Deep Packet Inspection: Miten verkot näkevät liikenteessäsi

12 min lukeaVerkkoturvallisuus

Deep Packet Inspection on tekniikka, jonka avulla verkko-operaattori voi tarkastella paketin kirjekuoren osoitteiden lisäksi myös sen sisältöä. Näin Kiinan suuri palomuuri estää VPN:itä. Näin yrityksen tietoturvatyökalut havaitsevat haittaohjelmat. Näin Internet-palveluntarjoajat hillitsevät BitTorrentia. Ja tästä syystä VPN-palveluntarjoajasi on käyttänyt miljoonia protokollien hämärtämiseen. Näin se itse asiassa toimii.

Artikkelin koko runko on englanniksi alla.

Mikä DPI itse asiassa on

Deep Packet Inspection (DPI) on käytäntö, jossa tutkitaan verkkopakettien sisältöä – sovelluskerroksen hyötykuormaa – ei vain niiden otsikoita. Kun matala paketin tarkastus tarkastelee vain paketin kulkua (lähde-IP, kohde-IP, portin numero), DPI tarkastelee sisällä olevia todellisia tietoja: HTTP-pyynnöt, TLS-kättelyt, BitTorrent-protokollan sormenjäljet, VPN-tunneliallekirjoitukset, videon suoratoistovirran erityinen muoto.

Tekniikka on ollut olemassa jossain muodossa, kun laitteiston tarkastus meni 19-luvun puolivälistä lähtien. tarpeeksi nopea pysyäkseen selkärangan nopeuksissa. Modern DPI systems can sustain analysis at 10 Gbps or more per appliance, which is the throughput needed to inspect every packet on a tier-2 ISP link in real time.

How DPI works technically

A DPI engine has three layers of analysis:

  1. Pattern matching: looks for known tavusekvenssit. "Tämä paketti sisältää HTTP GET -verbin. Tämä alkaa WireGuardin kädenpuristustavuilla. Tämä vastaa BitTorrentin tracker-ilmoitusmuotoa." Nopea, luotettava salaamattomille protokollille.
  2. Heuristinen analyysi: luokittelee virrat käyttäytymisen mukaan. Paketin koot, ajoitusmallit, saapuvan ja lähtevän lähetyksen suhde. Vuo, jossa on purskeisia suuria paketteja yhdessä suunnassa ja pieniä kuittauksia toisessa, on videon suoratoisto. Vuo, jossa on johdonmukaisia ​​samankokoisia paketteja korkealla taajuudella, on todennäköisesti videopuhelu tai VPN.
  3. Koneoppimisen luokittelu: nykyaikaisessa DPI:ssä tunnistettujen vuodatajoukkojen perusteella koulutetut hermoverkot tunnistavat protokollat, vaikka paketin sisältö on salattu. Tämä tekee salatuista protokollista, kuten WireGuardista tai VPN-over-HTTPS:stä, havaittavissa selkeän tekstin allekirjoitusten puutteesta huolimatta.

Kun kulku on luokiteltu, DPI-järjestelmä voi toimia: estää, kuristaa, kirjata, uudelleenohjata tai yksinkertaisesti antaa sen kulkea.

forWho käyttää DPI:tä. what

Verkko-operaattorit (tylsä laillinen käyttö)

ISP:t käyttävät DPI:tä liikenteen suunnitteluun. Kun tietävät, mitkä protokollat käyttävät kaistanleveyttä, ne voivat tarjota kapasiteettia, hillitä vertaisyhteyksiä tarvittaessa ja priorisoida viiveherkät sähköpostivirrat, kuten VoIP, mutta kaistanleveyden kaltaisen virtauksen. Yritykset käyttävät DPI:tä palomuureissa ja IDS/IPS-järjestelmissä haittaohjelmien komentojen ja hallinnan, tietojen suodattamisen ja käytäntörikkomusten havaitsemiseen.

Hallituksen sensuuri (kiistanalainen käyttö)

Tässä DPI muokkaa modernin internetin miljardeja kokemuksia ihmiset:

  • Kiina: Great Firewall on maailman suurin ja kehittynein DPI-käyttöönotto. Se estää estetyt verkkotunnukset, sormenjäljet ​​ja VPN-protokollat, katkaisee yhteydet, jotka sisältävät poliittisesti arkaluonteisia avainsanoja, ja tutkii aktiivisesti epäilyttäviä yhteyksiä varmistaakseen, että ne ovat VPN-liikennettä ennen niiden estämistä.
  • Iran: otettiin käyttöön DPI vuonna 2008 Nokia Siemens Networkin infrastruktuurin kanssa. Käytetään sekä estämiseen että valvontaan. Iranin NIN (kansallinen tietoverkko) eristää tehokkaasti iranilaiset käyttäjät suuresta osasta maailmanlaajuista Internetiä.
  • Russia: hyväksytty lainsäädäntö, joka edellyttää valtakunnallista DPI:n käyttöönottoa (TSPU) vuodesta 2019 alkaen. Kustannusarvio on 20 miljardia ruplaa (300 miljoonaa dollaria). Käytetään Twitterin hillitsemiseen (2021), riippumattoman median estämiseen vuoden 2022 jälkeen ja VPN-käyttäjien tunnistamiseen.
  • Pakistan: PECA-valtuutettu DPI, jonka tarjoaa kanadalainen Sandvine. Käytetään pilkkaavan ja poliittisesti arkaluontoisen sisällön estämiseen.
  • Egypti, Turkki, Indonesia, Vietnam, Syyria, Singapore, Malesia, UAE: kaikki käyttävät DPI:tä eriasteisesti poliittiseen ja sisältöpolitiikan suodatukseen.
XPLZ58 vendors

Suurin DPI-laitteisto tulee Cisco, Nokia, Sandvine, Allot Communications ja Procera Networks. Erityisesti Sandvine sai jatkuvaa kritiikkiä laitteiden myymisestä Valko-Venäjälle, jota käytettiin vuoden 2020 mielenosoitusten tukahduttamiseen, ja muille autoritaarisille hallituksille. Yritys ilmoitti lopulta lopettavansa myynnin tietyille hallituksille vuonna 2022, vaikka toimet eivät aina vastaa ilmoituksia.

Miten DPI käsittelee salausta

Salaus on DPI:n suurin raja. Kun kaikki liikenne on kääritty TLS:ään, hyötykuorman tavut ovat satunnaisia ​​salatekstejä – kuvioiden sovitus sovelluskerroksen sisältöön lakkaa toimimasta. Mutta DPI ei ole kadonnut; se on mukautettu:

  • SNI-tarkastus: Palvelimen nimen ilmaisukenttä TLS ClientHellossa on pelkkä teksti standardeissa TLS 1.2 ja 1.3. DPI-moottorit lukevat SNI:n tietääkseen, mihin verkkotunnukseen muodostat yhteyden, vaikka sisältö on salattu. Encrypted Client Hello sulkee tämän aukon.
  • Flow-sormenjälki: pakettikoon jakaumat, saapumisajat, istunnon kokonaispituus. ML-mallit voivat tunnistaa, mitä sovellusta (ja joskus mitä verkkosivustoa) käytät Cloudflaressa, näiden mallien perusteella.
  • Protokollasormenjälki: TLS-kättelyjen muoto, WireGuard-kättelyn erottuva tavusekvenssi, OpenVPN-kättelykuvio – vaikka kaikki ovat tunnistettavissa salattu.
  • Active probing: GFW lähettää testipaketteja epäilyttäviin kohteisiin nähdäkseen, kuinka ne reagoivat. Todellinen HTTPS-palvelin vastaa tunnistettavalla TLS-vastauksella; VPN-palvelin saattaa vastata tavalla, joka antaa itsensä pois.
  • TLS-sieppaus: yritysverkot asentavat yrityksen CA-varmenteita hallittuihin laitteisiin, jolloin välityspalvelin voi lopettaa TLS:n, tarkistaa tekstin ja salata uudelleen. Näkyy käyttäjille (eri CA varmenneketjussa), mutta läpinäkyvä sovelluksille.

Välittäminen DPI

Tietosuoja- ja kiertotyökalut käyttävät useita tekniikoita:

  • Obfuscationl joka näyttää HTTPS-liikenteeltä (jotain VPNS:ssä:XPLZ30 V2Ray, Cloak, AmneziaWG).
  • Domain fronting: reititä liikenne suuren CDN:n, kuten Cloudflare tai Amazon CloudFront, läpi, jotta SNI näyttää suositun laillisen verkkotunnuksen. Useat pilvipalveluntarjoajat ovat poistaneet tämän käytöstä; kissa ja hiiri jatkuu.
  • Fragmentointi: jaa TLS-kättely useisiin TCP-paketteihin, jotta SNI ei näy yhdessä paketissa. DoH piilottaa DNS; ECH piilottaa SNI:n; pirstoutuminen piilottaa molemmat varavarana.
  • Kytkettävät kuljetukset: Torin obfs4 saa liikenteen näyttämään satunnaiselta tavulta; Snowflake näyttää WebRTC-videopuheluilta; lempeitä tunneleita tärkeimpien CDN-verkkotunnusten läpi.
  • Aktiivinen mimikri: Hysteria 2:n kaltaiset protokollat on suunniteltu erityisesti matkimaan QUIC-videopuheluliikenteen tavutason muotoa, joten virtausanalyysi luokittelee ne tavallisiksi puheluiksi. on tekniikka, joka tekee eron Internet-palveluntarjoajan, joka tietää "tämä käyttäjä on yhteydessä Internetiin" ja "tämä käyttäjä katselee Netflixiä erityisesti samalla kun torrentit Ubuntua taustalla, välillä, joiden keskimääräiset pakettikoot ovat uuden Bridgerton-kauden mukaisia." Tämä rakeinen näkyvyys on epämiellyttävää, vaikka sitä ei olisi aseistettu.

    Käyttäjille maissa, joissa on vihamielinen DPI-käyttöönotto, käytännöllinen puolustus on kerrostettu: WireGuard hämäräkerroksella tai OpenVPN yli TCP/443, jossa HTTP on saatavilla, plus TLS-obfusaatio, plus TLS obfusaatio. Ystävällisemmillä lainkäyttöalueilla oleville käyttäjille samat työkalut tarjoavat yksityisyyden hygieniaa pakoon, mutta niitä kannattaa kuitenkin käyttää.

Usein kysytyt kysymykset

Näkeekö DPI, mitä teen HTTPS:llä?
Ei sisältöä. HTTPS salaa hyötykuorman, joten DPI ei voi lukea todellista sivun sisältöä. Mutta DPI näkee silti kohdeverkkotunnuksen SNI:n kautta (tavallisessa TLS:ssä), yhteyden kokonaiskoon ja ajoitusmallin sekä toiminnan karkean muodon – riittää päättelemään, mitä palvelua käytät ja mitä tiettyjä toimia teet joskus. Salattu asiakas Hello piilottaa SNI:n; muut metatietovuodot säilyvät.
Miksi Kiinan suuri palomuuri on niin tehokas?
Kolme syytä. Ensinnäkin mittakaava – DPI:tä sovelletaan jokaiseen kansainväliseen yhdyskäytävään. Toiseksi aktiivinen luotaus – kun epäilyttävää liikennettä havaitaan, GFW lähettää testipaketteja varmistaakseen, että se on VPN ennen estämistä. Kolmanneksi koneoppiminen – vuosien leimatulla kiertoliikenteellä koulutetut mallit voivat tunnistaa hämärtyneet protokollat ​​niiden kulkumuodon perusteella, vaikka tavut ovat satunnaisia. GFW on aidosti uusinta DPI-infrastruktuuria.
Menettääkö VPN:n käyttö DPI:n?
Voittaa sisällöntarkistuksen, ei metatietoja. VPN salaa tunnelin sisällä olevan sisällön, joten DPI ei näe vierailemasi verkkosivustoja. Mutta DPI voi yleensä tunnistaa, että käytät VPN:ää – VPN-kättelyillä on erottuva muoto. VPN-verkkoja estävät maat havaitsevat ne DPI:n kautta, eivät salatun sisällön kautta. Hämärät VPN-protokollat ​​(Proton Stealth, NordWhisper, OpenVPN ja TLS-hämärtäminen, AmneziaWG) naamioivat myös kättelyn.
Onko DPI laillinen?
Useimmissa maissa kyllä ​​– kun verkko-operaattorit tekevät sen reitittämästään liikenteestä. Lailliset sieppauskehykset (CALEA Yhdysvalloissa, IPB Yhdistyneessä kuningaskunnassa) antavat nimenomaisesti luvan hallituksen käyttää DPI:tä oikeudellisen valvonnan alaisena. Kiistanalaisia ​​osia ovat joukkovalvonta, käyttöönotto autoritaarisissa yhteyksissä ja kaupallinen käyttö ilman paljastamista (internetpalveluntarjoajat kaupallistavat selausdataa DPI:n kautta ilman lupaa).
Voinko kertoa, käyttääkö Internet-palveluntarjoajani DPI:tä?
Joskus. Tiettyjen sovellusten nopeuden hillitseminen (BitTorrent hidas, mutta muut lataukset nopeasti) on merkki. TLS-sieppaus on havaittavissa selaimessasi – varmenneketju näyttää yrityksesi tai Internet-palveluntarjoajan varmentajan todellisen CA:n sijaan. Työkalut, kuten Wireshark ja vertailu tunnettuihin puhtaisiin verkkoihin, voivat tunnistaa muutokset. Kattavaa testausta varten <a href='/dns-leak-test'>DNS-vuototestimme</a> paljastaa, onko DNS siepattu. <a href='/vpn-leak-test'>VPN-vuototestimme</a> tarkistaa tunnelin eheyden.
Deep Packet Inspection selitys: Miten verkot näkevät liikenteessäsi | VPN Master Pro