обнаруживать и блокировать вирусы, фильтровать информацию, не удовлетворяющую заданным критериям.[1]

Deep Packet Inspection может принимать решение не только по содержимому пакетов, но и по косвенным признакам, присущим каким-то определённым сетевым программам и протоколам. Для этого может использоваться статистический анализ (например статистический анализ частоты встречи определённых символов, длинны пакета и т. д.). Deep Packet Inspection часто используются провайдерами для контроля трафика, а иногда и для блокировки некоторых приложений, таких как BitTorrent. С помощью Deep Packet Inspection можно определить, какое приложение сгенерировало или получает данные, и на основании этого принять какое-либо действие. Помимо блокирования, Deep Packet Inspection может собирать подробную статистику соединения каждого пользователь по отдельности. Так же, при помощи quality of service Deep Packet Inspection может управлять скоростью передачи отдельных пакетов, подняв её или напротив, уменьшив. По мнению некоторых Интернет-провайдеров, Deep Packet Inspection позволяет сдерживать приложения, забивающие Интернет канал, организовывать приоритет между передачей различных типов данных, например, ускоряя открытие Интернет страниц за счёт уменьшения скорости загрузки больших файлов. Кроме того, Deep Packet Inspection способно обнаруживать среди общего потока трафика кусочки, соответствующие компьютерным вирусам и блокировать их, и повысить таким образом безопасность сети. Иногда Deep Packet Inspection используется в больших корпорациях для предотвращения случайных утечек данных, а так же для защиты от отправки по e-mail внутренних защищённых файлов.

Содержание

История

Первые брандмауэры могла быть реализованы двумя способами. В пером способе прокси-сервер, защищал внутреннюю локальную сеть от доступа из внешнего мира. Прокси-сервера проверяет, удовлетворяют ли сетевые пакеты заданным критериям. После этого, либо отсеивает их, либо пересылает дальше. Такой способ использовался традиционно, так как он снижает риски, что кто-либо сможет воспользоваться уязвимостями протокола. Во втором способе брандмауэром использовалась программа, осуществляющая фильтрацию сетевых пакетов по наборам правил. Такие программы получили название фильтрующих брандмауэров. Фильтрующий брандмауэр способен блокировать пакеты, не удовлетворяющие некоторым простым правилам, таким как IP источника, IP назначения, порт источника, порт назначения. Такие пакетные фильтры являются наиболее быстро работающим типом брандмауэров, так как делают совсем немного вычислений. Простота реализации позволяет делать такой брандмауэр в виде микросхемы. С самого начала прокси-сервера были признаны более безопасными, нежели пакетные фильтры, поскольку они более детально осуществляли проверку пакетов.[2]

Эволюция брандмауэров на основе прокси-серверов привела к появлению первых программ Deep Packet Inspection. Они были созданы в целях устранения сетевых проблем и для блокирования вирусов, а так же в целях защиты от DoS-атак. Первоначально компьютеры, на которых был установлен Deep Packet Inspection, не были достаточно мощными, чтобы контролировать весь Интернет трафик пользователей в режиме реального времени. Через некоторое время, когда появилась возможность работы программ Deep Packet Inspection в режиме реального времени, они использовались интернет-провайдерами в основном для организации целевой рекламы и уменьшения заторов в сети. Сегодня же Deep Packet Inspection способно на много большее, чем просто обеспечивать безопасность. Интернет-провайдеры получили возможность контролировать проходящий трафик любого своего клиента. Наличие инструментов для выборочного блокирования трафика даёт интернет-провайдерам возможность добавлять дополнительные платные услуги и получать с этого дополнительный доход, хотя по сути, это нарушает сетевой нейтралитет.[3] В настоящий момент в некоторых странах интернет-провайдеры обязаны выполнять фильтрацию в соответствии с законодательством страны. Программы Deep Packet Inspection иногда используют для обнаружения и блокирования трафика, содержащего незаконные материалы, или нарушающего авторские права[4]

В последнее время объём проходящего трафика заметно возрос. Начинает вновь возникать проблема, что компьютеры не справляются с анализом всего трафика в реальном времени, или же стоимость компьютеров будет слишком велика. Однако современные технологи уже позволяют сделать полнофункциональный Deep Packet Inspection в виде специального роутера.[5]

Пример работы Deep Packet Inspection

Идентификация протокола транспортного уровня сетевой модели OSI.

В структуре пакета протокола IPv4 выделен специальный байт для указания номера протокола транспортного уровня. Им является десятый байт от начала заголовка IPv4 пакета. Например: номер равняется шести — для TCP протокола, номер равняется семнадцати — для UDP протокола. В структуре пакета IPv6 так же существует специальная область, в которой находится аналогичный идентификатор протокола транспортного уровня. Это область носит название Next Header. [6]

Идентификация BitTorrent.

Клиенты BitTorrent соединяются с трекером по протоколу TCP. Для того, чтобы обнаружить среди всего трафика TCP такие пакеты, достаточно проверить, что содержимое данных TCP пакета со второго байта совпадает с «BitTorrent protocol»[7]

Идентификация HTTP.

Для идентификации HTTP протокола, достаточно проверить, что пакет является TCP, и содержимое этого TCP пакета начинается с одной из следующих команд: «GET», «POST», «HEAD». Кроме того, после команды должен стоять пробел, а так же, через некоторый промежуток должен встретиться текст «HTTP/». Если всё это выполняется, то этот пакет несёт в себе HTTP запрос.[7]

Идентификация RTSP.

Для того, чтобы обнаружить среди всего трафика пакеты RTSP достаточно убедиться, что пакет является TCP, и содержимое этого TCP пакета начинается с одной из следующих команд: «OPTIONS», «DESCRIBE», «ANNOUNCE», «PLAY», «SETUP», «GET_PARAMETER», «SET_PARAMETER», «TEARDOWN» . После команды должен стоять пробел. Так же, через некоторый промежуток должен встретиться текст «RTSP/».[7]

Программное обеспечение

Hippie (Hi-Performance Protocol Identification Engine) — реализация Deep Packet Inspection для Linux с открытым исходным кодом на C. [7]

L7-Filter — ещё одна реализация Deep Packet Inspection для Linux с открытым исходным кодом на C, ориентированная на классификацию данных седьмого уровня модели OSI.[8]

SPID (Statistical Protocol IDentification) — реализация Deep Packet Inspection для Windows с открытым исходным кодом на C#. Идентифицирует протокол седьмого уровня модели OSI с помощью статистического анализа трафика.[9]

Использование Deep Packet Inspection в России и мире

Deep Packet Inspection способно изменять данные в пакетах. В Соединённых Штатах Америки и Великобритании Deep Packet Inspection часто используется для генерации рекламы, основанной на поведении абонентов. Таким образом реализуется так называемый целевой маркетинг.[10]

В России внедрение Deep Packet Inspection у интернет-провайдеров связано с федеральным законом № 139 о внесении изменений в закон «О защите детей от информации, причиняющей вред их здоровью и развитию». Некоторые интернет-провайдеры обеспечивают блокирование сайтов, занесённых в чёрный список, основываясь не только на IP адресах этих сайтов, но и на их URL-адресах, которые можно вычленить из HTTP запроса при помощи Deep Packet Inspection. [11]

Основные доводы противников использования Deep Packet Inspection — он может нарушать частную жизнь, права и свободы людей, а так же правила конфиденциальности. Так же, Deep Packet Inspection по своей сути нарушает сетевой нейтралитет.[12]

Примечания

  1. Краткий обзор DPI — Deep Packet Inspection
  2. What is «Deep Inspection»?
  3. Deep packet inspection: the end of the internet as we know it?
  4. The End of the Internet?
  5. Cisco: Application Visibility and Control (AVC)
  6. Assigned Internet Protocol Numbers: Protocol Numbers
  7. 1 2 3 4 Sourceforge.net: hippie
  8. Официальный сайт l7-filter
  9. Sourceforge.net: spid
  10. Profiling the Profilers: Deep Packet Inspection and Behavioral Advertising in Europe and the United States
  11. inopressa: В России вступил в силу закон об интернет-цензуре
  12. What Is Deep Packet Inspection?

Литература


Wikimedia Foundation. 2010.

Игры ⚽ Нужен реферат?

Полезное


Смотреть что такое "Deep packet inspection" в других словарях:

  • Deep packet inspection — (DPI) (also called complete packet inspection and Information eXtraction IX ) is a form of computer network packet filtering that examines the data part (and possibly also the header) of a packet as it passes an inspection point, searching for… …   Wikipedia

  • Deep Packet Inspection — (DPI) (auch complete packet inspection oder Information eXtraction (IX)) steht für ein Verfahren in der Netzwerktechnik, Datenpakete zu überwachen und zu filtern. Dabei werden gleichzeitig der Datenteil und der Headerteil des Datenpaketes auf… …   Deutsch Wikipedia

  • Deep Packet Inspection — Este artículo o sección sobre tecnología necesita ser wikificado con un formato acorde a las convenciones de estilo. Por favor, edítalo para que las cumpla. Mientras tanto, no elimines este aviso puesto el 5 de julio de 2010. También puedes… …   Wikipedia Español

  • Deep packet inspection — En informatique, le Deep packet inspection (DPI) est l activité pour un équipement d infrastructure de réseau d analyser le contenu (au delà de l en tête) d un paquet réseau (paquet IP le plus souvent) de façon à en tirer des statistiques, à… …   Wikipédia en Français

  • Deep content inspection — (DCI) is a form of network filtering that examines an entire file or MIME object as it passes an inspection point, searching for viruses, spam, data loss, key words or other content level criteria. Deep Content Inspection is considered the… …   Wikipedia

  • Stateful Packet Inspection — Unter Stateful Packet Inspection (SPI), deutsche Bezeichnung Zustandsorientierte Paketüberprüfung , versteht man eine dynamische Paketfiltertechnik, bei der jedes Datenpaket einer bestimmten aktiven Session zugeordnet wird. Die Datenpakete werden …   Deutsch Wikipedia

  • Packet capture — is the act of capturing data packets crossing a computer network. Deep packet capture (DPC) is the act of capturing, at full network speed, complete network packets (header and payload) crossing a network with a high traffic rate. Once captured… …   Wikipedia

  • Network neutrality — This article is about the general principle of network neutrality. For its specific application to Canada, see Network neutrality in Canada. For its application to the U.S., see Network neutrality in the United States. Network Neutrality Related… …   Wikipedia

  • Network intelligence — (NI) is a technology that builds on the concepts and capabilities of Deep Packet Inspection (DPI), Packet Capture and Business Intelligence (BI). It examines, in real time, IP data packets that cross communications networks by identifying the… …   Wikipedia

  • Stateful firewall — In computing, a stateful firewall (any firewall that performs stateful packet inspection (SPI) or stateful inspection) is a firewall that keeps track of the state of network connections (such as TCP streams, UDP communication) traveling across it …   Wikipedia


Поделиться ссылкой на выделенное

Прямая ссылка:
Нажмите правой клавишей мыши и выберите «Копировать ссылку»