Dyb pakkeinspektion

Den aktuelle version af siden er endnu ikke blevet gennemgået af erfarne bidragydere og kan afvige væsentligt fra den version , der blev gennemgået den 15. juli 2021; checks kræver 20 redigeringer .

Deep Packet Inspection (abbr. DPI) er en teknologi til at kontrollere netværkspakker efter deres indhold for at regulere og filtrere trafik samt akkumulere statistiske data. I modsætning til firewalls analyserer Deep Packet Inspection ikke kun pakkeheadere , men også nyttelasten, startende fra det andet (link) lag i OSI-modellen . Deep Packet Inspection-teknologi gør det muligt for internetudbydere og offentlige myndigheder at anvende fleksible QoS -politikker på forskellige typer trafik, begrænse adgangen til forbudte ressourcer, opdage netværksindtrængen og stoppe spredningen af ​​computervirus .

Deep Packet Inspection kan træffe en beslutning ikke kun om indholdet af pakkerne , men også om indirekte tegn, der er iboende i nogle specifikke netværksprogrammer og protokoller . Til dette kan statistisk analyse anvendes (f.eks. statistisk analyse af hyppigheden af ​​forekomst af bestemte tegn, pakkelængde osv.).

Deep Packet Inspection bruges nogle gange til at blokere visse protokoller såsom BitTorrent . Ved hjælp af Deep Packet Inspection kan du bestemme den applikation, der genererede eller modtog dataene, og tage nogle handlinger baseret på dette. Deep Packet Inspection kan indsamle detaljeret forbindelsesstatistik for hver bruger individuelt. Også ved hjælp af QoS kan Deep Packet Inspection kontrollere transmissionshastigheden for individuelle pakker ved at hæve den eller omvendt reducere den. Ifølge nogle internetudbydere giver Deep Packet Inspection dig mulighed for at indeholde applikationer, der tilstopper internetkanalen, ændre prioriteterne for overførsel af forskellige typer data , for eksempel fremskynde åbningen af ​​internetsider ved at reducere downloadhastigheden af ​​store filer. Nogle gange bruges Deep Packet Inspection i store virksomheder for at forhindre utilsigtede datalækager , samt for at beskytte mod afsendelse af interne beskyttede filer via e-mail .

Historie

De første firewalls kunne implementeres på to måder.

I den første metode beskyttede proxyserveren det interne lokale netværk mod adgang fra omverdenen. Proxyserveren kontrollerer, om netværkspakkerne matcher de givne kriterier. Herefter luger du dem enten ud, eller sender dem videre. Dette er traditionelt blevet brugt, fordi det reducerer risikoen for, at nogen kunne udnytte protokolsårbarheder .

I den anden metode brugte firewallen et program, der filtrerer netværkspakker i henhold til regelsæt. Sådanne programmer kaldes filtrerende firewalls. En filtrerende firewall er i stand til at blokere pakker, der ikke matcher nogle simple regler, såsom kilde-IP, destinations-IP, kildeport , destinationsport. Disse pakkefiltre er den hurtigste type firewalls, da de udfører meget lidt beregning. Nem implementering giver dig mulighed for at lave en sådan firewall i form af en chip.

Fra begyndelsen blev proxyer betragtet som mere sikre end pakkefiltre, fordi de var mere granulære i pakkeinspektionen [1] .

Udviklingen af ​​proxy-baserede firewalls førte til de første Deep Packet Inspection-programmer. De blev skabt for at eliminere netværksproblemer og blokere vira samt for at beskytte mod DoS-angreb . Oprindeligt var de computere, som Deep Packet Inspection var installeret på, ikke kraftige nok til at overvåge al brugeres internettrafik i realtid.

Efter nogen tid, da det blev muligt at arbejde med Deep Packet Inspection-programmer i realtid, blev de brugt af internetudbydere hovedsageligt til at organisere målrettet annoncering og reducere overbelastning af netværket. I dag er Deep Packet Inspection i stand til meget mere end blot at levere sikkerhed. Internetudbydere fik muligheden for at kontrollere den forbipasserende trafik fra enhver af deres klienter. At have værktøjer til selektivt at blokere trafik giver internetudbydere mulighed for at tilføje yderligere betalte tjenester og tjene ekstra indtægter fra dette, selvom dette i det væsentlige krænker netneutralitet . [2] I øjeblikket er internetudbydere i nogle lande forpligtet til at udføre filtrering i overensstemmelse med landets love. Deep Packet Inspection-programmer bruges nogle gange til at opdage og blokere ulovlig eller krænkende trafik [3] eller til at indsamle oplysninger om besøgte websteder for at sælge til annoncenetværk [4] .

På det seneste er mængden af ​​forbipasserende trafik steget markant. Problemet begynder at dukke op igen, at computerne ikke kan klare analysen af ​​al trafik i realtid, eller omkostningerne til computerne bliver for høje. Moderne teknologier gør det dog allerede nu muligt at lave en fuldt funktionel Deep Packet Inspection i form af en speciel router [5] .

Eksempel på Deep Packet Inspection

Transport Layer Protocol Identifikation af OSI-netværksmodellen

En speciel byte er allokeret i IPv4 -protokollens pakkestruktur for at angive nummeret på transportlagsprotokollen. Det er den tiende byte fra begyndelsen af ​​pakkens IPv4-header. For eksempel: nummer 6 er for TCP , 17 er for UDP .

Der er også et særligt område i IPv6-pakkestrukturen , der indeholder den samme transportlagsprotokolidentifikator. Dette område kaldes Next Header [6] .

IP-identifikation

DPI-enheder kan begrænse adgangen til værter eller ressourcer ved deres IP-adresser . Dette er en almindelig, enkel, billig og effektiv måde at blokere forbudt indhold på. Vanskeligheden ligger i, at IP-adressen ikke altid er serverens eneste og entydige identifikator. I dette tilfælde kan tilladte tjenester, der hostes på den samme IP-adresse, også lide. Denne metode er også vanskelig at anvende effektivt, hvis der bruges et indholdsleveringsnetværk , der består af mange skiftende IP-adresser. I Iran og Kina er adgangen til proxyservere, der bruges til at omgå blokering , inklusive dem, der er inkluderet i Tor [7] , begrænset af IP-adressen .

DNS-identifikation

En af de almindelige udløsere i DPI-drift er DNS- anmodninger. Enhver bruger skal, for at åbne en webside på internettet, sende domænenavnet på den ønskede vært eller ressource til DNS-serveren . Pakker udveksles mellem DNS-servere og klienter i en ukrypteret form ved hjælp af UDP-protokollen . Et karakteristisk træk ved DNS, som giver dig mulighed for at identificere det blandt resten af ​​trafikken, fungerer udelukkende på port 53 . DPI-enheder kan således registrere anmodninger til alle offentlige DNS-servere [8] [9] .

Nøgleord

Det er svært at identificere trafik for visse søgeord , da nyttelasten normalt er krypteret (en undtagelse er udveksling over http -protokollen ). Måltjenesten kan indirekte identificeres af servernavnsindikationsstrengen sendt som en del af TLS - sessionsetableringen i en ukrypteret Client Hello [7] -meddelelse .

BitTorrent identifikation

BitTorrent - klienter opretter forbindelse til trackeren ved hjælp af TCP -protokollen . For at detektere sådanne pakker blandt al TCP-trafik er det nok at kontrollere, at dataindholdet i TCP-pakken fra den anden byte matcher "BitTorrent-protokollen" [10] .

For at identificere dem foretages der også en analyse af en sekvens af pakker, der har de samme karakteristika, såsom Source_IP:port - Destination_IP:port, pakkestørrelse, hyppighed af åbning af nye sessioner pr. tidsenhed, osv., i henhold til adfærdsmæssige (heuristiske) modeller svarende til sådanne applikationer. Fortolkninger af adfærdsmodellerne for de tilsvarende protokoller, og dermed nøjagtigheden af ​​detektion, varierer mellem forskellige udstyrsproducenter [11] .

HTTP-godkendelse

For at identificere HTTP -protokollen er det nok at kontrollere, at pakken er TCP , og indholdet af denne TCP-pakke begynder med en af ​​følgende kommandoer: "GET", "POST", "HEAD", "PUT", "DELETE ", "CONNECT", "OPTIONS", "TRACE", "PATCH" [12] . Derudover skal der være et mellemrum efter kommandoen, og teksten "HTTP /" skal også vises efter et interval. Hvis alt dette er gjort, bærer denne pakke en HTTP-anmodning [10] .

RTSP-identifikation

For at detektere RTSP- pakker blandt al trafik , er det nok at sikre sig, at pakken er TCP , og indholdet af denne TCP-pakke begynder med en af ​​følgende kommandoer: "OPTIONS", "DESCRIBE", "ANNOUNCE", "PLAY" ", "SETUP", "GET_PARAMETER", "SET_PARAMETER", "TEARDOWN". Kommandoen skal efterfølges af et mellemrum. Efter et vist interval skulle teksten "RTSP/" [10] også vises .

Hvad bruges DPI til?

Implementering af QoS

Fra et driftsmæssigt synspunkt kan operatøren styre bortskaffelsen af ​​DPI-forbundne kanaler på applikationsniveau. Tidligere løste han opgaverne med at implementere QoS (Quality of Service) udelukkende ved at bygge køer baseret på markering af trafik med servicebits i IP-, 802.1q- og MPLS -headerne , hvilket fremhævede den mest prioriterede trafik (alle slags VPN'er , IPTV , SIP osv.) og garanterer det en vis båndbredde til enhver tid. Best Effort-trafik, som inkluderer al internettrafik fra hjemmeabonnenter (HSI - High Speed ​​​​Internet), forblev praktisk talt ukontrolleret, hvilket gjorde det muligt for den samme Bittorrent at tage al den gratis båndbredde, hvilket igen førte til forringelsen af andre web-applikationer. Ved brug af DPI har operatøren mulighed for at fordele kanalen mellem forskellige applikationer. Lad for eksempel Bittorrent -trafik om natten tage mere båndbredde end om dagen, i myldretiden, hvor der er meget anden webtrafik på netværket. En anden populær foranstaltning for mange mobiloperatører er blokering af Skype - trafik såvel som enhver form for SIP - telefoni. I stedet for en fuldstændig blokering kan operatøren tillade driften af ​​disse protokoller, men med en meget lav hastighed med en tilsvarende forringelse af servicekvaliteten for en bestemt applikation, for at tvinge brugeren til at betale for traditionelle telefonitjenester, eller for en særlig servicepakke, der giver adgang til VoIP - tjenester.

Subscriber Management

Det vigtige er, at reglerne baseret på, hvilken formning/blokering der udføres, kan indstilles ved hjælp af to hovedbaser - pr. tjeneste eller pr. abonnent. I det første tilfælde er det på den enkleste måde fastsat, at en bestemt applikation er tilladt at bortskaffe en bestemt strimmel. I den anden udføres bindingen af ​​applikationen til banen for hver abonnent eller gruppe af abonnenter uafhængigt af andre, hvilket sker gennem DPI-integration med operatørens eksisterende OSS / BSS -systemer. Det vil sige, du kan opsætte systemet på en sådan måde, at abonnenten Vasya, der har pumpet 100 gigabyte torrents op på en uge, vil være begrænset i downloadhastigheden af ​​de samme torrents på niveauet 70% af taksten han købte i slutningen af ​​måneden. Og for abonnenten Petya, der købte en ekstra tjeneste kaldet "Skype uden problemer", vil Skype-applikationstrafik under ingen omstændigheder blive blokeret, men enhver anden er let. Du kan binde dig til User-Agenten og kun tillade browsing med anbefalede browsere, du kan lave vanskelige omdirigeringer afhængigt af typen af ​​browser eller OS. Med andre ord er fleksibiliteten af ​​takstplaner og valgmuligheder kun begrænset af sund fornuft. Hvis vi taler om mobiloperatørers trafik, giver DPI dig mulighed for at styre belastningen af ​​hver basestation separat, retfærdigt fordele BS-ressourcer på en sådan måde, at alle brugere er tilfredse med servicekvaliteten. De fleste producenter af EPC (Evolved Packet Core) til LTE integrerer DPI-funktionalitet i deres PDN-GW , tilpasset til at løse mobiloperatørernes problemer.

Software

Hippie (Hi-Performance Protocol Identification Engine) er en open source- implementering af Deep Packet Inspection for Linux i C. [10]

L7-filter  er en anden open source-implementering af Deep Packet Inspection for Linux i C, fokuseret på dataklassificering af det syvende lag af OSI-modellen . [13]

SPID (Statistical Protocol IDentification) er en open source- implementering af Deep Packet Inspection til Windows i C#. Identificerer protokollen for det syvende lag af OSI-modellen ved hjælp af statistisk trafikanalyse [14] .

Brug af Deep Packet Inspection i Rusland og verden

Deep Packet Inspection er i stand til at ændre data i . I USA og Storbritannien bruges Deep Packet Inspection ofte til at generere annoncer baseret på abonnentens adfærd. Dermed implementeres den såkaldte target marketing [15] .

De vigtigste mobiloperatører i Rusland implementerede DPI i 2009 ( MegaFon , Huawei udstyr ), 2010 ( MTS , Cisco) og 2011 ( Beeline , Procera). De kan også bruge DPI til at undertrykke peer-to-peer og VoIP - tjenester [16] [17] . Rostelecom planlægger at implementere DPI til mobilt internet i 2014.

Siden begyndelsen af ​​2010 har iMarker , et cypriotisk firma (registreret og opererer under lovgivningen i Republikken Cypern [18] ), tilbudt internetudbydere gratis installation af DPI-systemer (Gigamon, Xterica) for at målrette online annoncering. Et sådant system modtager information om alle websteder, der besøges af brugere, og kan på baggrund heraf tilbyde ham personlig annoncering. Ifølge avisen Vedomosti har 11 operatører allerede installeret et sådant system, herunder 4 regionale afdelinger af Rostelecom; den samlede dækning blev anslået af grundlæggeren af ​​virksomheden i slutningen af ​​2013 til 12 % af det russiske internetpublikum [19] [20] [21] [22] . Senere blev iMarker faktisk en del af det amerikanske firma Phorm , der tilbyder lignende tjenester til europæiske internetudbydere.

I Rusland er tendenser til implementering af Deep Packet Inspection blandt internetudbydere også forbundet med føderal lov nr. 139 om ændringer af loven "om beskyttelse af børn mod information, der er skadelig for deres sundhed og udvikling" (trådte i kraft den 1. november , 2012). De fleste internetudbydere blokerer sortlistede websteder udelukkende baseret på disse websteders IP-adresser. Men nogle udbydere kan blokere selektive URL'er, hvis de bruger Deep Packet Inspection til at analysere HTTP-anmodninger [23] [24] . For krypterede forbindelser ( HTTPS ) er DPI vanskelig at anvende.

En af hindringerne for russiske udbyderes obligatoriske brug af DPI-teknologier til at blokere forbudte websteder var de høje omkostninger ved sådanne løsninger, samt tilgængeligheden af ​​billigere alternativer til URL-filtrering for at overholde loven [25] .

Hovedargumenterne fra modstandere af at bruge Deep Packet Inspection er krænkelsen af ​​sådanne menneskerettigheder som retten til privatliv og retten til privatlivsbeskyttelse af korrespondance, samt manglende overholdelse af implementeringer med reglerne om privatliv . Brug af Deep Packet Inspection til at prioritere trafik krænker også netneutralitet [26] .

Den 12. maj 2017 i Aserbajdsjan , efter at uafhængige oppositionsnyhedssider var  blevet blokeret, var alle opkald via internettet fuldstændig [27] (eller maksimalt begrænset, hvad angår adgang til tjenester), inklusive instant messengers såsom Skype , WhatsApp [28] . Samtidig blev der ikke afgivet officielle udtalelser fra republikkens regering.

Fra den 27. september 2020, i forbindelse med udbruddet af den anden Karabakh-krig , indførte "ministeriet for transport, kommunikation og højteknologi i Aserbajdsjan" restriktioner for brugen af ​​internettet i landet. Facebook, WhatsApp, YouTube, Instagram, TikTok, LinkedIn, Twitter, Zoom, Skype blev fuldstændig blokeret [29] . Blokeringen påvirkede andre ressourcer, såsom VPN-tjenester, netbank og mediesider. Siden 4. oktober, p2p, har UDP-trafik været aktivt undertrykt, hvilket har påvirket dataudveksling via Bittorrent og VoIP-protokoller. Automatiserede algoritmer bruges også til at identificere og blokere IP-adresser (indgående/udgående trafik), og derfor er der problemer med ustabil tilgængelighed af nationale servere i udlandet [30] [31] .

Hviderusland

I 2018 købte regeringen i Belarus DPI-udstyr fra det amerikanske firma Sandvine gennem den russiske leverandør Jet Infosystems. Udstyret blev brugt til at blokere internetadgang på valgdagen den 9. august 2020 og derefter efter starten af ​​protesterne [32] .

Noter

  1. Hvad er "Deep Inspection"? . Hentet 21. oktober 2012. Arkiveret fra originalen 10. marts 2021.
  2. Dyb pakkeinspektion: slutningen af ​​internettet, som vi kender det? Arkiveret fra originalen den 9. september 2014.
  3. Enden på internettet? . Hentet 21. oktober 2012. Arkiveret fra originalen 26. august 2017.
  4. Geere, Duncan Hvordan deep packet inspection fungerer . Wired UK (27. april 2012). - "det kan også bruges af internetudbydere, der sælger dine data til reklamevirksomheder." Hentet 22. april 2019. Arkiveret fra originalen 22. april 2019.
  5. Cisco: Application Visibility and Control (AVC) . Hentet 11. december 2012. Arkiveret fra originalen 10. februar 2014.
  6. Tildelte internetprotokolnumre: Protokolnumre . Hentet 18. november 2012. Arkiveret fra originalen 29. maj 2010.
  7. 1 2 Ramesh, Raman, 2020 , s. 3.
  8. Yadav, Sinha, 2016 , s. 255.
  9. Kurose, Ross, 2016 , s. 167.
  10. ↑ 1 2 3 4 Sourceforge.net: hippie . Hentet 21. oktober 2012. Arkiveret fra originalen 25. februar 2021.
  11. En kort oversigt over DPI-teknologi - Deep Packet Inspection . habr.com . Hentet 21. oktober 2020. Arkiveret fra originalen 25. februar 2021.
  12. HTTP-anmodningsmetoder - HTTP | MDN . developer.mozilla.org _ Hentet 29. januar 2021. Arkiveret fra originalen 29. januar 2021.
  13. Officiel hjemmeside for l7-filter . Hentet 2. november 2012. Arkiveret fra originalen 30. oktober 2012.
  14. Sourceforge.net: spid . Hentet 21. oktober 2012. Arkiveret fra originalen 3. februar 2021.
  15. Profilering af profilerne: Deep Packet Inspection og Behavioural Advertising i Europa og USA . Hentet 21. oktober 2012. Arkiveret fra originalen 28. marts 2013.
  16. Roman Dorokhov, russisk iMarker har lært at tjene penge på en andens internettrafik. Virksomheden installerer et trafikanalysesystem for operatører gratis annoncørertil, indsamler data om brugeradfærd og sælger det Derfor var mobiloperatører de første i Rusland, der begyndte at implementere DPI: MegaFon i 2009, MTS i 2010 og VimpelCom i 2011."
  17. Internetfiltrering i Rusland: også overvågning Arkivkopi dateret 8. juli 2013 på Wayback Machine // Forbes, 11/02/2012: “I sommeren 2012 havde alle tre nationale mobiloperatører allerede installeret DPI på deres netværk: Procera er i VimpelCom “, Huawei bruges i Megafon, og MTS købte DPI fra Cisco. ... trafikformning, ... ved hjælp af DPI var mobiloperatører i stand til at undertrykke visse tjenester - primært torrents, peer-to-peer-protokoller eller Skype "
  18. http://www.imarker.ru/static/partner_offer.pdf Arkivkopi dateret 26. september 2013 på Wayback Machine - iMarker-tilbud: "Tilbud fra virksomheden "VSP VIRTUAL SERVICES PROVIDER" Ltd. (adresse: Iasonos, 5, Palodeia, PC 4549, Limassol, Cypern, herefter - "IMARKER")"
  19. Roman Dorokhov, russisk iMarker har lært at tjene penge på en andens internettrafik. Virksomheden installerer et trafikanalysesystem for operatører gratis, indsamler data om brugeradfærd og sælger det til annoncører Arkiveret kopi dateret 30. august 2013 på Wayback Machine // Vedomosti, 28.08.2013: “Han tilbyder at tjene penge på målrettet internetannoncering ved hjælp af trafikkontrol- og styringssystemer DPI (Deep Packet Inspection). Dette system kan spore enhver ukrypteret brugertrafik - fra e-mails og opkald til billeder og private beskeder på sociale netværk. … iMarker har været i drift siden januar 2010, dets system er blevet installeret af 11 operatører (inklusive fire afdelinger af Rostelecom), og det indsamler data om 12 % af Runet-brugere, siger Berlizev.”
  20. iMarker tjener på trafikken fra 12 % af Runet-brugere Arkivkopi af 31. august 2013 på Wayback Machine // theRunet, 28. august 2013
  21. Russiske udbydere indsamler brugeradfærdsdata for annoncører Arkivkopi dateret 1. september 2013 på Wayback Machine // Computerra, Andrey Pismenny 29. august 2013
  22. iMarker vælger Gigamon® til implementering med sin TargetJ-baserede annonceringsplatform arkiveret 30. august 2013.  — Gigamon pressemeddelelse, 2011/05/03: "VSP iMarker … målbaseret reklametjenesteplatform, som er implementeret i flere teleoperatørers netværk på tværs af Den Russiske Føderation, herunder OJSC Svyazinvest regionale teleselskaber (MRK)."
  23. inopressa: Lov om internetcensur trådte i kraft i Rusland Arkiveret 9. november 2012 på Wayback Machine  - baseret på Die Presse Russland: Gesetz für Internet-Zensur i Kraft Arkiveret 10. november 2012 på Wayback Machine , 11/05/2012
  24. Internetfiltrering i Rusland: også overvågning Arkiveret 8. juli 2013 på Wayback Machine // Forbes, 11/02/2012: "Den farligste ting i det nye all-russiske system til blokering af internetressourcer ... operatører bliver nødt til at køb og installer DPI (deep packet reading) teknologi ). .. registreringsdatabasen kræver adgang til ressourcer .. skal begrænses til individuelle sideindikatorer (URL'er), for hvilke denne teknologi er mest effektiv at blokere."
  25. Evgeny Tetenkin: Webstedsblokering bør ikke skade Runet Arkivkopi dateret 10. juni 2015 på Wayback Machine // CNews Security, 2012/11/30
  26. Hvad er Deep Packet Inspection? Arkiveret fra originalen den 25. juni 2012.
  27. Whatsapp, Facebook Messenger, Viber, Skype, Facetime vil jeg gerne?  (engelsk) , BBC Azərbaycanca  (19. maj 2017). Arkiveret fra originalen den 26. maj 2017. Hentet 27. maj 2017.
  28. WhatsApp blokeret i Aserbajdsjan? - vores problemer . Arkiveret fra originalen den 20. maj 2017. Hentet 27. maj 2017.
  29. Aserbajdsjan forklarer, hvorfor internetadgang blev begrænset . EAD dagligt . Hentet 8. oktober 2020. Arkiveret fra originalen 9. oktober 2020.
  30. ↑ Sociale medier begrænset i Aserbajdsjan midt i sammenstød med Armenien om  Nagorno -Karabakh  ? . NetBlocks (27. september 2020). Hentet 8. oktober 2020. Arkiveret fra originalen 1. november 2020.
  31. Sluk din egen, så fremmede bliver bange. Aserbajdsjan har begrænset borgeres adgang til internettet . Life.ru (4. oktober 2020). Hentet 8. oktober 2020. Arkiveret fra originalen 7. oktober 2020.
  32. Internetblokering i Hviderusland  (russisk)  ? . Netobservatory.by . Hentet: 1. september 2022.

Litteratur

Links