ディープパケットインスペクション: ネットワークがトラフィックの内部をどのように確認するか
ディープ パケット インスペクションは、ネットワーク オペレータがパケット エンベロープ上のアドレスだけでなく、その中身も調べることができるテクノロジーです。これが中国のグレート ファイアウォールが VPN をブロックする仕組みです。これは、エンタープライズ セキュリティ ツールがマルウェアを検出する方法です。これは、ISP が BitTorrent を抑制する方法です。それが、VPN プロバイダーがプロトコルの難読化に何百万ドルも費やした理由です。実際の動作は次のとおりです。
記事全文は以下に英語で記載されています。
DPI の実際とは
ディープ パケット インスペクション (DPI) は、ネットワーク パケットのヘッダーだけでなく、その内容 (アプリケーション層のペイロード) を検査する手法です。シャロー パケット インスペクションではパケットの送信先 (送信元 IP、宛先 IP、ポート番号) のみが調べられますが、DPI は内部の実際のデータ (HTTP リクエスト、TLS ハンドシェイク、BitTorrent プロトコルのフィンガープリント、VPN トンネルの署名、ビデオ ストリーミング フローの特定の形状) を調べます。
この技術は 1990 年代半ばから何らかの形で存在していましたが、検査ハードウェアがバックボーンに追いつくのに十分な速度になったため、2000 年代に主流になりました。スピード。最新の DPI システムは、アプライアンスごとに 10 Gbps 以上の分析を維持できます。これは、ティア 2 ISP リンク上のすべてのパケットをリアルタイムで検査するために必要なスループットです。
DPI の技術的な仕組み
A DPI エンジンには 3 つの分析層があります。
- パターン マッチング: 既知のバイト シーケンスを検索します。 「このパケットには HTTP GET 動詞が含まれています。これは WireGuard ハンドシェイク マジック バイトで始まります。これは BitTorrent のトラッカー アナウンス フォーマットと一致します。」暗号化されていないプロトコルに対して高速で信頼性が高い。
- ヒューリスティック分析: フローを動作別に分類します。パケット サイズ、タイミング パターン、受信と送信の比率。一方向にバースト的な大きなパケットがあり、もう一方の方向に小さな ACK が含まれるフローがビデオ ストリーミングです。高頻度で一貫した同じサイズのパケットを含むフローは、ビデオ通話または VPN である可能性があります。
- 機械学習分類: 最新の DPI では、ラベル付きフロー データセットでトレーニングされたニューラル ネットワークは、パケットの内容が暗号化されている場合でもプロトコルを識別します。これにより、平文署名がないにもかかわらず、WireGuard や VPN-over-HTTPS などの暗号化プロトコルが検出可能になります。
フローが分類されると、DPI システムは、ブロック、スロットル、ログ、リダイレクト、または単純に通過させることができます。
誰が DPI を何に使用するのか
ネットワーク オペレーター (退屈なユーザー)正当な使用)
ISP は、トラフィック エンジニアリングに DPI を使用します。どのプロトコルが帯域幅を使用しているかを把握することで、容量をプロビジョニングし、必要に応じてピアツーピアを調整し、帯域幅を大量に消費するが耐性のある電子メールのようなフローよりも、VoIP などの遅延に敏感なフローを優先することができます。企業はファイアウォールや IDS/IPS システムで DPI を使用して、マルウェアのコマンド アンド コントロール、データ漏洩、ポリシー違反を検出します。
政府の検閲 (物議を醸している使用)
ここで、DPI が何十億人もの現代のインターネット エクスペリエンスを形作ります。 people:
- China: グレート ファイアウォールは、世界最大かつ最も洗練された DPI 導入です。ブロックされたドメイン、フィンガープリント、VPN プロトコルをブロックし、政治的に機密のキーワードを含む接続を終了し、疑わしい接続を積極的に調査してブロックする前に VPN トラフィックであることを確認します。
- Iran: 2008 年に Nokia Siemens Networks のインフラストラクチャを使用して DPI を導入しました。遮断と監視の両方に使用されます。イランの NIN (国家情報ネットワーク) は、世界中のインターネットの多くからイランのユーザーを効果的に隔離しています。
- Russia: 2019 年から推定 200 億ルーブル (3 億米ドル) の費用をかけ、全国的な DPI 展開 (TSPU) を義務付ける法案が可決されました。 Twitter (2021) の調整、2022 年以降の独立メディアのブロック、VPN ユーザーの識別に使用されます。
- Pakistan: カナダの企業 Sandvine が提供する PECA 義務の DPI。冒涜的で政治的に機密性の高いコンテンツをブロックするために使用されます。
- エジプト、トルコ、インドネシア、ベトナム、シリア、シンガポール、マレーシア、UAE: すべて、政治的およびコンテンツ ポリシーのフィルタリングのためにさまざまな程度に DPI を導入します。
商用ベンダー
主要な DPI ハードウェアは Cisco、Nokia、 Sandvine、Allot Communications、および Procera Networks。特にサンドバイン氏は、2020年の抗議活動を鎮圧するために使用された機器をベラルーシや他の権威主義政府に販売したことで継続的な批判を集めた。同社は最終的に、2022 年に特定の政府への販売を停止すると発表したが、その措置は必ずしも発表と一致するわけではない。
DPI による暗号化の処理方法
暗号化は DPI の最大の制限です。すべてのトラフィックが TLS でラップされると、ペイロード バイトはランダムな暗号文になり、アプリケーション層のコンテンツに対するパターン マッチングが機能しなくなります。しかし、DPI はなくなったわけではありません。適応されています:
- SNI Inspection: TLS ClientHello のサーバー名表示フィールドは、標準 TLS 1.2 および 1.3 では平文です。 DPI エンジンは SNI を読み取り、コンテンツが暗号化されている場合でも、接続しているドメインを認識します。 暗号化クライアント Hello は、このギャップを埋めています。
- フロー フィンガープリンティング: パケット サイズの分布、到着間隔、合計セッション長。 ML モデルは、これらのパターンだけで Cloudflare でどのアプリケーション (場合によっては特定の Web サイト) を使用しているかを識別できます。
- プロトコル フィンガープリンティング: TLS ハンドシェイクの形状、WireGuard ハンドシェイクの特徴的なバイト シーケンス、OpenVPN ハンドシェイク パターンは、ペイロードが異なっていてもすべて認識可能です。 encrypted.
- アクティブ プローブ: GFW はテスト パケットを疑わしい宛先に送信し、応答を確認します。実際の HTTPS サーバーは、認識可能な TLS 応答で応答します。 VPN サーバーは、自分自身を放棄する方法で応答する可能性があります。
- TLS 傍受: 企業ネットワークは管理対象デバイスに企業 CA 証明書をインストールし、プロキシが TLS を終了し、平文を検査し、再暗号化できるようにします。ユーザー (証明書チェーン内の別の CA) には表示されますが、アプリケーションには透過的です。
DPIXPLZ の回避24X
プライバシーおよび回避ツールはいくつかの技術を使用します:
- Obfuscation: VPN トラフィックを HTTPS のように見えるものでラップします (Stunnel、 V2Ray、Cloak、AmneziaWG).
- ドメイン フロント処理: Cloudflare や Amazon CloudFront などの主要な CDN を介してトラフィックをルーティングし、SNI が人気のある正規のドメインを表示するようにします。いくつかのクラウドプロバイダーはこれを無効にしています。いたちごっこは続きます。
- Fragmentation: TLS ハンドシェイクを複数の TCP パケットに分割して、SNI が 1 つのパケット内に表示されないようにします。 DoH は DNS を非表示にします。 ECH は SNI を隠します。断片化により、両方がフォールバックとして隠蔽されます。
- プラグイン可能なトランスポート: Tor の obfs4 により、トラフィックがランダムなバイトのように見えます。 Snowflake は WebRTC ビデオ通話のように見えます。
- アクティブ模倣: Hysteria 2のようなプロトコルは、QUICビデオ通話トラフィックのバイトレベルの形状を模倣するように特別に設計されているため、フロー分析により通常の通話として分類されます。
プライバシーへの影響
DPIは、次のような違いを生み出すテクノロジーです。 ISP は、「このユーザーはインターネットに接続している」こと、そして「このユーザーはバックグラウンドで Ubuntu をトレントしながら Netflix を特に視聴しており、平均パケット サイズはブリジャートンの新シーズンと一致している」ことを認識しています。
敵対的な DPI が展開されている国のユーザーにとって、実用的な防御は階層化されています。難読化レイヤーを備えた WireGuard、または TLS 難読化を備えた OpenVPN over TCP/443、さらに DNS over HTTPS、さらに利用可能な場合は ECH です。 For users in friendlier jurisdictions, the same tools provide privacy hygiene rather than escape, but they're worth using anyway.
よくある質問
- DPI は私が HTTPS で何をしているかを確認できますか?
- 内容ではありません。 HTTPS はペイロードを暗号化するため、DPI は実際のページのコンテンツを読み取ることができません。ただし、DPI は、SNI (標準 TLS) 経由で宛先ドメイン、接続の合計サイズとタイミング パターン、アクティビティの大まかな形状を確認できます。これにより、使用しているサービスや、場合によってはどの特定のアクションを実行しているかを推測するのに十分です。暗号化された Client Hello は SNI を非表示にします。他のメタデータの漏洩は残っています。
- なぜ中国のグレートファイアウォールはこれほど効果的なのでしょうか?
- 理由は 3 つあります。まず、スケール — DPI はすべての国際ゲートウェイに適用されます。 2 番目は、アクティブ プローブです。疑わしいトラフィックが検出されると、GFW はテスト パケットを送信して、ブロックする前に VPN であることを確認します。 3 番目に、機械学習 — 長年にわたるラベル付き回避トラフィックでトレーニングされたモデルは、バイトがランダムであっても、フローの形状によって難読化されたプロトコルを識別できます。 GFW はまさに最先端の DPI インフラストラクチャです。
- VPN を使用すると DPI が低下しますか?
- メタデータではなくコンテンツ検査を無効にします。 VPN はトンネル内を暗号化するため、アクセスしている Web サイトを DPI が認識することはできません。ただし、DPI は通常、VPN を使用していることを識別できます。VPN ハンドシェイクには独特の形状があります。 VPN をブロックしている国は、暗号化されたコンテンツではなく、DPI 経由で VPN を検出します。難読化された VPN プロトコル (Proton Stealth、NordWhisper、TLS 難読化を備えた OpenVPN、AmneziaWG) もハンドシェイクを偽装します。
- DPI は合法ですか?
- ほとんどの国では、ネットワーク オペレータがルーティングしているトラフィックに対して実行する場合、そのとおりです。合法的傍受の枠組み (米国の CALEA、英国の IPB) は、司法の監督下で政府による DPI の使用を明示的に許可しています。物議を醸している部分は、一括監視、権威主義的な状況での展開、開示なしの商用利用 (ISP が同意なしに DPI 経由で閲覧データを収益化する) です。
- ISP が DPI を使用しているかどうかを確認できますか?
- 時々。特定のアプリの速度調整 (BitTorrent は遅いが、他のダウンロードは速い) はその兆候です。 TLS インターセプトはブラウザで検出できます。証明書チェーンには、実際の CA ではなく、企業または ISP CA が表示されます。 Wireshark などのツールと既知のクリーンなネットワークとの比較により、変更を特定できます。包括的なテストの場合、<a href='/dns-leak-test'>DNS リーク テスト</a> により、DNS が傍受されているかどうかが明らかになります。 <a href='/vpn-leak-test'>VPN リーク テスト</a> は、トンネルの完全性をチェックします。