What is deep packet inspection?

Dyb Pakkeinspektion: Hvad er det?

30/09/2022

Rating: 4.48 (8481 votes)
Indholdsfortegnelse

Hvad er Dyb Pakkeinspektion (DPI)?

I en verden, hvor vores liv i stigende grad foregår online, er forståelsen af de teknologier, der styrer vores digitale interaktioner, afgørende. En af disse kerneteknologier er Dyb Pakkeinspektion, ofte forkortet som DPI. Men hvad betyder det egentlig, og hvordan påvirker det os? I denne artikel dykker vi ned i DPI's verden, fra dens grundlæggende funktioner til dens implikationer for både individuelle brugere og virksomheder.

What is a shallow packet inspection?
There are multiple headers for IP packets; network equipment only needs to use the first of these (the IP header) for normal operation, but use of the second header (such as TCP or UDP) is normally considered to be shallow packet inspection (usually called stateful packet inspection) despite this definition.

Grundlæggende om DPI: Mere end bare overfladen

Forestil dig internettet som et komplekst netværk af veje, hvor data sendes i små pakker. Traditionelle netværksenheder, som f.eks. simple firewalls, kigger primært på pakkeoverskrifterne – lidt ligesom at kigge på adressen på et brev. De ser, hvor brevet kommer fra, og hvor det skal hen. Dyb Pakkeinspektion går et skridt videre. Den åbner brevet og læser selve indholdet. DPI er en netværkspakkefiltreringsteknik, der undersøger data-delen af en pakke (og potentielt også overskriften) for at bestemme, hvad der skal ske med den baseret på dens indhold.

Denne evne til at analysere selve datastrømmen giver DPI en utrolig magt. Den kan identificere og klassificere trafik baseret på en signaturdatabase, der indeholder information udvundet fra datadelen. Dette tillader en langt finere kontrol end klassifikation baseret udelukkende på header-information.

Hvornår startede det? En historisk kontekst

DPI-teknologi har en lang og teknologisk avanceret historie, der strækker sig tilbage til 1990'erne, længe før teknologien blev almindelig. Dens rødder kan spores over 30 år tilbage, hvor pionerer bidrog med deres opfindelser til branchens deltagere gennem fælles standarder og tidlige innovationer som RMON, Sniffer og Wireshark. Disse tidlige værktøjer lagde grundlaget for den avancerede inspektion, vi ser i dag.

Hvordan fungerer DPI i praksis?

Kernen i DPI er evnen til at analysere på flere lag af OSI-modellen. Mens traditionelle firewalls opererer primært på lag 3 (netværkslaget) og lag 4 (transportlaget), kan DPI operere op til lag 7 (applikationslaget). Dette betyder, at DPI kan identificere:

  • Applikationstype: Om trafikken er webbrowsing (HTTP/HTTPS), fildeling (FTP), streaming (YouTube, Netflix), eller noget helt andet.
  • Specifikke protokoller: Selv inden for en applikation kan DPI identificere specifikke protokoller eller versioner.
  • Indholdet af data: DPI kan potentielt genkende specifikke nøgleord, filtyper eller endda mønstre i selve dataene.

Når en pakke er identificeret og klassificeret, kan enheden, der udfører DPI, udføre en række handlinger:

  • Blokering: Forhindre uønsket trafik i at passere.
  • Omdirigering: Sende trafikken til en anden destination.
  • Markering/Tagging: Tilføje information til pakken, f.eks. for Quality of Service (QoS) for at prioritere visse typer trafik.
  • Rate Limiting: Begrænse båndbredden for specifikke applikationer eller brugere.
  • Logning og rapportering: Registrere information om trafikken til analyse.

Forskellen mellem DPI og Shallow Packet Inspection

Det er vigtigt at skelne DPI fra Shallow Packet Inspection (SPI). SPI, som ofte er en del af stateful firewalls, kigger primært på pakkeoverskrifter og sporer forbindelsestilstanden. Den kan se, om en pakke er en del af en etableret session, men den forstår ikke, hvad der foregår inde i selve datastrømmen. DPI er derimod en langt dybere analyse, der kan forstå applikationslaget og dermed give en mere nuanceret kontrol.

Why do I have to exempt apple domains from deep-inspection?
On iOS, with deep-inspection, you have to exempt some apple domains from deep-inspection because of Certificate Pinning. In the default deep-inspection profile in FortiOS 5.6, we have some default address groups exempted. With the native iTunes and Apple store, if you do not have the apple domains exempted, they will not work.

Anvendelsesområder for DPI

På virksomhedsniveau

Virksomheder anvender DPI af flere årsager:

  • Sikkerhed: DPI er en fundamental komponent i moderne IT-sikkerhed. Den kan identificere og forhindre avancerede trusler som vira, orme, buffer overflow-angreb og denial-of-service (DoS) angreb, som simple firewalls ville overse. Den kan også bruges til Data Leak Prevention (DLP), hvor følsomme data identificeres og forhindres i at forlade netværket.
  • Netværksstyring: Virksomheder kan bruge DPI til at optimere netværksydelsen ved at prioritere kritisk forretningstrafik (f.eks. VoIP eller videokonferencer) og begrænse båndbreddekrævende applikationer, der ikke er forretningsrelaterede (f.eks. P2P-fildeling).
  • Overholdelse af politikker: DPI kan håndhæve virksomhedens politikker for internetbrug, f.eks. ved at blokere adgang til bestemte websteder eller applikationer.

Hos Internet Service Providers (ISP'er)

ISP'er kan bruge DPI til:

  • Netværksoptimering: Identificere og administrere forskellige typer trafik for at sikre en stabil og effektiv service for alle kunder.
  • Tjenestekvalitet (QoS): Prioritere visse typer trafik, f.eks. streamingtjenester, for at forbedre brugeroplevelsen.
  • Håndhævelse af abonnementsvilkår: Sikre, at kunderne overholder vilkårene for deres abonnementer, f.eks. ved at begrænse dataforbrug for visse tjenester.

Anvendelse af regeringer

Regeringer kan bruge DPI til overvågning, censur eller national sikkerhed. Dette er dog et meget kontroversielt område, især i relation til privatlivets fred.

Udfordringer og bekymringer ved DPI

Privatliv og netneutralitet

En af de største bekymringer ved DPI er dens indvirkning på privatlivets fred. Ved at kunne inspicere selve indholdet af datapakkerne, kan DPI potentielt bruges til at overvåge brugernes onlineaktiviteter i detaljer. Dette har ført til betydelig debat om netneutralitet. Kritikere mener, at DPI kan bruges til at diskriminere mod visse typer trafik eller tjenester, hvilket strider imod princippet om, at al internettrafik skal behandles lige.

Folk og organisationer, der er bekymrede for privatliv eller netneutralitet, finder inspektion af internetprotokollens indholdslag stødende. De argumenterer for, at "Netværket blev bygget på åben adgang og ikke-diskrimination af pakker!". Kritikere af netneutralitetsregler kalder dem derimod "en løsning på et problem, der ikke eksisterer" og mener, at netneutralitetsregler ville reducere incitamenterne til at opgradere netværk og lancere næste-generations netværkstjenester. Mange anser DPI for at underminere internettets infrastruktur.

Tekniske udfordringer

kryptering er en væsentlig udfordring for DPI. Når trafikken er krypteret (f.eks. via HTTPS eller VPN), bliver det meget sværere for DPI-systemer at inspicere indholdet. For at omgå dette kan organisationer implementere SSL/TLS-inspektion, hvor de fungerer som en "man-in-the-middle" for at dekryptere og inspicere trafikken, før den sendes videre. Dette kræver dog udrulning af certifikater på brugernes enheder, hvilket kan være kompliceret, især med personlige enheder som iPhones.

What is spoofdpi (deep packet inspection)?
SpoofDPI, a cutting-edge solution available on GitHub, focuses on enabling users to bypass Deep Packet Inspection (DPI) mechanisms. A robust tool in today’s digital landscape, SpoofDPI manipulates both packet headers and payloads to ensure that the traffic it processes appears normal and benign to DPI systems.

Et eksempel på dette er udfordringen med at få Apple-enheder til at acceptere virksomhedens SSL-inspektionscertifikat. Selvom certifikatet installeres korrekt på en iPhone, kan der stadig opstå certifikatfejl ved browsing af HTTPS-websites eller brug af App Store, hvilket indikerer, at DPI-mekanismerne ikke fungerer som forventet for disse enheder eller tjenester.

Hastighed og omkostninger er også faktorer. Traditionelle DPI-metoder kan være langsomme og dyre, især for applikationer med høj båndbredde. Derfor udvikles der løbende mere effektive metoder.

Værktøjer til Dyb Pakkeinspektion

For dem, der er interesserede i at udforske DPI teknisk, findes der flere værktøjer:

  • Wireshark: Et populært netværksanalyseværktøj, der tilbyder grundlæggende DPI-funktionalitet gennem sine mange dissektorer, som kan vise feltnavne og indhold i pakker.
  • nDPI: Et open source-værktøj, der understøtter en lang række tilpasselige plugins og er designet til effektiv trafikklassifikation.
  • SpoofDPI: En løsning, der fokuserer på at omgå DPI-mekanismer. Den manipulerer både pakkeoverskrifter og payloads for at få trafikken til at fremstå normal for DPI-systemer.

Det er vigtigt at bemærke, at brugen af værktøjer som SpoofDPI kan være i strid med virksomhedens eller netværksudbyderens politikker.

Hvor finder man gratis DPI-værktøjer?

GitHub er en fremragende kilde til gratis og open source DPI-værktøjer. Udover nDPI kan man finde andre projekter, der tilbyder forskellige niveauer af pakkeinspektion og -analyse.

Where can I find a free deep packet inspection tool?
GitHub hosts a number of free deep packet inspection tools. nDPI is an open source tool that supports a laundry list of customizable plugins. Step 3: Speak with your IT legal department. DPI is a fundamental component of IT, and experienced network managers should be able to familiarize you with how your company gathers data.

Sammenligning af DPI-værktøjer

Der findes en række netværkstrafikklassifikatorer, der afhænger af DPI. En omfattende sammenligning af disse (såsom PACE, OpenDPI, L7-filter, NDPI, Libprotoident og Cisco NBAR) kan findes i uafhængige undersøgelser, der evaluerer deres ydeevne og nøjagtighed i trafikklassifikation.

Konklusion: En kraftfuld, men kompleks teknologi

Dyb Pakkeinspektion er en utroligt kraftfuld teknologi med brede anvendelsesmuligheder, lige fra at styrke virksomhedssikkerheden til at optimere netværksydelsen. Dens evne til at forstå og handle på indholdet af datapakker gør den til et uundværligt værktøj i den moderne digitale infrastruktur. Samtidig rejser den vigtige spørgsmål om privatliv, netneutralitet og tekniske udfordringer som kryptering.

For at navigere effektivt i DPI's verden er det afgørende at forstå, hvordan det fungerer, hvilke fordele og ulemper det medfører, og hvordan man kan beskytte sig selv eller udnytte teknologien ansvarligt. Hvis du er i tvivl, er det altid en god idé at tale med din IT-afdeling eller juridiske afdeling for at forstå, hvordan DPI anvendes i din specifikke kontekst.

Ofte stillede spørgsmål (FAQ)

Hvad er hovedformålet med DPI?
Hovedformålet med DPI er at analysere og styre netværkstrafik baseret på indholdet af datapakkerne, hvilket giver en dybere indsigt og kontrol end traditionel netværksfiltrering.

What is deep packet inspection?
Deep Packet Inspection is a network packet filtering technique that examines the data part (and possibly also the header) of a packet as it passes an inspection point, to determine what to do with the packet based on its content.

Hvorfor er Apple-domæner et problem for DPI?
Apple bruger i stigende grad stærk kryptering og har mekanismer, der kan gøre det vanskeligt for DPI-systemer at inspicere trafikken korrekt, selv når certifikater er installeret. Dette skyldes ofte Apples fokus på brugernes privatliv og sikkerhed.

Kan jeg omgå DPI?
Ja, værktøjer som SpoofDPI er designet til at omgå DPI ved at manipulere pakker. Dog kan dette være i strid med netværkspolitikker.

Er DPI lovligt?
Lovligheden af DPI afhænger af, hvordan det bruges, og hvilke love og regler der gælder i den pågældende jurisdiktion. I mange lande er det lovligt for virksomheder og ISP'er at bruge DPI til specifikke formål, men der er ofte strenge regler for overvågning og dataindsamling.

Hvordan påvirker DPI min internethastighed?
DPI kan potentielt påvirke internethastigheden, da det kræver yderligere processorkraft at analysere hver pakke. Moderne DPI-systemer er dog optimeret til at minimere denne effekt.

Hvis du vil læse andre artikler, der ligner Dyb Pakkeinspektion: Hvad er det?, kan du besøge kategorien Teknologi.

Go up