Глубокая проверка пакетов

Материал из wikixw
Перейти к навигации Перейти к поиску

Глубокая проверка пакетов (DPI)-это тип обработки данных , который подробно проверяет данные, передаваемые по компьютерной сети, и обычно принимает меры путем блокирования, повторной маршрутизации или регистрации их соответственно. Глубокая проверка пакетов часто используется для того, чтобы убедиться, что данные находятся в правильном формате, чтобы проверить наличие вредоносного кода, подслушивание и интернет-цензуру среди других целей. Существует несколько заголовков для IP-пакетов; сетевое оборудование должно использовать только первый из них (IP-заголовок ) для нормальной работы, но использование второго заголовка (например, TCP или UDP) обычно считается неглубокой проверкой пакетов (обычно называемой проверкой пакетов с отслеживанием состояния), несмотря на это определение.

Существует несколько способов получения пакетов для глубокой проверки пакетов. Использование зеркального отображения портов (иногда называемого Span Port) является очень распространенным способом, а также оптическим разделителем.

Глубокая проверка пакетов (и фильтрация) обеспечивает расширенное сетевое управление, обслуживание пользователей и функции безопасности , а также интеллектуальный анализ данных в интернете , подслушивание и интернет-цензуру . Хотя Дои уже много лет используется для управления Интернетом, некоторые сторонники сетевой нейтральности опасаются, что этот метод может использоваться антиконкурентно или для снижения открытости интернета.

Дои используется в широком спектре применений, на так называемом "корпоративном" уровне (корпорации и более крупные учреждения), в поставщиках телекоммуникационных услуг и в правительствах.

Фон[править]

DPI сочетает в себе функциональные возможности системы обнаружения вторжений (IDS) и системы предотвращения вторжений (IPS) с традиционным отслеживающим состояние брандмауэром .[5] Эта комбинация позволяет обнаруживать определенные атаки, которые ни IDS/IPS, ни stateful firewall не могут поймать самостоятельно. Брандмауэры с отслеживанием состояния, способные видеть начало и конец потока пакетов, не могут самостоятельно перехватывать события, которые были бы недоступны для конкретного приложения. В то время как IDSs способны обнаруживать вторжения, они имеют очень мало возможностей для блокирования такой атаки. DPIs используются для предотвращения атак вирусов и червей на проводных скоростях. Более конкретно, DPI может быть эффективен против атак переполнения буфера, атак типа " отказ в обслуживании (DoS), сложные вторжения и небольшой процент червей, которые помещаются в один пакет .

Устройства с поддержкой точек на дюйм имеют возможность просматривать Уровень 2 и выше уровня 3 модели OSI. В некоторых случаях DPI можно вызвать для просмотра уровня 2-7 модели OSI. Это включает в себя заголовки и структуры протокола данных, а также полезную нагрузку сообщения. Функциональность DPI вызывается, когда устройство смотрит или выполняет другие действия, основанные на информации за пределами уровня 3 модели OSI. DPI может идентифицировать и классифицировать трафик на основе базы данных сигнатур, которая включает информацию, извлеченную из части данных пакета, что позволяет более точно управлять, чем классификация, основанная только на информации заголовка. Конечные точки могут использовать шифрование и методы запутывания, чтобы избежать действий DPI во многих случаях.

Классифицированный пакет может быть перенаправлен, помечен / помечен тегами (см. раздел качество обслуживания ), заблокирован, ограничен в скорости и, конечно же, сообщен агенту отчетности в сети. Таким образом, ошибки HTTP различных классификаций могут быть идентифицированы и направлены на анализ. Многие устройства DPI могут идентифицировать пакетные потоки (а не пакетный анализ), позволяя управлять действиями на основе накопленной информации о потоке.

На уровне предприятия[править]

Первоначально безопасность на уровне предприятия была просто дисциплиной периметра, с доминирующей философией не допускать несанкционированных пользователей и защищать авторизованных пользователей от внешнего мира. Наиболее часто используемым инструментом для достижения этой цели является брандмауэр с отслеживанием состояния. Он может разрешить мелкозернистый контроль доступа из внешнего мира к заранее определенным назначениям во внутренней сети, а также разрешить доступ обратно к другим хостам только в том случае, если запрос к внешнему миру был сделан ранее.

Однако на сетевых уровнях существуют уязвимости,которые не видны брандмауэру с отслеживанием состояния. Кроме того , увеличение использования ноутбуков на предприятии затрудняет предотвращение проникновения в корпоративную сеть таких угроз , как вирусы, черви и шпионские программы, поскольку многие пользователи будут подключать ноутбук к менее безопасным сетям, таким как home broadband соединения или беспроводные сети в общественных местах. Брандмауэры также не делают различий между разрешенным и запрещенным использованием законно доступных приложений. DPI позволяет ИТ-администраторам и сотрудникам служб безопасности устанавливать политики и применять их на всех уровнях, включая уровень приложений и пользователей, чтобы помочь бороться с этими угрозами .

Глубокая проверка пакетов способна обнаружить несколько видов атак переполнения буфера.

DPI может использоваться предприятием для предотвращения утечки данных (DLP). Когда пользователь электронной почты пытается отправить защищенный файл, ему может быть предоставлена информация о том, как получить надлежащее разрешение на отправку файла.[ требуется разъяснение]

В сети / Интернет-провайдеры[править]

В дополнение к использованию DPI для защиты своих внутренних сетей, интернет-провайдеры также применяют его в общедоступных сетях, предоставляемых клиентам. Распространенными видами использования Дои интернет-провайдерами являются законный перехват, определение и применение политики, целевая реклама , качество обслуживания, предоставление многоуровневых услуг и обеспечение соблюдения авторских прав.

Законный перехват[править]

Поставщики услуг требуются почти всеми правительствами во всем мире для обеспечения возможности законного перехвата. Десятилетия назад в устаревшей телефонной среде это было достигнуто путем создания точки доступа к трафику (TAP) с помощью перехватывающего прокси-сервера, который подключается к оборудованию наблюдения правительства. Компонент приобретения этой функциональности может предоставляться многими способами, включая DPI, продукты с поддержкой DPI, которые являются "LI или CALEA-совместимыми", могут использоваться-когда это предписано судебным постановлением – для доступа к потоку данных пользователя.

Определение и применение политики[править]

Поставщики услуг, обязанные в соответствии с Соглашением об уровне обслуживания со своими клиентами предоставлять определенный уровень услуг и в то же время обеспечивать соблюдение политики приемлемого использования, могут использовать DPI для реализации определенных политик , которые охватывают нарушения авторских прав, незаконные материалы и недобросовестное использование полосы пропускания. В некоторых странах интернет-провайдеры обязаны выполнять фильтрацию, в зависимости от законов страны. DPI позволяет поставщикам услуг "легко узнать пакеты информации, которые вы получаете в интернете—от электронной почты, веб-сайтов, обмена музыкой, видео и загрузки программного обеспечения".[10] Можно определить политики, которые разрешают или запрещают подключение к IP-адресу, определенным протоколам или даже эвристикам, определяющим определенное приложение или поведение.

Таргетированная реклама[править]

Поскольку интернет-провайдеры направляют трафик всех своих клиентов, они могут очень подробно отслеживать привычки просмотра веб-страниц, что позволяет им получать информацию об интересах своих клиентов, которая может быть использована компаниями, специализирующимися на целевой рекламе. Таким образом отслеживаются по меньшей мере 100 000 клиентов из Соединенных Штатов, а также целых 10% клиентов из США. поставщики технологий включают NebuAd , переднее крыльцо и Phorm . Американские интернет-провайдеры, контролирующие своих клиентов, включают Knology и Wide Open West . Кроме того, ИСП Великобритании British Telecom допустил тестирование решений от Phorm без ведома или согласия их клиентов.

Качество обслуживания[править]

DPI можно использовать против сетевого нейтралитета .

Приложения, такие как peer-to-peer (P2P) трафик представляет собой растущие проблемы для поставщиков широкополосных услуг. Как правило, P2P трафик используется приложениями, которые делают общий доступ к файлам. Это могут быть любые файлы (например, документы, Музыка, Видео или приложения). Из-за часто большого размера передаваемых мультимедийных файлов, P2P диски увеличивают нагрузку на трафик, требуя дополнительной пропускной способности сети. Поставщики услуг говорят, что меньшинство пользователей генерируют большое количество P2P-трафика и ухудшают производительность для большинства абонентов широкополосной связи, используя такие приложения, как электронная почта или просмотр веб-страниц, которые используют меньшую пропускную способность.[13] Низкая производительность сети повышает недовольство клиентов и приводит к снижению доходов от обслуживания.

DPI позволяет операторам перепродавать свою доступную полосу пропускания, обеспечивая справедливое распределение полосы пропускания для всех пользователей, предотвращая перегрузку сети. Кроме того, более высокий приоритет может быть выделен для вызова VoIP или видеоконференций, который требует низкой задержки по сравнению с просмотром веб-страниц, который этого не делает. это подход, который поставщики услуг используют для динамического распределения пропускной способности в соответствии с трафиком, проходящим через их сети.

Многоуровневые службы[править]

Мобильные и широкополосные поставщики услуг используют DPI в качестве средства реализации многоуровневых планов обслуживания, чтобы дифференцировать услуги "огороженного сада" от "добавленной стоимости", "все, что вы можете съесть" и "один размер подходит для всех" услуг передачи данных. имея возможность взимать плату за" огороженный сад", за приложение, за услугу или" все, что вы можете съесть", а не за пакет" один размер подходит всем", оператор может адаптировать свое предложение к отдельному абоненту и увеличить их средний доход на пользователя ( ARPU). Политика создается для каждого пользователя или группы пользователей, а система DPI, в свою очередь, применяет эту политику, предоставляя пользователю доступ к различным службам и приложениям.

Защита авторских прав[править]

Интернет-провайдеры иногда запрашиваются владельцами авторских прав или требуются судами или официальной политикой для обеспечения соблюдения авторских прав. В 2006 году один из крупнейших интернет-провайдеров Дании, Tele2 , получил судебный запрет и сказал, что он должен заблокировать своим клиентам доступ к Pirate Bay, стартовой точке для BitTorrent . вместо того, чтобы преследовать файлообменщиков по одному, Международная федерация фонографической промышленности (IFPI) и большая четверка звукозаписывающих компаний EMI , Sony BMG , Universal Music и Warner Music начали подавать иски к интернет-провайдерам, таким как Eircom, за недостаточную защиту своих авторских прав. IFPI хочет, чтобы интернет-провайдеры фильтровали трафик для удаления незаконно загруженных и загруженных авторских материалов из своей сети, несмотря на то, что европейская директива 2000/31/EC четко указывает, что интернет-провайдеры не могут быть поставлены под общее обязательство контролировать информацию, которую они передают, и директива 2002/58/EC, предоставляющая европейским гражданам право на конфиденциальность сообщений. Ассоциация кино Америки (MPAA), которая обеспечивает соблюдение авторских прав на фильмы, заняла позицию с Федеральной Комиссией по коммуникациям (FCC) что сетевой нейтралитет может повредить антипиратским методам, таким как глубокая проверка пакетов и другие формы фильтрации.

Статистика[править]

DPI позволяет интернет-провайдерам собирать статистическую информацию о шаблонах использования по группам пользователей. Например, может быть интересно, будут ли пользователи с подключением 2 Мбит использовать сеть по-разному для пользователей с подключением 5 Мбит. Доступ к данным трендов также помогает в планировании сети.[ требуется разъяснение]

Со стороны правительств[править]

Смотрите также: сетевое наблюдение и интернет-цензура

Помимо использования Дои для обеспечения безопасности своих собственных сетей, правительства в Северной Америке, Европе и Азии используют Дои для различных целей, таких как наблюдение и цензура . Многие из этих программ классифицируются.

Соединенные Штаты[править]

Главная статья: NSA warrantless surveillance controversy

FCC принимает интернет CALEA требования: FCC, в соответствии со своим мандатом от Конгресса США и в соответствии с политикой большинства стран мира, потребовал, чтобы все телекоммуникационные провайдеры, включая интернет-услуги, были способны поддерживать исполнение судебного приказа для обеспечения судебной экспертизы связи в реальном времени конкретных пользователей. В 2006 году FCC приняла новый раздел 47, подраздел Z, правила, требующие от поставщиков доступа к Интернету для выполнения этих требований. Дои был одной из платформ, необходимых для выполнения этого требования, и был развернут с этой целью на всей территории США.

Агентство национальной безопасности (АНБ), в сотрудничестве с AT&T Inc., использовал глубокий осмотр пакета для того чтобы сделать наблюдение, сортировать, и препровождать движения интернета более толковейшим. DPI используется для поиска пакетов, несущих электронную почту или голосовой вызов через Интернет-протокол (VoIP). Трафик, связанный с общей магистралью AT&T, был "разделен" между двумя волокнами, разделяя сигнал так, чтобы 50 процентов силы сигнала шло к каждому выходному волокну. Один из выходных волокон был отведен в защищенное помещение; другой нес связь с коммутационным оборудованием AT&T. В охраняемой комнате находился Нарус анализаторы трафика и логические серверы; Narus утверждает, что такие устройства способны осуществлять сбор данных в режиме реального времени (запись данных для рассмотрения) и захват со скоростью 10 гигабит в секунду. Определенный трафик был выбран и отправлен по выделенной линии в "центральное местоположение" для анализа. Согласно показаниям свидетеля-эксперта Дж. Скотта Маркуса, бывшего старшего советника по интернет-технологиям в Федеральной комиссии США по коммуникациям, переадресованный трафик "представлял все или практически все пиринговые трафик AT&T в районе залива Сан-Франциско", и, таким образом, "проектировщики ... конфигурация не предпринимала никаких попыток, с точки зрения местоположения или положения расщепленного волокна, исключить источники данных, состоящие главным образом из внутренних данных". Программное обеспечение анализатора семантического трафика Narus, которое работает на серверах IBM или Dell Linux , использующих DPI, сортирует IP-трафик со скоростью 10 Гбит/с, чтобы выбрать определенные сообщения на основе целевого адреса электронной почты, IP-адреса или, в случае VoIP, номера телефона. президент Джордж В. Буш и генеральный прокурор Альберто Р. Гонсалес они утверждали, что, по их мнению, президент имеет право приказать секретные перехваты телефонных и электронных сообщений между людьми внутри Соединенных Штатов и их контактами за рубежом без получения ордера FISA.

Агентство оборонных информационных систем разработало сенсорную платформу, использующую глубокий пакетный контроль.

Китай[править]

Основные статьи: Интернет-цензура в Китайской Народной Республике и Список заблокированных сайтов в Китае

Китайское правительство использует глубокую проверку пакетов для мониторинга и цензуры сетевого трафика и контента, который, по его утверждению, вреден для китайских граждан или государственных интересов. Этот материал включает порнографию, информацию о религии и политическом инакомыслии. Китайские сетевые провайдеры используют DPI, чтобы увидеть, есть ли какое-либо чувствительное ключевое слово, проходящее через их сеть. Если это так, то соединение будет прервано. Люди в Китае часто оказываются заблокированными при доступе к веб-сайтам, содержащим контент, связанный с тайваньской и тибетской независимости, Фалунь Гун, Далай Лама, the Протесты на площади Тяньаньмэнь и массовые убийства 1989 года, политические партии, выступающие против правящей Коммунистической партии, или различные антикоммунистические движения , поскольку эти материалы уже были подписаны в качестве чувствительных ключевых слов DPI. Китай ранее блокировал весь VoIP-трафик в своей стране и за ее пределами , но в настоящее время в Китае функционируют многие доступные приложения VOIP. Голосовой трафик в Skype это не влияет, хотя текстовые сообщения подлежат DPI, а сообщения, содержащие конфиденциальные материалы, такие как ругательства, просто не доставляются, причем ни один из участников разговора не уведомляется. Китай также блокирует визуальные медиа-сайты, такие как YouTube.com и различные фотографии и блог-сайты

Блатные сайты заблокированы в материковом Китае с помощью глубокой проверки пакетов

Алёха Сайт Категория
6 wikipedia.org Цензура
1 encrypted.google.com поиск зашифрован
2 мордокнига соцсеть
3 ютуб видео
24693 openvpn.net политцензура
33553 strongvpn.com политцензура
78873 falundafa.org религия
1413995 vpncoupons.com купоны цензуры
2761652 .elephantvpn.com цензура

Иран[править]

Главная статья: Интернет-цензура в Иране

Правительство Ирана закупило систему, якобы для глубокой проверки пакетов, в 2008 году от Нокиа Сименс Нетворкс (НСН) (совместное предприятие Сименс АГ немецкого концерна, и компания Nokia Corp., в Финляндии сотовый телефон фирмы), сейчас НСН является Nokia решения и сети, По сообщению "Уолл Стрит Джорнал" в июне 2009 года, цитирует НСН пресс-секретарь Бен доп. По словам неназванных экспертов, упомянутых в статье, система "позволяет властям не только блокировать связь, но и контролировать ее для сбора информации о физических лицах, а также изменять ее в целях дезинформации".

Система была приобретена компанией Telecommunication Infrastructure Co., часть телекоммуникационной монополии иранского правительства. По данным издания, NSN "предоставила Ирану оборудование в прошлом году в рамках международно признанной концепции "законного перехвата", - сказал господин рум., которая касается перехвата данных для целей борьбы с терроризмом, детской порнографией, незаконным оборотом наркотиков и другой преступной деятельностью, осуществляемой в интернете, возможности, которую имеют большинство, если не все телекоммуникационные компании, сказал он.... Центр мониторинга, который Nokia Siemens Networks продала Ирану, был описан в брошюре компании как позволяющий " мониторинг и перехват всех типов голосовой и информационной связи во всех сетях."Совместное предприятие вышло из бизнеса, который включал в себя оборудование для мониторинга, то, что оно назвало "интеллектуальным решением", в конце марта, продав его Perusa Partners Fund 1 LP, инвестиционной фирме из Мюнхена,- сказал г-н рум. Он сказал, что компания определила, что это больше не является частью ее основного бизнеса.

Система NSN последовала за покупками Ирана от Secure Computing Corp. ранее в этом десятилетии.

Были подняты вопросы о достоверности отчетности в журнале докладе Дэвида Айзенберга, независимый Вашингтон, округ Колумбия-аналитик и Катон Института адъюнкт-ученый, в частности, заявив, что г-н х комнатная отрицает цитаты, приписываемые ему, и что он, Айзенберг, тоже были похожие жалобы в один из того же журнала журналистам в более раннюю историю. NSN опубликовала следующее опровержение: NSN "не предоставила Ирану возможности глубокой проверки пакетов, веб-цензуры или фильтрации интернета". параллельная статья в The New York Times по его словам, продажа НСН была освещена в "потоке новостных сообщений в апреле [2009], включая The Washington Times, и рассматривала цензуру интернета и других средств массовой информации в стране, но не упоминала DPI.

По словам Валида Ас-Сакафа, разработчика интернет-цензуры circumventor Alkasir, Иран использовал глубокую проверку пакетов в феврале 2012 года, в результате чего скорость интернета во всей стране практически остановилась. Это ненадолго исключило доступ к таким инструментам, как Tor и Alkasir.

Российская Федерация[править]

Главная статья: SORM

В России Дои пока не имеет мандата. Федеральный закон №139 вводит блокировку сайтов в черный список российского интернета с использованием IP-фильтрации, но не принуждает провайдеров к анализу информационной части пакетов. Тем не менее, некоторые интернет-провайдеры все еще используют различные решения DPI для реализации черного списка. На 2019 год правительственное агентство Роскомнадзор планирует всенародный запуск Дои после пилотного проекта в одном из регионов страны, ориентировочная стоимость которого оценивается в 20 млрд рублей ($300 млн).

Некоторые правозащитники считать глубокую проверку пакета противоречащей статье 23 Конституции Российской Федерации, хотя судебный процесс по ее доказыванию или опровержению никогда не проводился.

Сингапур[править]

Главная статья: Интернет-цензура в Сингапуре

Сообщается, что городское государство использует глубокую пакетную проверку интернет-трафика.

Сирия[править]

Государство, как сообщается, использует глубокую пакетную инспекцию интернет-трафика, Чтобы анализировать и блокировать несанкционированный транзит.

Малайзия[править]

Было заявлено, что действующее правительство Малайзии во главе с Барисаном Насьоналом использует Дои против политического оппонента в ходе подготовки к 13-му всеобщему голосованию, состоявшемуся 5 мая 2013 года.

Цель Дои в данном случае заключалась в блокировании и/или ограничении доступа к отдельным веб-сайтам, например к учетным записям Facebook, блогам и новостным порталам.

Египет[править]

С 2015 года Египет, как сообщается, начал присоединяться к списку, который постоянно отрицался должностными лицами египетского национального регулирующего органа по телекоммуникациям (NTRA). Тем не менее, это стало новостью, когда страна решила заблокировать зашифрованный сигнал приложения для обмена сообщениями, как было объявлено разработчиком приложения.

В апреле 2017 года все VOIP-приложения, включая FaceTime, Facebook Messenger, Viber, Whatsapp звонки и Skype были заблокированы в стране.

Чистый нейтралитет[править]

Смотрите также: Сетевой нейтралитет

Люди и организации, заинтересованные в конфиденциальности или сетевой нейтральности, считают инспекцию уровней контента интернет-протокола оскорбительной, например, говоря: "сеть была построена на открытом доступе и недискриминации пакетов! Критики правил сетевой нейтральности, между тем, называют их "решением в поисках проблемы" и говорят, что правила сетевой нейтральности снизят стимулы для обновления сетей и запуска сетевых услуг следующего поколения.

Глубокая проверка пакетов многими рассматривается как подрыв инфраструктуры интернета.

Шифрование и туннелирование, подрывающие DPI[править]

С увеличением использования HTTPS и туннелирования конфиденциальности с использованием VPN эффективность DPI становится под вопросом. в ответ многие брандмауэры веб-приложений теперь предлагают проверку HTTPS, где они расшифровывают HTTPS-трафик для его анализа. WAF может либо прекратить шифрование, поэтому соединение между WAF и браузером клиента использует простой HTTP, либо повторно зашифровать данные с помощью собственного сертификата HTTPS, который должен быть распространен среди клиентов заранее. методы, используемые в проверке HTTPS / SSL (также известный как HTTPS / SSL Перехват) являются теми же, используемые человек-в-середине (MiTM) атаки

Это работает следующим образом:

  • Клиент хочет подключиться к https://www.targetwebsite.com
  • Трафик проходит через брандмауэр или продукт безопасности
  • Брандмауэр работает как прозрачный прокси-сервер
  • Брандмауэр создает SSL сертификат, подписанный своим собственным " CompanyFirewall CA"
  • Брандмауэр представляет этот подписанный сертификат "CompanyFirewall CA" клиенту (не тот targetwebsite.com сертификат)
  • При этом Брандмауэр самостоятельно подключается к https://www.targetwebsite.com
  • targetwebsite.com представляет свой официально подписанный сертификат (подписанный доверенным центром сертификации, таким как Sectigo или DigiCert)
  • Брандмауэр проверяет Цепь доверия сертификатов самостоятельно
  • Брандмауэр теперь работает как Человек-в-середине .
  • Трафик от клиента будет расшифрован (с информацией обмена ключами от клиента), проанализирован (для вредоносного трафика, нарушения политики или вирусов), зашифрован (с информацией обмена ключами от клиента). targetwebsite.com) и отправлено в targetwebsite.com
  • Трафик от targetwebsite.com также будут расшифрованы (с информацией обмена ключами от targetwebsite.com), анализируется (как и выше), шифруется (с информацией обмена ключами от клиента) и отправляется клиенту.
  • Продукт брандмауэра может считывать всю информацию, передаваемую между SSL-клиентом и SSL-сервером (targetwebsite.com)

Это может быть сделано с любым соединением TLS-Terminated (не только HTTPS) до тех пор, пока продукт брандмауэра может изменить хранилище доверия SSL-клиента

Безопасность инфраструктуры[править]

Традиционно мантра, которая хорошо служила ISP, состояла в том, чтобы работать только на уровне 4 и ниже модели OSI. Это происходит потому, что просто решить, где пакеты идут и маршрутизация их сравнительно очень легко обрабатывать безопасно. Эта традиционная модель все еще позволяет ISP безопасно выполнять необходимые задачи, такие как ограничение пропускной способности в зависимости от объема используемой полосы пропускания (Уровень 4 и ниже), а не на протокол или тип приложения (Уровень 7). Существует очень сильный и часто игнорируемый аргумент, что действие ISP выше уровня 4 модели OSI обеспечивает то, что известно в сообществе безопасности как "ступеньки" или платформы для проведения атак человека в середине. Эта проблема усугубляется тем, что провайдер часто выбирает более дешевое оборудование с плохими показателями безопасности для очень сложной и, возможно, невозможной для обеспечения безопасности задачи глубокой проверки пакетов.

Пакетный фильтр OpenBSD ' s специально избегает DPI по той самой причине, что это не может быть сделано безопасно с уверенностью.

Это означает, что зависимые от DPI службы безопасности, такие как бывшая реализация HomeSafe TalkTalk, фактически торгуют безопасностью нескольких (защищаемых и часто уже защищаемых другими более эффективными способами) за счет снижения безопасности для всех, где пользователи также имеют гораздо меньше возможностей для снижения риска. Служба HomeSafe, в частности, выбирает блокировку, но это DPI не может быть исключено, даже для бизнес-пользователей [

Программное обеспечение[править]

nDPI (вилка из OpenDPI , которая является EoL разработчиками ntop ) - это версия с открытым исходным кодом для незамутненных протоколов . PACE, другой такой движок, включает в себя запутанные и зашифрованные протоколы, которые являются типами, связанными с Skype или зашифрованным BitTorrent . поскольку OpenDPI больше не поддерживается, OpenDPI-вилка с именем nDPI была создана, активно поддерживается и расширена новыми протоколами , включая Skype , Webex, Citrix и многие другие.

L7-Filter-это классификатор для Netfilter Linux, который идентифицирует пакеты на основе данных прикладного уровня. он может классифицировать пакеты , такие как Kazaa , HTTP , Jabber , Citrix , Bittorrent , FTP , Gnucleus, eDonkey2000 и другие. Он классифицирует потоковое, почтовое, P2P, VOIP, протоколы и игровые приложения.

Hippie (Hi-Performance Protocol Identification Engine) - это проект с открытым исходным кодом, который был разработан как модуль ядра Linux. он был разработан Джошем Баллардом. Он поддерживает как DPI, так и функции брандмауэра.

Проект SPID (Statistical Protocol IDentification) основан на статистическом анализе сетевых потоков для идентификации трафика приложений.[58] алгоритм SPID может обнаружить протокол прикладного уровня (слой 7) путем анализа потока (размеров пакетов и т. д.) и статистика полезной нагрузки (байтовые значения и т.д.) из файлов pcap. Это всего лишь доказательство применения концепции и в настоящее время поддерживает около 15 приложений/протоколов, таких как eDonkey Obfuscation traffic, Skype UDP и TCP , BitTorrent , IMAP , IRC , MSN и другие.

Tstat (TCP STatistic and Analysis Tool) обеспечивает понимание моделей трафика и предоставляет подробные сведения и статистику для многочисленных приложений и протоколов.

Libprotoident вводит облегченную проверку пакетов (LPI), которая проверяет только первые четыре байта полезной нагрузки в каждом направлении. Это позволяет свести к минимуму проблемы конфиденциальности при одновременном уменьшении дискового пространства, необходимого для хранения трассировок пакетов, необходимых для классификации. Libprotoident поддерживает более 200 различных протоколов, и классификация основана на комбинированном подходе с использованием сопоставления шаблонов полезной нагрузки, размера полезной нагрузки, номеров портов и сопоставления IP.

Французская компания Amesys разработала и продала Муаммару Каддафи навязчивую и массовую систему интернет-мониторинга Eagle .

Сравнение[править]

Всестороннее сравнение различных классификаторов сетевого трафика, которые зависят от глубокого контроля пакетов (PACE, OpenDPI, 4 различных конфигурации L7-фильтра, NDPI, Libprotoident и Cisco NBAR), показано в независимом сравнении популярных инструментов DPI для классификации трафика.

Оборудование[править]

Там больше внимания уделяется глубокому осмотру пакетов - это происходит в свете ] после отклонения как SOPA, так и PIPA выставление счетов. Многие текущие методы DPI являются медленными и дорогостоящими, особенно для приложений с высокой пропускной способностью. Разрабатываются более эффективные методы Дои. Специализированные маршрутизаторы теперь могут выполнять DPI; маршрутизаторы, вооруженные словарем программ, помогут определить цели, стоящие за локальной сетью и интернет-трафиком, который они маршрутизируют. Cisco Systems теперь находится на своей второй итерации маршрутизаторов с поддержкой DPI, с их объявлением о маршрутизаторе CISCO ISR G2.

Смотрите также[править]

Пруф[править]

.ranum.com/security/computer_security/editorials/deepinspect/

Источник — https://wikixw.ru/index.php?title=Глубокая_проверка_пакетов&oldid=9514