Как работает система DPI и какие методы ее обхода существуют?

DPI (Deep Packet Inspection) — это технология анализа сетевого трафика на уровне пакетов с целью выявления, классификации и фильтрации данных. 1

Работа DPI включает несколько этапов: 1

1. Захват пакетов. 1 DPI перехватывает трафик на различных уровнях сетевого стека. 1 Это может происходить на маршрутизаторах, межсетевых экранах, системах обнаружения вторжений или даже на сетевых интерфейсах конечных устройств. 1
2. Предварительная обработка. 1 DPI анализирует заголовки пакетов для определения базовых характеристик трафика: IP-адресов источника и назначения, номеров портов, протоколов. 1
3. Декодирование протоколов. 1 DPI использует декодеры для разбора различных сетевых протоколов. 1 Вначале анализируются низкоуровневые протоколы (Ethernet, IP, TCP/UDP), а затем более высокие уровни (HTTP, SMTP, DNS, FTP и т. д.). 1
4. Реконструкция потока. 1 В некоторых случаях DPI нужно собрать несколько пакетов вместе для получения полной картины данных. 1
5. Действия на основе анализа. 1 После анализа DPI может принять решение о том, что делать с пакетом или потоком данных. 1 Возможные действия включают разрешение, блокировку, перенаправление, логирование или изменение пакета. 1
6. Классификация и метаданные. 1 DPI может классифицировать трафик по типам приложений, услугам или пользователям. 1 Также система собирает метаданные о трафике, такие как продолжительность сессии, объём переданных данных, тип контента и т. д.. 1

Некоторые методы обхода DPI:

• Изменение заголовков HTTP/HTTPS-запросов. 3 Некоторые системы DPI полагаются на стандартные шаблоны заголовков и запросов. 3 Изменяя их (например, модифицируя регистры символов или добавляя пробелы), можно запутать DPI и предотвратить его корректное срабатывание. 3
• Фрагментация трафика. 3 При делении пакетов данных на более мелкие части некоторые системы DPI теряют возможность эффективно анализировать содержимое пакетов, что затрудняет блокировку. 3
• Подделка трафика. 3 Отправка ложных HTTP/HTTPS-запросов может сбить систему DPI, так как она начнёт анализировать поддельные пакеты, а не реальный трафик. 3
• Отправка неверной контрольной суммы TCP. 3 Этот метод основан на том, что многие сетевые устройства и программное обеспечение для анализа трафика имеют определённые ограничения или особенности в обработке пакетов с ошибками. 3

Использование методов обхода DPI может быть незаконным и привести к юридическим последствиям.