Система DPI-фильтрации интернет-трафика (Deep Packet Inspection) работает на прикладном уровне модели OSI. 2 Она позволяет в режиме реального времени проверять содержимое пакетов данных, проходящих через сеть. 4

Основные этапы работы DPI: 1

1. Захват пакетов. 1 DPI перехватывает трафик на различных уровнях сетевого стека. 1 Это может происходить на маршрутизаторах, межсетевых экранах, системах обнаружения вторжений или даже на сетевых интерфейсах конечных устройств. 1
2. Предварительная обработка. 1 DPI анализирует заголовки пакетов для определения базовых характеристик трафика: IP-адресов источника и назначения, номеров портов, протоколов. 1
3. Декодирование протоколов. 1 DPI использует декодеры для разбора различных сетевых протоколов. 1 Вначале анализируются низкоуровневые протоколы (Ethernet, IP, TCP/UDP), а затем более высокие уровни (HTTP, SMTP, DNS, FTP и т. д.). 1
4. Реконструкция потока. 1 В некоторых случаях DPI нужно собрать несколько пакетов вместе для получения полной картины данных. 1
5. Анализ полезной нагрузки. 1 DPI может анализировать эти данные на наличие различных паттернов, сигнатур или аномалий. 1
6. Действия на основе анализа. 1 После анализа DPI может принять решение о том, что делать с пакетом или потоком данных. 1 Возможные действия включают: 1

• Разрешение. 1 Если трафик не нарушает установленные правила или политики безопасности, пакет передаётся дальше. 1
• Блокировка. 1 Если DPI находит подозрительный или запрещённый контент, пакет может быть отброшен. 1
• Перенаправление. 1 Трафик может быть перенаправлен на другой узел для дальнейшего анализа. 1
• Логирование. 1 Данные могут быть записаны в логи для последующего анализа или аудита. 1
• Изменение пакета. 1 В некоторых случаях DPI может модифицировать содержимое пакета (например, для удаления вредоносного кода или замены контента). 1

1. Классификация и метаданные. 1 DPI может классифицировать трафик по типам приложений, услугам или пользователям. 1 DPI может также собирать метаданные о трафике, такие как продолжительность сессии, объём переданных данных, тип контента и т. д.. 1

DPI может анализировать как зашифрованный, так и незашифрованный трафик. 5