Пассивный DPI — это метод анализа интернет-трафика, при котором сети или провайдеры мониторят данные, проходящие через их системы, без активного вмешательства в трафик. 3

Алгоритм работы пассивного DPI включает следующие этапы: 5

1. Захват пакетов. 5 DPI перехватывает трафик на различных уровнях сетевого стека. 5 Это может происходить на маршрутизаторах, межсетевых экранах, системах обнаружения вторжений или даже на сетевых интерфейсах конечных устройств. 5
2. Предварительная обработка. 5 Перед анализом полезной нагрузки DPI анализирует заголовки пакетов для определения базовых характеристик трафика: IP-адресов источника и назначения, номеров портов, протоколов (TCP, UDP и т. д.). 5
3. Декодирование протоколов. 5 DPI использует декодеры для разбора различных сетевых протоколов. 5 Вначале анализируются низкоуровневые протоколы (Ethernet, IP, TCP/UDP), а затем более высокие уровни (HTTP, SMTP, DNS, FTP и т. д.). 5
4. Реконструкция потока. 5 В некоторых случаях DPI нужно собрать несколько пакетов вместе для получения полной картины данных. 5 Например, в случае с TCP, данные могут передаваться фрагментами, и DPI должен собрать эти фрагменты для анализа. 5
5. Анализ полезной нагрузки (payload). 5 DPI может анализировать эти данные на наличие различных паттернов, сигнатур или аномалий. 5 Анализ может включать:

• Сигнатурный анализ. 5 Сравнение данных с известными шаблонами вредоносных программ, атак или запрещённого контента. 5
• Анализ протоколов. 5 Некоторые протоколы (например, BitTorrent или VoIP) могут быть специфически идентифицируемы по их структуре данных. 5
• Контент-анализ. 5 Это может включать проверку на наличие ключевых слов, фраз или других компонентов (например, номера кредитных карт, пароли). 5

1. Действия на основе анализа. 5 После анализа DPI может принять решение о том, что делать с пакетом или потоком данных. 5 Возможные действия включают:

• Разрешение. 5 Если трафик не нарушает установленные правила или политики безопасности, пакет передаётся дальше. 5
• Блокировка. 5 Если DPI находит подозрительный или запрещённый контент, пакет может быть отброшен. 5
• Перенаправление. 5 Трафик может быть перенаправлен на другой узел для дальнейшего анализа (например, на систему IDS/IPS). 5