跳转至内容

知识产权与互联网/深度数据包检测

来自维基教科书,开放书籍,开放世界
< 知识产权与互联网
最新审核版本于2023年12月13日 检查。 有 模板/文件更改 正在等待审查。

深度数据包检测 (DPI)(也称为完整数据包检测信息提取 - IX -)是一种 计算机网络 数据包过滤,它检查 数据 部分(以及可能还有 报头数据包,在通过检查点时,搜索协议不一致、病毒垃圾邮件、入侵或预定义标准,以决定数据包是否可以通过,或者是否需要路由到不同的目的地,或者为了收集统计信息的目的。IP 数据包有多个报头,网络设备只需要使用第一个报头(IP 报头)进行正常操作,但使用第二个报头 (TCP、UDP 等)通常被认为是浅层数据包检测(通常称为 状态数据包检测),尽管有这个定义。[1]

深度数据包检测(和过滤)支持高级网络管理、用户服务和 安全 功能,以及互联网 数据挖掘窃听审查。尽管 DPI 技术多年来一直用于互联网管理,但一些 网络中立 倡导者担心该技术可能被用于反竞争行为或降低互联网的开放性。[2]

DPI 目前被企业、服务提供商和政府在广泛的应用中使用。[3]

背景

[编辑 | 编辑源代码]

DPI 将 入侵检测系统 (IDS) 和 入侵防御系统 (IPS) 的功能与传统 状态防火墙 相结合。[4] 这种组合使得能够检测到某些 IDS/IPS 或状态防火墙无法单独捕获的攻击。状态防火墙虽然能够看到数据包流的开始和结束,但它们本身无法捕获超出特定应用程序范围的事件。虽然 IDS 能够检测入侵,但它们在阻止这种攻击的能力非常有限。DPI 用于以线速防止来自病毒和蠕虫的攻击。更具体地说,DPI 对缓冲区溢出攻击、拒绝服务 (DoS) 攻击、复杂入侵和一小部分适合单个数据包的蠕虫有效。

支持 DPI 的设备能够查看 OSI 模型 的第 2 层和第 3 层以后,在某些情况下,DPI 可以被调用以查看 OSI 模型的第 2-7 层。 这包括报头和数据协议结构以及消息的实际有效载荷。当设备根据 OSI 模型第 3 层以外的信息进行查看或采取其他操作时,就会调用 DPI 功能。DPI 可以根据包括从数据包的数据部分提取的信息的签名数据库识别和分类流量,从而实现比仅根据报头信息进行分类更精细的控制。在许多情况下,端点可以使用加密和混淆技术来逃避 DPI 操作。

分类后的数据包可以被重定向、标记/标记(参见 服务质量)、阻止、限速,当然也可以向网络中的报告代理报告。 这样,就可以识别不同分类的 HTTP 错误并将其转发以供分析。许多 DPI 设备可以识别数据包流(而不是逐个数据包分析),从而允许根据累积的流信息采取控制操作。

企业中的 DPI

[编辑 | 编辑源代码]

最初,企业中的 安全只是一个外围学科,其主要理念是阻止未经授权的用户进入,并保护授权用户免受外部世界的侵害。 实现这一目标最常用的工具是状态防火墙。 它可以对来自外部世界到内部网络上预定义目的地的访问进行细粒度控制,以及只允许访问其他主机,前提是之前已经向外部世界发出了请求。[5]

然而,网络层存在状态防火墙无法看到的漏洞。 此外,企业中笔记本电脑使用量的增加使得更难阻止来自 病毒蠕虫间谍软件之类的威胁渗透到企业网络,因为许多用户会将笔记本电脑连接到安全性较低的网络,例如家庭宽带连接或公共场所的无线网络。 防火墙也不区分合法访问的应用程序的允许使用和禁止使用。 DPI 使 IT 管理员和安全官员能够设置策略并在所有层(包括应用程序层和用户层)强制执行这些策略,以帮助对抗这些威胁。

深度数据包检测能够检测出几种类型的 缓冲区溢出 攻击。

企业可以使用 DPI 进行 数据泄露防护 (DLP)。 当电子邮件用户尝试发送受保护的文件时,可能会收到有关如何获得适当权限以发送该文件的指示。[需要澄清]模板:示例[6]

网络/互联网服务提供商的 DPI

[编辑 | 编辑源代码]

除了使用 DPI 来保护其内部网络外,互联网服务提供商 也会在提供给客户的公共网络上应用此技术。 ISP 常用的 DPI 应用包括 合法截取策略定义和执行定向广告服务质量、提供分级服务和 版权 执行。

合法截取

[编辑 | 编辑源代码]

几乎所有世界各地的政府都要求服务提供商启用 合法截取 功能。几十年前,在传统的电话环境中,这是通过使用 拦截代理服务器 连接到政府的监控设备来创建 流量访问点 (TAP) 来实现的。这在当代数字网络中是不可能的。此功能的采集部分可以通过多种方式提供,包括 DPI,支持 DPI 的产品,这些产品是“LI 或 CALEA 兼容”的,可以在收到法院命令时用于访问用户的數據流。[7]

策略定义和执行

[编辑 | 编辑源代码]

服务提供商有义务按照与客户的 服务等级协议 提供一定的服务水平,同时也要执行 可接受使用政策,他们可能会使用 DPI 来实施涵盖版权侵犯、非法材料和带宽不公平使用等方面的某些政策。在一些国家,ISPs 被要求根据该国的法律执行过滤。DPI 使服务提供商能够“轻松地了解您在线接收的信息包,从电子邮件到网站,再到音乐、视频和软件下载的共享”。[8] 可以定义允许或禁止连接到或从某个 IP 地址、某些协议连接,甚至可以使用识别特定应用程序或行为的启发式方法。

定向广告

[编辑 | 编辑源代码]

由于 ISPs 路由所有客户的流量,因此他们能够以非常详细的方式监控网络浏览习惯,从而获取有关客户兴趣的信息,这些信息可以被专门从事定向广告的公司使用。至少 10 万名美国客户以这种方式被追踪,多达 10% 的美国客户以这种方式被追踪。[需要引用] 技术提供商包括 NebuAdFront PorchPhorm。监控客户的美国 ISPs 包括 Knology[9]Wide Open West。此外,英国 ISP 英国电信 承认在未经客户知情或同意的情况下测试了 Phorm 的技术。[10]

服务质量

[编辑 | 编辑源代码]

诸如 点对点 (P2P) 流量之类的应用程序给宽带服务提供商带来了越来越多的问题。P2P 流量通常用于执行文件共享的应用程序。这可能是文档、音乐和视频。由于传输的媒体文件通常很大,因此 P2P 会导致流量负载不断增加,需要额外的网络容量。服务提供商表示,一小部分用户会产生大量的 P2P 流量,从而降低了使用电子邮件或网页浏览等占用带宽较少的应用程序的大多数宽带用户的性能。[11] 网络性能低下会降低客户满意度,并导致服务收入下降。

DPI 使运营商能够超卖其可用带宽,同时通过防止网络拥塞来确保所有用户公平分配带宽。此外,可以为需要低延迟的 VoIP 或视频会议呼叫分配更高的优先级,而网页浏览则不需要。[12] 这是服务提供商用来根据通过其网络的流量动态分配带宽的方法。

其他供应商声称 DPI 对 P2P 无效,并且其他 带宽管理 方法更有效。模板:澄清模板:示例[需要引用]

分级服务

[编辑 | 编辑源代码]

移动和宽带服务提供商使用 DPI 作为实施分级服务计划的一种方式,以区分 “封闭花园” 服务与“增值”、“无限量”和“一刀切”数据服务。[13] 通过能够按“封闭花园”、按应用程序、按服务或“无限量”而非“一刀切”套餐收费,运营商可以根据每个用户的需求调整其产品,并提高其每用户平均收入 (ARPU)。每个用户或用户组都会创建一项策略,DPI 系统会依次执行该策略,允许用户访问不同的服务和应用程序。

[编辑 | 编辑源代码]

互联网服务提供商 (ISP) 有时会收到版权所有者的请求,或受法院或官方政策的约束,协助执行版权。2006 年,丹麦最大的 ISP 之一 Tele2 收到法院禁令,要求其阻止用户访问 The Pirate Bay,一个 BitTorrent 的发射平台。[14] 而不是逐个起诉文件共享者,[15] 国际唱片业协会 (IFPI) 和四大唱片公司 EMI、索尼 BMG、环球音乐和华纳音乐已开始起诉 Eircom 等 ISP,理由是他们没有足够保护其版权。[16] IFPI 希望 ISP 过滤流量,从其网络中删除非法上传和下载的版权材料,尽管欧洲指令 2000/31/EC 明确规定,ISP 不得承担监测其传输信息的普遍义务,而指令 2002/58/EC 授予欧洲公民通信隐私权。另一方面,美国电影协会 (MPAA) 负责执行电影版权,已向美国联邦通信委员会 (FCC) 表明,网络中立可能会损害反盗版技术,例如深度包检测和其他形式的过滤。[17]

统计

[edit | edit source]

DPI 使 ISP 能够收集有关用户组使用模式的统计信息。例如,了解 2 Mbit 连接的用户与 5 Mbit 连接的用户在网络使用方式上是否有所不同可能很有趣。访问趋势数据也有助于网络规划。 Template:ClarificationTemplate:Elluciate<!- 浅层包检测是否也足够? ->

政府的深度包检测

[edit | edit source]
另请参见:网络监控 和 审查制度

除了使用 DPI 来保护自己的网络安全外,北美、欧洲和亚洲的政府还使用 DPI 用于各种目的,例如 监控审查制度;许多这些程序是保密的。[18]

美国

[edit | edit source]

FCC 采用互联网 CALEA 要求。 按照美国国会的授权,并且与世界大多数国家的政策一致,FCC 要求所有电信提供商(包括互联网服务)能够支持执行法院命令,以提供指定用户的实时通信取证。2006 年,FCC 通过了新的第 47 章,Z 部分规则,要求互联网接入提供商满足这些要求。DPI 是满足此要求的必要平台之一,并且已在美国各地为此目的而部署。

主要文章:国家安全局无证监控争议

国家安全局 (NSA) 在 AT&T 的配合下,使用深度包检测技术使互联网流量监控、排序和转发更加智能。DPI 用于查找哪些数据包承载电子邮件或语音 over IP (VoIP) 电话。[19] 与 AT&T 公共骨干网相关的流量被“拆分”到两条光纤之间,将信号分成两半,使 50% 的信号强度进入每条输出光纤。其中一条输出光纤被引到一个安全房间;另一条将通信传送到 AT&T 的交换设备。安全房间包含 Narus 流量分析仪和逻辑服务器;Narus 声称,此类设备能够实时数据收集(记录数据以供考虑)并以每秒 10 千兆比特的速度捕获数据。选择某些流量并通过专用线路发送到“中央位置”进行分析。根据 Marcus 的宣誓书,被转移的流量“代表了 AT&T 在旧金山湾区的全部或几乎全部对等流量”,因此,“... 配置的设计者在光纤拆分的位置或位置方面没有做出任何尝试,以排除主要由国内数据组成的數據源”。[20] Narus 的语义流量分析仪软件运行在 IBM 或 Dell Linux 服务器上,使用 DPI 技术,以 10Gbit/s 的速度对 IP 流量进行排序,以根据目标电子邮件地址、IP 地址或 VoIP 的电话号码筛选出特定消息。[21] 总统乔治·W·布什和司法部长阿尔贝托·R·冈萨雷斯断言,他们认为总统有权下令秘密拦截美国国内人员与其在国外的联系人之间的电话和电子邮件交换,而无需获得外国情报监视法 (FISA) 的授权。[22]

国防信息系统局开发了一个使用深度包检测的传感器平台。[23]

中国

[edit | edit source]
主要文章:中华人民共和国互联网审查制度

中国政府使用深度包检测(DPI)来监控和审查网络流量和内容,声称这些内容对中国公民或国家利益有害。这些内容包括色情内容、宗教信息和政治异议。[24] 中国网络ISP使用DPI来查看网络中是否存在敏感关键词。如果有,连接将会被切断。中国国内的人们经常发现自己无法访问包含与台湾西藏独立、法轮功达赖喇嘛1989年天安门广场抗议和屠杀、反对执政的共产党政党或各种反共运动相关的网站内容。[25] 因为这些内容已经被标记为DPI敏感关键词。中国还封锁了进出该国的VoIP流量[需要引用]Skype的语音通话不受影响,但文本消息会受到DPI的限制,包含敏感内容(例如脏话)的消息将不会被送达,并且不会向对话中的任何一方提供通知。中国还封锁了YouTube.com等视频网站,以及各种摄影和博客网站。[26]

伊朗

[编辑 | 编辑源代码]
主要文章: 伊朗的互联网审查制度

据《华尔街日报》2009年6月报道,伊朗政府于2008年从诺基亚西门子网络(NSN)购买了一套系统,据称用于深度包检测。NSN是德国企业西门子股份公司(Siemens AG)和芬兰手机公司诺基亚公司(Nokia Corp.)的合资企业。报道援引NSN发言人本·鲁姆的话说。根据文章中引用的匿名专家,该系统“使当局不仅能够阻止通信,还能监控通信以收集有关个人的信息,以及出于虚假信息的目的改变通信。”

该系统由伊朗政府电信垄断的一部分——电信基础设施公司购买。据《华尔街日报》报道,NSN“去年根据国际公认的“合法截取”概念向伊朗提供了设备,鲁姆说。这与截取数据以打击恐怖主义、儿童色情制品、毒品贩运和其他在线犯罪活动有关,大多数(如果不是全部)电信公司都具备这种能力,他说……诺基亚西门子网络出售给伊朗的监控中心在公司宣传册中被描述为可以“监控和截取所有网络上所有类型的语音和数据通信”。这家合资企业在3月底将包括监控设备在内的业务(该公司称之为“情报解决方案”)出售给了慕尼黑投资公司Perusa Partners Fund 1 LP,从而退出了该业务,鲁姆说。他说,该公司决定这不再是其核心业务的一部分。”

在NSN系统之前,伊朗还从Secure Computing Corp.购买了类似的系统。[27]

独立的华盛顿特区分析师、卡托研究所兼职学者大卫·艾森伯格对《华尔街日报》报道的可信度提出了质疑,他明确表示,鲁姆否认了报道中对他引用的内容,并说他本人在之前的一篇报道中对同一《华尔街日报》记者也曾有过类似的投诉。[28] NSN发布了以下否认声明:“NSN没有向伊朗提供任何深度包检测、网络审查或互联网过滤功能。”[29] 《纽约时报》的一篇同时发表的文章说,NSN的出售事件在“2009年4月的一系列新闻报道中都有报道,包括《华盛顿时报》,”并回顾了该国对互联网和其他媒体的审查,但没有提到DPI。[30]

DPI和网络中立

[编辑 | 编辑源代码]
另见: 网络中立

那些关心隐私网络中立的人和组织发现对互联网协议内容层的检查令人反感,[7] 比如,“网络是建立在开放访问和非歧视数据包的基础上的!”[31] 同时,网络中立规则的批评者称其为“一个寻求解决方案的问题”,并说网络中立规则会降低升级网络和启动下一代网络服务的动力。[32]

软件

[编辑 | 编辑源代码]

Opendpi[33]开源版本,用于非混淆协议,PACE包括Skype或加密的BitTorrent等混淆/加密协议。[34]

L7-Filter是Linux的Netfilter的一个分类器,它根据应用层数据识别数据包。[35] 它可以对Kazaa、HTTP、Jabber、Citrix、Bittorrent、FTP、Gnucleus、eDonkey2000等数据包进行分类。它对流媒体、邮件、P2P、VOIP协议和游戏应用进行分类。

Hippie(高性能协议识别引擎)是一个开源项目,它被开发为内核模块。[36] 它由Josh Ballard开发。它支持DPI和防火墙功能。[37]

SPID(统计协议识别)项目基于对网络流的统计分析来识别应用流量。[38] SPID算法可以通过分析pcap文件中的流(数据包大小等)和有效载荷统计数据(字节值等)来检测应用层协议(第7层)。它只是一个概念验证应用程序,目前支持大约15种应用程序/协议,如eDonkey混淆流量、Skype UDP和TCP、BitTorrentIMAPIRCMSN等。

Tstat(TCP统计和分析工具)提供了对流量模式的洞察,并提供了许多应用程序和协议的详细信息统计。[39]

开源社区为执行深度包检测功能提供了广泛的选择;dPacket.org社区维护着一个综合列表。[40]

另见

[编辑 | 编辑源代码]

参考文献

[编辑 | 编辑源代码]
  1. 托马斯·波特博士 (2005-01-11). "深度数据包检测的风险". 安全焦点. 检索于 2008-03-02.
  2. 哈尔·阿贝尔森,肯·里丁,克里斯·刘易斯 (2009). "只发送数据包,在: "深度数据包检测论文",渥太华". 加拿大隐私专员办公室. 检索于 2010-01-08.{{cite web}}: CS1 maint: 多个名字: 作者列表 (link)
  3. 拉尔夫·本德拉特 (2009-03-16). "全球技术趋势和国家法规: 解释深度数据包检测治理中的差异,在 2009 年 2 月 15 日至 18 日纽约市国际研究年度大会上发表的论文" (PDF). 国际研究协会. 检索于 2010-01-08.
  4. 伊多·杜布拉夫斯基 (2003-07-29). "防火墙演进 - 深度数据包检测". 安全焦点. 检索于 2008-03-02.
  5. 埃兰·阿米尔 (2007-10-29). "深度数据包检测的理由". IT 商业边缘. 检索于 2008-03-02.
  6. 迈克尔·莫里西 (2008-10-23). "数据泄露预防从信任用户开始". SearchNetworking.com. 检索于 2010-02-01.
  7. a b 内特·安德森 (2007-07-25). "深度数据包检测遇上 '网络中立,CALEA". ars technica. 检索于 2006-02-06.
  8. 杰夫·切斯特 (2006-02-01). "互联网的终结?". 国家. 检索于 2006-02-06.
  9. "Charter Communications: 增强在线体验". 检索于 2008-05-14.
  10. 彼得·沃里斯基 (2008-04-04). "你点击的每一次: 互联网服务提供商悄然测试扩展的网络使用跟踪以针对性广告". 华盛顿邮报. http://www.washingtonpost.com/wp-dyn/content/article/2008/04/03/AR2008040304052.html. 检索于 2008-04-08. 
  11. "深度数据包检测: 驯服 P2P 流量巨兽". Light Reading. 检索于 2008-03-03.
  12. 马特·汉布伦 (2007-09-17). "鲍尔州立大学使用深度数据包检测来确保视频会议性能". 电脑世界. 检索于 2008-03-03.
  13. "Allot 在两家一级移动运营商部署 DPI 解决方案以提供增值和分层服务包". Money Central. 2008-02-05. Retrieved 2008-03-03.
  14. Jeremy Kirk (2008-02-13). "丹麦 ISP 准备抗击海盗湾禁令". IDG 新闻服务. Retrieved 2008-03-12.
  15. Matthew Clark (2005-07-05). "Eircom 和 BT 不会反对音乐公司". ENN. Retrieved 2008-03-12. [失效链接]
  16. Eric Bangeman (2008-03-11). ""过滤之年" 正在变成针对 ISP 的诉讼之年". ars technica. Retrieved 2008-03-12.
  17. Anne Broach (2007-07-19). "MPAA:网络中立可能会损害反盗版技术". CNET 新闻. Retrieved 2008-03-12.
  18. Carolyn Duffy Marsan (2007-06-27). "OEM 提供商 Bivio 将目标瞄准政府市场". 网络世界. Retrieved 2008-03-13.
  19. J. I. Nelson, Ph.D. (2006-09-26). "NSA 无证窃听系统的工作原理". Retrieved 2008-03-03.
  20. Bellovin,史蒂文·M. (2008 年 1 月/2 月). "冒通信安全风险:保护美国法案的潜在危害" (PDF). IEEE 安全与隐私. IEEE 计算机协会. 6 (1): 24–33. doi:10.1109/MSP.2008.17. Retrieved 2008-03-03. {{cite journal}}: Check date values in: |date= (help); Unknown parameter |coauthors= ignored (|author= suggested) (help)
  21. Robert Poe (2006-05-17). "终极网络监控工具". 连线. Retrieved 2008-03-03.
  22. Carol D. Leonnig (2007-01-07). "报告驳斥布什关于间谍活动的言论 - 国内行动的合法性受到质疑". 华盛顿邮报. http://www.washingtonpost.com/wp-dyn/content/article/2006/01/06/AR2006010601772.html. Retrieved 2008-03-03. 
  23. Cheryl Gerber (2008-09-18). "深度安全:DISA 通过深度数据包检测 IP 传输来加强安全". Retrieved 2008-10-30.
  24. Ben Elgin 和 Bruce Einhorn (2006-01-12). "中国防火墙". 商业周刊. Retrieved 2008-03-13.
  25. "2004-2005 年中国网络过滤:国家研究". 开放网络倡议. Retrieved 2008-03-13.
  26. "中国屏蔽 YouTube,恢复 Flickr 和 Blogspot". PC World. 2007-10-18. Retrieved 2008-03-03.
  27. "伊朗网络间谍利用西方技术" by Christopher Rhoads in New York and Loretta Chao in Beijing, The Wall Street Journal, June 22, 2009. Retrieved 6/22/09.
  28. "关于华尔街日报关于伊朗网络管理的文章的疑问" by David S. Isenberg, isen.blog, June 23, 2009. Retrieved 6/22/09.
  29. "在伊朗提供合法拦截功能" 公司新闻稿。 2009 年 6 月 22 日。检索于 2009 年 6 月 22 日。
  30. "网络揭露伊朗审查制度" by Brian Stelter and Brad Stone, The New York Times, June 22, 2009. Retrieved 6/23/09.
  31. Genny Pershing. "网络中立:历史中立". Cybertelecom. Retrieved 2008-06-26.
  32. Genny Pershing. "网络中立:损害不足". Cybertelecom. Retrieved 2008-06-26.
  33. Opendpi
  34. 深度数据包检测引擎开源
  35. L7-Filter 首页
  36. Hippie 项目在 SourceForge 上的下载页面
  37. Hippie 参考页面
  38. SPID 项目在 SourceForge 上
  39. Tstat 项目主页
  40. "开源深度数据包检测项目". dPacket.org.
[edit | edit source]
Retrieved from "https://wikibooks.cn/w/index.php?title=Intellectual_Property_and_the_Internet/Deep_packet_inspection&oldid=4349949"
华夏公益教科书