DPI può vedere cosa faccio su HTTPS?

Non il contenuto. HTTPS crittografa il payload, quindi DPI non può leggere il contenuto effettivo della pagina. Ma DPI può ancora vedere il dominio di destinazione tramite SNI (in TLS standard), la dimensione totale e il modello temporale della connessione e la forma approssimativa dell'attività, abbastanza per dedurre quale servizio stai utilizzando e talvolta quali azioni specifiche stai intraprendendo. Encrypted Client Hello hides the SNI; the other metadata leaks remain.

Perché il Great Firewall cinese è così efficace?

Tre ragioni. Innanzitutto, la scalabilità: DPI applicata a ogni gateway internazionale. In secondo luogo, il sondaggio attivo: quando viene rilevato traffico sospetto, GFW invia pacchetti di prova per confermare che si tratta di una VPN prima del blocco. In terzo luogo, l’apprendimento automatico: i modelli addestrati su anni di traffico di elusione etichettato possono identificare i protocolli offuscati in base alla loro forma di flusso anche quando i byte sono casuali. Il GFW è un'infrastruttura DPI veramente all'avanguardia.

L'uso di una VPN vanifica il DPI?

Defeats content inspection, not metadata. La VPN crittografa ciò che si trova all'interno del tunnel, quindi DPI non può vedere i siti Web che stai visitando. Ma DPI di solito è in grado di identificare che stai utilizzando una VPN: gli handshake VPN hanno forme distintive. I paesi che bloccano le VPN le rilevano tramite DPI, non tramite il contenuto crittografato. Anche i protocolli VPN offuscati (Proton Stealth, NordWhisper, OpenVPN con offuscamento TLS, AmneziaWG) mascherano l'handshake.

Nella maggior parte dei paesi sì, quando viene eseguito dagli operatori di rete sul traffico che stanno instradando. I quadri di intercettazione legale (CALEA negli Stati Uniti, IPB nel Regno Unito) autorizzano esplicitamente l’uso da parte del governo del DPI sotto controllo giudiziario. Le parti controverse sono la sorveglianza di massa, l'implementazione in contesti autoritari e l'uso commerciale senza divulgazione (gli ISP monetizzano i dati di navigazione tramite DPI senza consenso).

Posso sapere se il mio ISP utilizza DPI?

A volte. La limitazione della velocità di app specifiche (BitTorrent lento ma altri download veloci) è un segno. L'intercettazione TLS è rilevabile nel tuo browser: la catena di certificati mostrerà la tua CA aziendale o ISP invece di quella reale. Strumenti come Wireshark e il confronto con reti conosciute e pulite possono identificare le modifiche. Per test completi, il nostro test di tenuta DNS rivela se il DNS viene intercettato; il nostro test di tenuta VPN verifica l'integrità del tunnel.

Spiegazione dell'ispezione approfondita dei pacchetti: come le reti vedono il tuo traffico

Deep Packet Inspection è la tecnologia che consente a un operatore di rete di controllare non solo gli indirizzi sulla busta del pacchetto, ma anche cosa c'è dentro. È così che il Great Firewall cinese blocca le VPN. It's how enterprise security tools spot malware. It's how ISPs throttle BitTorrent. Ed è per questo che il tuo provider VPN ha speso milioni per l'offuscamento del protocollo. Here's how it actually works.

Il corpo completo dell'articolo è fornito in inglese di seguito.

Che cos'è effettivamente il DPI

La Deep Packet Inspection (DPI) è la pratica di esaminare il contenuto (il carico utile a livello di applicazione) dei pacchetti di rete, non solo le loro intestazioni. Laddove l'ispezione superficiale dei pacchetti esamina solo la destinazione del pacchetto (IP di origine, IP di destinazione, numero di porta), DPI esamina i dati effettivi all'interno: richieste HTTP, handshake TLS, impronte digitali del protocollo BitTorrent, firme del tunnel VPN, la forma specifica di un flusso di streaming video.

La tecnica esiste in qualche forma dalla metà degli anni '90, ma è diventata mainstream negli anni 2000 quando l'hardware di ispezione è diventato abbastanza veloce da tenere il passo con le velocità della dorsale. I moderni sistemi DPI possono sostenere l'analisi a 10 Gbps o più per apparecchio, che è il throughput necessario per ispezionare ogni pacchetto su un collegamento ISP di livello 2 in tempo reale.

Come funziona tecnicamente DPI

Un motore DPI ha tre livelli di analisi:

Corrispondenza di modelli: cerca sequenze di byte note. "Questo pacchetto contiene il verbo HTTP GET. Questo inizia con i byte magici dell'handshake di WireGuard. Questo corrisponde al formato di annuncio del tracker di BitTorrent." Veloce, affidabile per protocolli non crittografati.
Analisi euristica: classifica i flussi in base al comportamento. Dimensioni dei pacchetti, modelli temporali, rapporto tra entrata e uscita. Un flusso con pacchetti di grandi dimensioni a raffica in una direzione e piccoli ACK nell'altra è lo streaming video. Un flusso con pacchetti coerenti di uguali dimensioni ad alta frequenza è probabilmente una videochiamata o una VPN.
Classificazione dell'apprendimento automatico: nel DPI moderno, le reti neurali addestrate su set di dati di flusso etichettati identificano i protocolli anche quando i contenuti dei pacchetti sono crittografati. Questo è ciò che rende rilevabili i protocolli crittografati come WireGuard o VPN-over-HTTPS nonostante la mancanza di firme in testo normale.

Una volta classificato un flusso, il sistema DPI può agire: bloccarlo, limitarlo, registrarlo, reindirizzarlo o semplicemente lasciarlo passare.

Chi usa DPI per cosa

Operatori di rete (i noiosi e legittimi use)

ISP utilizzano DPI per l'ingegneria del traffico: sapere quali protocolli utilizzano la larghezza di banda consente loro di fornire capacità, limitare il peer-to-peer se necessario e dare priorità ai flussi sensibili alla latenza come il VoIP rispetto ai flussi affamati di larghezza di banda ma tolleranti come la posta elettronica. Le aziende utilizzano DPI nei firewall e nei sistemi IDS/IPS per rilevare operazioni di comando e controllo del malware, esfiltrazione di dati e violazioni delle policy.

Censura governativa (l'uso controverso)

Qui è dove DPI modella l'esperienza Internet moderna per miliardi di persone:

Cina: il Grande Il firewall è l'implementazione DPI più grande e sofisticata al mondo. Blocca i domini bloccati, le impronte digitali e blocca i protocolli VPN, termina le connessioni che contengono parole chiave politicamente sensibili e sonda attivamente le connessioni sospette per confermare che si tratti di traffico VPN prima di bloccarle.
Iran: DPI distribuito nel 2008 con infrastruttura di Nokia Siemens Networks. Utilizzato sia per il blocco che per la sorveglianza. La NIN (National Information Network) iraniana isola di fatto gli utenti iraniani da gran parte dell'Internet globale.
Russia: ha approvato una legislazione che richiede l'implementazione nazionale del DPI (TSPU) a partire dal 2019, per un costo stimato di 20 miliardi di rubli (300 milioni di dollari). Utilizzato per limitare Twitter (2021), bloccare i media indipendenti dopo il 2022 e identificare gli utenti VPN.
Pakistan: DPI con mandato PECA fornito dalla società canadese Sandvine. Utilizzato per bloccare contenuti blasfemi e politicamente sensibili.
Egitto, Turchia, Indonesia, Vietnam, Siria, Singapore, Malesia, UAE: tutti utilizzano DPI a vari livelli per il filtraggio politico e dei contenuti.

Fornitori commerciali

I principali hardware DPI provengono da Cisco, Nokia, Sandvine, Allot Communications e Procera Networks. Sandvine, in particolare, ha suscitato continue critiche per aver venduto attrezzature alla Bielorussia utilizzate per reprimere le proteste del 2020 e ad altri governi autoritari. Alla fine l'azienda ha dichiarato che avrebbe smesso di vendere ad alcuni governi nel 2022, anche se le azioni non sempre corrispondono a quanto annunciato.

Come DPI gestisce la crittografia

La crittografia è il limite maggiore di DPI. Quando tutto il traffico è racchiuso in TLS, i byte del payload sono testo cifrato casuale: la corrispondenza dei modelli con il contenuto a livello di applicazione smette di funzionare. Ma il DPI non è scomparso; è adattato:

SNI ispezione: il campo Indicazione nome server in TLS ClientHello è testo normale nello standard TLS 1.2 e 1.3. I motori DPI leggono SNI per sapere a quale dominio ti stai connettendo anche se il contenuto è crittografato. Encrypted Client Hello sta colmando questa lacuna.
Fingerprinting del flusso: distribuzioni delle dimensioni dei pacchetti, tempi di inter-arrivo, durata totale della sessione. I modelli ML possono identificare quale applicazione (e talvolta quale sito web specifico) stai utilizzando su Cloudflare solo da questi pattern.
Fingerprinting del protocollo: la forma degli handshake TLS, la sequenza di byte distintiva dell'handshake WireGuard, il pattern di handshake OpenVPN: tutti sono riconoscibili anche se il payload è crittografato.
Active probing: il GFW invia pacchetti di prova a destinazioni sospette per vedere come rispondono. Un vero server HTTPS risponde con una risposta TLS riconoscibile; un server VPN potrebbe rispondere in un modo che si rivela.
TLS intercettazione: le reti aziendali installano certificati CA aziendali sui dispositivi gestiti, consentendo al proxy di terminare TLS, ispezionare il testo in chiaro e crittografare nuovamente. Visibile agli utenti (CA diverse nella catena di certificati) ma trasparente per le applicazioni.

Evading DPI

Gli strumenti di privacy e elusione utilizzano diverse tecniche:

Obfuscation: avvolge il traffico VPN in qualcosa che assomigli a HTTPS (Stunnel, V2Ray, Cloak, AmneziaWG).
Domain fronting: instrada il traffico attraverso un CDN principale come Cloudflare o Amazon CloudFront in modo che SNI mostri un dominio legittimo popolare. Diversi fornitori di servizi cloud lo hanno disabilitato; cat-and-mouse continua.
Fragmentation: suddivide l'handshake TLS su più pacchetti TCP in modo che SNI non sia visibile in un singolo pacchetto. DoH nasconde il DNS; L'ECH nasconde l'SNI; la frammentazione nasconde entrambi come fallback.
Trasporti collegabili: obfs4 di Tor fa sembrare il traffico come byte casuali; Snowflake assomiglia alle videochiamate WebRTC; tunnel miti attraverso i principali domini CDN.
Mimetismo attivo: protocolli come Hysteria 2 sono progettati specificamente per imitare la forma a livello di byte del traffico di videochiamate QUIC in modo che l'analisi del flusso li classifichi come chiamate ordinarie.

Le implicazioni sulla privacy

DPI è la tecnologia che fa la differenza tra un ISP che sa che "questo utente è connesso a Internet" e "questo utente sta guardando Netflix in particolare mentre scarica Ubuntu in background, con dimensioni medie dei pacchetti coerenti con la nuova stagione di Bridgerton". Questa visibilità granulare è scomoda anche quando non è utilizzata come arma.

Per gli utenti in paesi con implementazioni DPI ostili, la difesa pratica è a più livelli: WireGuard con un livello di offuscamento o OpenVPN su TCP/443 con offuscamento TLS, più DNS su HTTPS, più ECH dove disponibile. Per gli utenti in giurisdizioni più amichevoli, gli stessi strumenti garantiscono l'igiene della privacy anziché la fuga, ma vale comunque la pena utilizzarli.

Domande frequenti

DPI può vedere cosa faccio su HTTPS?: Non il contenuto. HTTPS crittografa il payload, quindi DPI non può leggere il contenuto effettivo della pagina. Ma DPI può ancora vedere il dominio di destinazione tramite SNI (in TLS standard), la dimensione totale e il modello temporale della connessione e la forma approssimativa dell'attività, abbastanza per dedurre quale servizio stai utilizzando e talvolta quali azioni specifiche stai intraprendendo. Encrypted Client Hello hides the SNI; the other metadata leaks remain.
Perché il Great Firewall cinese è così efficace?: Tre ragioni. Innanzitutto, la scalabilità: DPI applicata a ogni gateway internazionale. In secondo luogo, il sondaggio attivo: quando viene rilevato traffico sospetto, GFW invia pacchetti di prova per confermare che si tratta di una VPN prima del blocco. In terzo luogo, l’apprendimento automatico: i modelli addestrati su anni di traffico di elusione etichettato possono identificare i protocolli offuscati in base alla loro forma di flusso anche quando i byte sono casuali. Il GFW è un'infrastruttura DPI veramente all'avanguardia.
L'uso di una VPN vanifica il DPI?: Defeats content inspection, not metadata. La VPN crittografa ciò che si trova all'interno del tunnel, quindi DPI non può vedere i siti Web che stai visitando. Ma DPI di solito è in grado di identificare che stai utilizzando una VPN: gli handshake VPN hanno forme distintive. I paesi che bloccano le VPN le rilevano tramite DPI, non tramite il contenuto crittografato. Anche i protocolli VPN offuscati (Proton Stealth, NordWhisper, OpenVPN con offuscamento TLS, AmneziaWG) mascherano l'handshake.
Il DPI è legale?: Nella maggior parte dei paesi sì, quando viene eseguito dagli operatori di rete sul traffico che stanno instradando. I quadri di intercettazione legale (CALEA negli Stati Uniti, IPB nel Regno Unito) autorizzano esplicitamente l’uso da parte del governo del DPI sotto controllo giudiziario. Le parti controverse sono la sorveglianza di massa, l'implementazione in contesti autoritari e l'uso commerciale senza divulgazione (gli ISP monetizzano i dati di navigazione tramite DPI senza consenso).
Posso sapere se il mio ISP utilizza DPI?: A volte. La limitazione della velocità di app specifiche (BitTorrent lento ma altri download veloci) è un segno. L'intercettazione TLS è rilevabile nel tuo browser: la catena di certificati mostrerà la tua CA aziendale o ISP invece di quella reale. Strumenti come Wireshark e il confronto con reti conosciute e pulite possono identificare le modifiche. Per test completi, il nostro test di tenuta <a href='/dns-leak-test'>DNS</a> rivela se il DNS viene intercettato; il nostro test di tenuta <a href='/vpn-leak-test'>VPN</a> verifica l'integrità del tunnel.