Bolehkah DPI melihat apa yang saya lakukan pada HTTPS?

Bukan kandungannya. HTTPS menyulitkan muatan, jadi DPI tidak dapat membaca kandungan halaman sebenar. Tetapi DPI masih boleh melihat domain destinasi melalui SNI (dalam TLS standard), jumlah saiz dan corak masa sambungan dan bentuk kasar aktiviti — cukup untuk membuat kesimpulan perkhidmatan yang anda gunakan dan kadangkala tindakan khusus yang anda lakukan. Pelanggan yang disulitkan Hello menyembunyikan SNI; kebocoran metadata yang lain kekal.

Mengapakah Tembok Api Hebat China begitu berkesan?

Tiga sebab. Pertama, skala — DPI digunakan di setiap pintu masuk antarabangsa. Kedua, siasatan aktif — apabila trafik yang mencurigakan dikesan, GFW menghantar paket ujian untuk mengesahkan ia adalah VPN sebelum menyekat. Ketiga, pembelajaran mesin — model yang dilatih selama bertahun-tahun trafik pemintasan berlabel boleh mengenal pasti protokol yang dikelirukan dengan bentuk alirannya walaupun bait adalah rawak. GFW adalah infrastruktur DPI yang benar-benar terkini.

Adakah menggunakan VPN mengalahkan DPI?

Mengalahkan pemeriksaan kandungan, bukan metadata. VPN menyulitkan apa yang ada di dalam terowong, jadi DPI tidak dapat melihat tapak web yang anda lawati. Tetapi DPI biasanya boleh mengenal pasti bahawa anda menggunakan VPN — Jabat tangan VPN mempunyai bentuk yang tersendiri. Negara yang menyekat VPN mengesannya melalui DPI, bukan melalui kandungan yang disulitkan. Protokol VPN yang dikaburkan (Proton Stealth, NordWhisper, OpenVPN dengan pengaburan TLS, AmneziaWG) juga menyamarkan jabat tangan.

Di kebanyakan negara, ya — apabila dilakukan oleh pengendali rangkaian pada trafik yang mereka halakan. Rangka kerja pintasan yang sah (CALEA di AS, IPB di UK) secara jelas membenarkan penggunaan DPI oleh kerajaan di bawah pengawasan kehakiman. Bahagian kontroversi ialah pengawasan pukal, penggunaan dalam konteks autoritarian dan penggunaan komersial tanpa pendedahan (ISP mengewangkan data penyemakan imbas melalui DPI tanpa kebenaran).

Bolehkah saya mengetahui sama ada ISP saya menggunakan DPI?

Kadang-kadang. Apl khusus pendikit kelajuan (BitTorrent perlahan tetapi muat turun lain pantas) adalah satu tanda. Pemintasan TLS boleh dikesan dalam penyemak imbas anda — rantaian sijil akan menunjukkan CA korporat atau ISP anda dan bukannya yang sebenar. Alat seperti Wireshark ditambah perbandingan dengan rangkaian yang diketahui bersih boleh mengenal pasti pengubahsuaian. Untuk ujian komprehensif, ujian kebocoran DNS kami mendedahkan jika DNS dipintas; ujian kebocoran VPN kami menyemak integriti terowong.

Pemeriksaan Paket Dalam Menjelaskan: Bagaimana Rangkaian Melihat Di Dalam Trafik Anda

Pemeriksaan Paket Dalam ialah teknologi yang membolehkan pengendali rangkaian melihat bukan sahaja alamat pada sampul paket, tetapi juga apa yang ada di dalamnya. Beginilah cara Great Firewall of China menyekat VPN. Beginilah cara alat keselamatan perusahaan mengesan perisian hasad. Beginilah cara ISP mendikitkan BitTorrent. Dan itulah sebabnya pembekal VPN anda telah membelanjakan berjuta-juta untuk penyamaran protokol. Begini cara ia sebenarnya berfungsi.

Badan artikel penuh disediakan dalam bahasa Inggeris di bawah.

Apa DPI sebenarnya

Deep Packet Inspection (DPI) ialah amalan memeriksa kandungan — muatan lapisan aplikasi — paket rangkaian, bukan hanya pengepalanya. Apabila pemeriksaan paket cetek hanya melihat ke mana paket pergi (IP sumber, IP destinasi, nombor port), DPI melihat data sebenar di dalamnya: Permintaan HTTP, jabat tangan TLS, cap jari protokol BitTorrent, tandatangan terowong VPN, bentuk khusus aliran penstriman video.

Teknik ini telah wujud dalam beberapa bentuk dalam 2009000000000 perkakasan sejak pertengahan 19090. mendapat cukup pantas untuk bersaing dengan kelajuan tulang belakang. Sistem DPI moden boleh mengekalkan analisis pada 10 Gbps atau lebih bagi setiap perkakas, iaitu daya pemprosesan yang diperlukan untuk memeriksa setiap paket pada pautan ISP peringkat-2 dalam masa nyata.

Cara DPI berfungsi secara teknikal

A Enjin DPI mempunyai tiga lapisan analisis:

XPLZ10PLXXn3XPLZ10PLZPLZ11PLXPadanan: jujukan bait yang diketahui. "Paket ini mengandungi kata kerja HTTP GET. Yang ini bermula dengan bait ajaib jabat tangan WireGuard. Ini sepadan dengan format pengumuman penjejak BitTorrent." Pantas, boleh dipercayai untuk protokol tidak disulitkan.

Analisis heuristik: mengelaskan aliran mengikut gelagat. Saiz paket, corak masa, nisbah masuk kepada keluar. Aliran dengan paket besar pecah dalam satu arah dan ACK kecil di arah yang lain ialah penstriman video. Aliran dengan paket bersaiz sama yang konsisten pada frekuensi tinggi berkemungkinan panggilan video atau VPN.

Klasifikasi pembelajaran mesin: dalam DPI moden, rangkaian saraf yang dilatih pada set data aliran berlabel mengenal pasti protokol walaupun kandungan paket disulitkan. Inilah yang menjadikan protokol yang disulitkan seperti WireGuard atau VPN-over-HTTPS dapat dikesan walaupun tiada tandatangan teks biasa.

Setelah aliran diklasifikasikan, sistem DPI boleh bertindak: menyekat, pendikit, log, ubah hala atau hanya biarkan ia berlalu.

PLZworks menggunakan DPI untuk apa. (penggunaan sah yang membosankan)

ISP menggunakan DPI untuk kejuruteraan trafik — mengetahui protokol yang menggunakan lebar jalur membolehkan mereka menyediakan kapasiti, pendikit peer-to-peer jika perlu dan mengutamakan aliran sensitif kependaman seperti VoIP berbanding aliran yang lapar lebar jalur tetapi bertolak ansur seperti e-mel. Perusahaan menggunakan DPI dalam tembok api dan sistem IDS/IPS untuk mengesan perintah dan kawalan perisian hasad, penyingkiran data dan pelanggaran dasar.

Penapisan kerajaan (penggunaan kontroversi)

Di sinilah DPI membentuk pengalaman internet moden untuk berbilion-bilion people:

China: Great Firewall ialah penggunaan DPI terbesar dan paling canggih di dunia. Ia menyekat domain yang disekat, cap jari dan menyekat protokol VPN, menamatkan sambungan yang mengandungi kata kunci sensitif politik dan secara aktif menyiasat sambungan yang mencurigakan untuk mengesahkan bahawa mereka adalah trafik VPN sebelum menyekatnya.
Iran: DPI digunakan pada tahun 2008 dengan infrastruktur Nokia Siemens. Digunakan untuk penyekatan dan pengawasan. NIN (Rangkaian Maklumat Kebangsaan) Iran dengan berkesan mengasingkan pengguna Iran daripada kebanyakan internet global.
Russia: meluluskan undang-undang yang memerlukan pelancaran DPI (TSPU) seluruh negara mulai 2019, dengan anggaran kos 20 bilion rubel ($300M USD). Digunakan untuk mendikit Twitter (2021), menyekat media bebas selepas 2022 dan mengenal pasti pengguna VPN.
Pakistan: DPI mandat PECA yang disediakan oleh firma Kanada Sandvine. Digunakan untuk menyekat kandungan yang menghujat dan sensitif politik.
Mesir, Turki, Indonesia, Vietnam, Syria, Singapura, Malaysia, UAE: semuanya menggunakan DPI ke tahap yang berbeza-beza untuk penapisan politik dan dasar kandungan.

PL6ZJJ57

Perkakasan komersial datang dari CiscoX

PL6X Vendor CiscoMas Nokia, Sandvine, Allot Communications dan Rangkaian Procera. Sandvine khususnya mendapat kritikan berterusan kerana menjual peralatan kepada Belarus yang digunakan untuk menyekat protes 2020, dan kepada kerajaan autoritarian lain. Syarikat itu akhirnya berkata ia akan berhenti menjual kepada kerajaan tertentu pada 2022, walaupun tindakan itu tidak selalunya sepadan dengan pengumuman.

Cara DPI mengendalikan penyulitan

Penyulitan ialah had terbesar DPI. Apabila semua trafik dibungkus dalam TLS, bait muatan ialah teks sifir rawak — padanan corak terhadap kandungan lapisan aplikasi berhenti berfungsi. Tetapi DPI tidak hilang; ia disesuaikan:

SNI inspection: medan Petunjuk Nama Pelayan dalam TLS ClientHello ialah teks biasa dalam TLS 1.2 dan 1.3 standard. Enjin DPI membaca SNI untuk mengetahui domain yang anda sambungkan walaupun kandungannya disulitkan. Encrypted Client Hello sedang menutup jurang ini.
Flow fingerprinting: pengedaran saiz paket, masa antara ketibaan, jumlah panjang sesi. Model ML boleh mengenal pasti aplikasi mana (dan kadangkala tapak web tertentu) yang anda gunakan di Cloudflare hanya daripada corak ini.
Protocol cap jari: bentuk jabat tangan TLS, urutan bait tersendiri WireGuard handshake, corak jabat tangan OpenVPN — kesemuanya boleh dikenali sebagai payload disulitkan.
Penyelidikan aktif: GFW menghantar paket ujian ke destinasi yang mencurigakan untuk melihat cara ia bertindak balas. Pelayan HTTPS sebenar membalas dengan respons TLS yang boleh dikenali; pelayan VPN mungkin bertindak balas dengan cara yang memberikan dirinya sendiri. Kelihatan kepada pengguna (CA yang berbeza dalam rantaian sijil) tetapi telus kepada aplikasi.

Mengelakkan DPI

Alat privasi dan pemintasan menggunakan beberapa teknik:

Obfuscation sesuatu yang kelihatan seperti VPNStunnel dalam HTTPS V2Ray, Cloak, AmneziaWG).
Domain fronting: laluan trafik melalui CDN utama seperti Cloudflare atau Amazon CloudFront supaya SNI menunjukkan domain sah yang popular. Beberapa pembekal awan telah melumpuhkan ini; kucing-dan-tikus diteruskan.
Fragmentation: bahagikan jabat tangan TLS merentasi berbilang paket TCP supaya SNI tidak kelihatan dalam satu paket. DoH menyembunyikan DNS; ECH menyembunyikan SNI; pemecahan menyembunyikan kedua-duanya sebagai sandaran.
Pluggable transports: Obfs4 Tor menjadikan trafik kelihatan seperti bait rawak; Snowflake kelihatan seperti panggilan video WebRTC; terowong lembut melalui domain CDN utama.
Mimikri aktif: protokol seperti Hysteria 2 direka khusus untuk meniru bentuk peringkat bait trafik panggilan video QUIC jadi analisis aliran mengklasifikasikannya sebagai panggilan biasa.

XPLZXPLZPLZ53plicationsPLXPLZ52Privasi5Z53sPLXPL ialah teknologi yang membuat perbezaan antara ISP mengetahui "pengguna ini disambungkan ke internet" dan "pengguna ini menonton Netflix secara khusus sambil mengalirkan Ubuntu di latar belakang, dengan saiz paket purata selaras dengan musim Bridgerton baharu." Keterlihatan berbutir itu tidak selesa walaupun tidak bersenjata.
Bagi pengguna di negara yang mempunyai penempatan DPI yang bermusuhan, pertahanan praktikal berlapis-lapis: WireGuard dengan lapisan obfuscation atau OpenVPN melalui TCP/443 dengan TCP/443 yang tersedia, ditambah dengan TLS atau DNSfus dengan TLS, ditambah dengan HTTPS atau DNS. Bagi pengguna dalam bidang kuasa yang lebih mesra, alatan yang sama menyediakan kebersihan privasi dan bukannya melarikan diri, tetapi alat tersebut tetap berbaloi untuk digunakan.

Soalan lazim

Bolehkah DPI melihat apa yang saya lakukan pada HTTPS?: Bukan kandungannya. HTTPS menyulitkan muatan, jadi DPI tidak dapat membaca kandungan halaman sebenar. Tetapi DPI masih boleh melihat domain destinasi melalui SNI (dalam TLS standard), jumlah saiz dan corak masa sambungan dan bentuk kasar aktiviti — cukup untuk membuat kesimpulan perkhidmatan yang anda gunakan dan kadangkala tindakan khusus yang anda lakukan. Pelanggan yang disulitkan Hello menyembunyikan SNI; kebocoran metadata yang lain kekal.
Mengapakah Tembok Api Hebat China begitu berkesan?: Tiga sebab. Pertama, skala — DPI digunakan di setiap pintu masuk antarabangsa. Kedua, siasatan aktif — apabila trafik yang mencurigakan dikesan, GFW menghantar paket ujian untuk mengesahkan ia adalah VPN sebelum menyekat. Ketiga, pembelajaran mesin — model yang dilatih selama bertahun-tahun trafik pemintasan berlabel boleh mengenal pasti protokol yang dikelirukan dengan bentuk alirannya walaupun bait adalah rawak. GFW adalah infrastruktur DPI yang benar-benar terkini.
Adakah menggunakan VPN mengalahkan DPI?: Mengalahkan pemeriksaan kandungan, bukan metadata. VPN menyulitkan apa yang ada di dalam terowong, jadi DPI tidak dapat melihat tapak web yang anda lawati. Tetapi DPI biasanya boleh mengenal pasti bahawa anda menggunakan VPN — Jabat tangan VPN mempunyai bentuk yang tersendiri. Negara yang menyekat VPN mengesannya melalui DPI, bukan melalui kandungan yang disulitkan. Protokol VPN yang dikaburkan (Proton Stealth, NordWhisper, OpenVPN dengan pengaburan TLS, AmneziaWG) juga menyamarkan jabat tangan.
Adakah DPI sah?: Di kebanyakan negara, ya — apabila dilakukan oleh pengendali rangkaian pada trafik yang mereka halakan. Rangka kerja pintasan yang sah (CALEA di AS, IPB di UK) secara jelas membenarkan penggunaan DPI oleh kerajaan di bawah pengawasan kehakiman. Bahagian kontroversi ialah pengawasan pukal, penggunaan dalam konteks autoritarian dan penggunaan komersial tanpa pendedahan (ISP mengewangkan data penyemakan imbas melalui DPI tanpa kebenaran).
Bolehkah saya mengetahui sama ada ISP saya menggunakan DPI?: Kadang-kadang. Apl khusus pendikit kelajuan (BitTorrent perlahan tetapi muat turun lain pantas) adalah satu tanda. Pemintasan TLS boleh dikesan dalam penyemak imbas anda — rantaian sijil akan menunjukkan CA korporat atau ISP anda dan bukannya yang sebenar. Alat seperti Wireshark ditambah perbandingan dengan rangkaian yang diketahui bersih boleh mengenal pasti pengubahsuaian. Untuk ujian komprehensif, ujian kebocoran <a href='/dns-leak-test'>DNS kami</a> mendedahkan jika DNS dipintas; ujian kebocoran <a href='/vpn-leak-test'>VPN kami</a> menyemak integriti terowong.