Inspección profunda de paquetes: cómo ven las redes el interior de su tráfico

12 lectura mínimaSeguridad de la red

La inspección profunda de paquetes es la tecnología que permite a un operador de red observar no sólo las direcciones en el sobre del paquete, sino también lo que hay dentro. Así es como el Gran Cortafuegos de China bloquea las VPN. Así es como las herramientas de seguridad empresarial detectan el malware. Así es como los ISP aceleran BitTorrent. Y es por eso que su proveedor de VPN ha gastado millones en ofuscación de protocolos. Así es como funciona realmente.

El cuerpo completo del artículo se proporciona en inglés a continuación.

Qué es realmente DPI

La inspección profunda de paquetes (DPI) es la práctica de examinar el contenido (la carga útil de la capa de aplicación) de los paquetes de red, no solo sus encabezados. Mientras que la inspección superficial de paquetes solo analiza hacia dónde se dirige un paquete (IP de origen, IP de destino, número de puerto), DPI analiza los datos reales que contiene: solicitudes HTTP, apretones de manos TLS, huellas digitales del protocolo BitTorrent, firmas de túneles VPN, la forma específica de un flujo de transmisión de video. Los sistemas DPI modernos pueden soportar análisis a 10 Gbps o más por dispositivo, que es el rendimiento necesario para inspeccionar cada paquete en un enlace ISP de nivel 2 en tiempo real. "Este paquete contiene el verbo HTTP GET. Este comienza con los bytes mágicos del protocolo de enlace WireGuard. Este coincide con el formato de anuncio del rastreador de BitTorrent". Rápido, confiable para protocolos no cifrados.

  • Análisis heurístico: clasifica los flujos por comportamiento. Tamaños de paquetes, patrones de sincronización, proporción de entrada y salida. Un flujo con paquetes grandes en ráfagas en una dirección y pequeños ACK en la otra es la transmisión de video. Un flujo con paquetes consistentes de igual tamaño y alta frecuencia es probablemente una videollamada o una VPN.
  • Clasificación de aprendizaje automático: en DPI moderno, las redes neuronales entrenadas en conjuntos de datos de flujo etiquetados identifican protocolos incluso cuando el contenido de los paquetes está cifrado. Esto es lo que hace que los protocolos cifrados como WireGuard o VPN-over-HTTPS sean detectables a pesar de la falta de firmas de texto sin formato.
  • Una vez que se clasifica un flujo, el sistema DPI puede actuar: bloquear, acelerar, registrar, redirigir o simplemente dejarlo pasar.

    ¿Quién usa DPI para qué?

    Operadores de red (los aburridos legítimos) use)

    ISP usan DPI para ingeniería de tráfico: saber qué protocolos están usando ancho de banda les permite aprovisionar capacidad, acelerar el punto a punto si es necesario y priorizar flujos sensibles a la latencia como VoIP sobre flujos tolerantes pero que consumen mucho ancho de banda como el correo electrónico. Las empresas utilizan DPI en firewalls y sistemas IDS/IPS para detectar comando y control de malware, exfiltración de datos y violaciones de políticas.

    Censura gubernamental (el uso controvertido)

    Aquí es donde DPI da forma a la experiencia de Internet moderna para miles de millones de personas:

    • China: el gran firewall es la implementación de DPI más grande y sofisticada del mundo. Bloquea dominios bloqueados, huellas digitales y protocolos VPN, finaliza conexiones que contienen palabras clave políticamente sensibles y explora activamente conexiones sospechosas para confirmar que son tráfico VPN antes de bloquearlas.
    • Irán: DPI implementado en 2008 con infraestructura de Nokia Siemens Networks. Se utiliza tanto para bloqueo como para vigilancia. La NIN (Red Nacional de Información) de Irán aísla efectivamente a los usuarios iraníes de gran parte de Internet global.
    • Rusia: aprobó una legislación que exige la implementación nacional de DPI (TSPU) a partir de 2019, a un costo estimado de 20 mil millones de rublos (300 millones de dólares). Se utiliza para limitar Twitter (2021), bloquear medios independientes después de 2022 e identificar usuarios de VPN.
    • Pakistán: DPI exigido por PECA proporcionado por la empresa canadiense Sandvine. Se utiliza para bloquear contenido blasfemo y políticamente sensible.
    • Egipto, Turquía, Indonesia, Vietnam, Siria, Singapur, Malasia, UAE: todos implementan DPI en diversos grados para el filtrado político y de políticas de contenido.

    Proveedores comerciales

    El principal hardware de DPI proviene de Cisco. Nokia, Sandvine, Allot Communications y Procera Networks. Sandvine, en particular, recibió críticas constantes por vender equipos a Bielorrusia que se utilizaron para reprimir las protestas de 2020 y a otros gobiernos autoritarios. La compañía finalmente dijo que dejaría de vender a ciertos gobiernos en 2022, aunque las acciones no siempre coinciden con los anuncios.

    Cómo maneja DPI el cifrado

    El cifrado es el mayor límite de DPI. Cuando todo el tráfico está envuelto en TLS, los bytes de carga útil son texto cifrado aleatorio: la comparación de patrones con el contenido de la capa de aplicación deja de funcionar. Pero el DPI no ha desaparecido; está adaptado:

    • SNI inspección: el campo Indicación del nombre del servidor en TLS ClientHello es texto sin formato en TLS 1.2 y 1.3 estándar. Los motores DPI leen SNI para saber a qué dominio se está conectando aunque el contenido esté cifrado. Cliente cifrado Hola está cerrando esta brecha.
    • Huellas digitales de flujo: distribuciones de tamaño de paquetes, tiempos entre llegadas, duración total de la sesión. Los modelos de aprendizaje automático pueden identificar qué aplicación (y, a veces, qué sitio web específico) está utilizando en Cloudflare solo a partir de estos patrones.
    • Huellas digitales del protocolo : la forma de los protocolos de enlace TLS, la secuencia de bytes distintiva del protocolo de enlace WireGuard, el patrón de protocolo de enlace OpenVPN: todos son reconocibles aunque la carga útil sea encrypted.
    • Sondeo activo: el GFW envía paquetes de prueba a destinos sospechosos para ver cómo responden. Un servidor HTTPS real responde con una respuesta TLS reconocible; un servidor VPN podría responder de una manera que se delate.
    • XPLZ19Interceptación de XTLS: las redes empresariales instalan certificados de CA corporativos en dispositivos administrados, lo que permite que el proxy finalice TLS, inspeccione el texto sin formato y vuelva a cifrar. Visible para los usuarios (CA diferente en la cadena de certificados) pero transparente para las aplicaciones.

    Evadir DPI

    Las herramientas de privacidad y elusión utilizan varias técnicas:

    • Obfuscación: envuelve el tráfico VPN en algo que se parece a HTTPS (Stunnel, V2Ray, Cloak, AmneziaWG).
    • Domain fronting: dirige el tráfico a través de una CDN importante como Cloudflare o Amazon CloudFront para que el SNI muestre un dominio legítimo popular. Varios proveedores de nube han desactivado esto; El gato y el mouse continúa.
    • Fragmentación: divide el protocolo de enlace TLS en varios paquetes TCP para que el SNI no sea visible en un solo paquete. DoH oculta DNS; ECH oculta SNI; la fragmentación oculta ambos como alternativa.
    • Transportes conectables: obfs4 de Tor hace que el tráfico parezca bytes aleatorios; Snowflake parece videollamadas WebRTC; túneles mansos a través de los principales dominios CDN.
    • Mimetismo activo: protocolos como Hysteria 2 están diseñados específicamente para imitar la forma a nivel de bytes del tráfico de videollamadas QUIC, por lo que el análisis de flujo los clasifica como llamadas ordinarias.

    Las implicaciones de privacidad

    DPI es la tecnología que marca la diferencia entre un ISP que sabe que "este usuario está conectado a Internet" y "este usuario está viendo Netflix específicamente mientras descarga torrents de Ubuntu en segundo plano, con tamaños de paquete promedio consistentes con la nueva temporada de Bridgerton". Esa visibilidad granular es incómoda incluso cuando no está armada.

    Para usuarios en países con implementaciones hostiles de DPI, la defensa práctica está en capas: WireGuard con una capa de ofuscación o OpenVPN sobre TCP/443 con ofuscación TLS, más DNS sobre HTTPS, más ECH cuando esté disponible. Para los usuarios de jurisdicciones más amigables, las mismas herramientas brindan higiene de la privacidad en lugar de escape, pero vale la pena usarlas de todos modos.

    Preguntas frecuentes

    ¿Puede DPI ver lo que hago en HTTPS?
    No el contenido. HTTPS cifra la carga útil, por lo que DPI no puede leer el contenido real de la página. Pero DPI aún puede ver el dominio de destino a través de SNI (en TLS estándar), el tamaño total y el patrón de tiempo de la conexión, y la forma aproximada de la actividad, suficiente para inferir qué servicio estás usando y, a veces, qué acciones específicas estás tomando. Cliente cifrado Hola oculta el SNI; las otras filtraciones de metadatos persisten.
    ¿Por qué es tan eficaz el Gran Cortafuegos de China?
    Tres razones. En primer lugar, la escala: el DPI aplicado en cada puerta de enlace internacional. En segundo lugar, sondeo activo: cuando se detecta tráfico sospechoso, el GFW envía paquetes de prueba para confirmar que es una VPN antes de bloquearla. En tercer lugar, el aprendizaje automático: los modelos entrenados con años de tráfico de elusión etiquetado pueden identificar protocolos ofuscados por la forma de su flujo, incluso cuando los bytes son aleatorios. El GFW es una infraestructura DPI genuinamente de última generación.
    ¿El uso de una VPN anula el DPI?
    Anula la inspección de contenido, no los metadatos. La VPN cifra lo que hay dentro del túnel, por lo que DPI no puede ver los sitios web que estás visitando. Pero DPI generalmente puede identificar que estás usando una VPN: los apretones de manos de VPN tienen formas distintivas. Los países que bloquean las VPN las detectan mediante DPI, no mediante el contenido cifrado. Los protocolos VPN ofuscados (Proton Stealth, NordWhisper, OpenVPN con ofuscación TLS, AmneziaWG) también disfrazan el apretón de manos.
    ¿Es legal el DPI?
    En la mayoría de los países, sí, cuando lo hacen los operadores de red sobre el tráfico que están enrutando. Los marcos de interceptación legal (CALEA en EE. UU., IPB en el Reino Unido) autorizan explícitamente el uso gubernamental de DPI bajo supervisión judicial. Las partes controvertidas son la vigilancia masiva, la implementación en contextos autoritarios y el uso comercial sin divulgación (los ISP monetizan los datos de navegación a través de DPI sin consentimiento).
    ¿Puedo saber si mi ISP está usando DPI?
    A veces. Acelerar la velocidad de aplicaciones específicas (BitTorrent lento pero otras descargas rápidas) es una señal. La interceptación de TLS es detectable en su navegador: la cadena de certificados mostrará su CA corporativa o ISP en lugar de la real. Herramientas como Wireshark y la comparación con redes limpias conocidas pueden identificar modificaciones. Para realizar pruebas exhaustivas, nuestra prueba de fugas de DNS <a href='/dns-leak-test'></a> revela si se está interceptando DNS; nuestra prueba de fugas <a href='/vpn-leak-test'>VPN</a> comprueba la integridad del túnel.
    Explicación de la inspección profunda de paquetes: cómo ven las redes el interior de su tráfico | Maestro VPN Pro