跳轉至內容

智慧財產權與網際網路/深度資料包檢測

來自華夏公益教科書,開放書籍,開放世界
< 智慧財產權與網際網路
最新稽核版本於2023年12月13日 檢查。 有 模板/檔案更改 正在等待審查。

深度資料包檢測 (DPI)(也稱為完整資料包檢測資訊提取 - IX -)是一種 計算機網路 資料包過濾,它檢查 資料 部分(以及可能還有 報頭資料包,在透過檢查點時,搜尋協議不一致、病毒垃圾郵件、入侵或預定義標準,以決定資料包是否可以透過,或者是否需要路由到不同的目的地,或者為了收集統計資訊的目的。IP 資料包有多個報頭,網路裝置只需要使用第一個報頭(IP 報頭)進行正常操作,但使用第二個報頭 (TCP、UDP 等)通常被認為是淺層資料包檢測(通常稱為 狀態資料包檢測),儘管有這個定義。[1]

深度資料包檢測(和過濾)支援高階網路管理、使用者服務和 安全 功能,以及網際網路 資料探勘竊聽審查。儘管 DPI 技術多年來一直用於網際網路管理,但一些 網路中立 倡導者擔心該技術可能被用於反競爭行為或降低網際網路的開放性。[2]

DPI 目前被企業、服務提供商和政府在廣泛的應用中使用。[3]

背景

[編輯 | 編輯原始碼]

DPI 將 入侵檢測系統 (IDS) 和 入侵防禦系統 (IPS) 的功能與傳統 狀態防火牆 相結合。[4] 這種組合使得能夠檢測到某些 IDS/IPS 或狀態防火牆無法單獨捕獲的攻擊。狀態防火牆雖然能夠看到資料包流的開始和結束,但它們本身無法捕獲超出特定應用程式範圍的事件。雖然 IDS 能夠檢測入侵,但它們在阻止這種攻擊的能力非常有限。DPI 用於以線速防止來自病毒和蠕蟲的攻擊。更具體地說,DPI 對緩衝區溢位攻擊、拒絕服務 (DoS) 攻擊、複雜入侵和一小部分適合單個數據包的蠕蟲有效。

支援 DPI 的裝置能夠檢視 OSI 模型 的第 2 層和第 3 層以後,在某些情況下,DPI 可以被呼叫以檢視 OSI 模型的第 2-7 層。 這包括報頭和資料協議結構以及訊息的實際有效載荷。當裝置根據 OSI 模型第 3 層以外的資訊進行檢視或採取其他操作時,就會呼叫 DPI 功能。DPI 可以根據包括從資料包的資料部分提取的資訊的簽名資料庫識別和分類流量,從而實現比僅根據報頭資訊進行分類更精細的控制。在許多情況下,端點可以使用加密和混淆技術來逃避 DPI 操作。

分類後的資料包可以被重定向、標記/標記(參見 服務質量)、阻止、限速,當然也可以向網路中的報告代理報告。 這樣,就可以識別不同分類的 HTTP 錯誤並將其轉發以供分析。許多 DPI 裝置可以識別資料包流(而不是逐個資料包分析),從而允許根據累積的流資訊採取控制操作。

企業中的 DPI

[編輯 | 編輯原始碼]

最初,企業中的 安全只是一個外圍學科,其主要理念是阻止未經授權的使用者進入,並保護授權使用者免受外部世界的侵害。 實現這一目標最常用的工具是狀態防火牆。 它可以對來自外部世界到內部網路上預定義目的地的訪問進行細粒度控制,以及只允許訪問其他主機,前提是之前已經向外部世界發出了請求。[5]

然而,網路層存在狀態防火牆無法看到的漏洞。 此外,企業中筆記型電腦使用量的增加使得更難阻止來自 病毒蠕蟲間諜軟體之類的威脅滲透到企業網路,因為許多使用者會將筆記型電腦連線到安全性較低的網路,例如家庭寬頻連線或公共場所的無線網路。 防火牆也不區分合法訪問的應用程式的允許使用和禁止使用。 DPI 使 IT 管理員和安全官員能夠設定策略並在所有層(包括應用程式層和使用者層)強制執行這些策略,以幫助對抗這些威脅。

深度資料包檢測能夠檢測出幾種型別的 緩衝區溢位 攻擊。

企業可以使用 DPI 進行 資料洩露防護 (DLP)。 當電子郵件使用者嘗試傳送受保護的檔案時,可能會收到有關如何獲得適當許可權以傳送該檔案的指示。[需要澄清]模板:示例[6]

網路/網際網路服務提供商的 DPI

[編輯 | 編輯原始碼]

除了使用 DPI 來保護其內部網路外,網際網路服務提供商 也會在提供給客戶的公共網路上應用此技術。 ISP 常用的 DPI 應用包括 合法擷取策略定義和執行定向廣告服務質量、提供分級服務和 版權 執行。

合法擷取

[編輯 | 編輯原始碼]

幾乎所有世界各地的政府都要求服務提供商啟用 合法擷取 功能。幾十年前,在傳統的電話環境中,這是透過使用 攔截代理伺服器 連線到政府的監控裝置來建立 流量訪問點 (TAP) 來實現的。這在當代數字網路中是不可能的。此功能的採集部分可以透過多種方式提供,包括 DPI,支援 DPI 的產品,這些產品是“LI 或 CALEA 相容”的,可以在收到法院命令時用於訪問使用者的資料流。[7]

策略定義和執行

[編輯 | 編輯原始碼]

服務提供商有義務按照與客戶的 服務等級協議 提供一定的服務水平,同時也要執行 可接受使用政策,他們可能會使用 DPI 來實施涵蓋版權侵犯、非法材料和頻寬不公平使用等方面的某些政策。在一些國家,ISPs 被要求根據該國的法律執行過濾。DPI 使服務提供商能夠“輕鬆地瞭解您線上接收的資訊包,從電子郵件到網站,再到音樂、影片和軟體下載的共享”。[8] 可以定義允許或禁止連線到或從某個 IP 地址、某些協議連線,甚至可以使用識別特定應用程式或行為的啟發式方法。

定向廣告

[編輯 | 編輯原始碼]

由於 ISPs 路由所有客戶的流量,因此他們能夠以非常詳細的方式監控網路瀏覽習慣,從而獲取有關客戶興趣的資訊,這些資訊可以被專門從事定向廣告的公司使用。至少 10 萬名美國客戶以這種方式被追蹤,多達 10% 的美國客戶以這種方式被追蹤。[需要引用] 技術提供商包括 NebuAdFront PorchPhorm。監控客戶的美國 ISPs 包括 Knology[9]Wide Open West。此外,英國 ISP 英國電信 承認在未經客戶知情或同意的情況下測試了 Phorm 的技術。[10]

服務質量

[編輯 | 編輯原始碼]

諸如 點對點 (P2P) 流量之類的應用程式給寬頻服務提供商帶來了越來越多的問題。P2P 流量通常用於執行檔案共享的應用程式。這可能是文件、音樂和影片。由於傳輸的媒體檔案通常很大,因此 P2P 會導致流量負載不斷增加,需要額外的網路容量。服務提供商表示,一小部分使用者會產生大量的 P2P 流量,從而降低了使用電子郵件或網頁瀏覽等佔用頻寬較少的應用程式的大多數寬頻使用者的效能。[11] 網路效能低下會降低客戶滿意度,並導致服務收入下降。

DPI 使運營商能夠超賣其可用頻寬,同時透過防止網路擁塞來確保所有使用者公平分配頻寬。此外,可以為需要低延遲的 VoIP 或視訊會議呼叫分配更高的優先順序,而網頁瀏覽則不需要。[12] 這是服務提供商用來根據透過其網路的流量動態分配頻寬的方法。

其他供應商聲稱 DPI 對 P2P 無效,並且其他 頻寬管理 方法更有效。模板:澄清模板:示例[需要引用]

分級服務

[編輯 | 編輯原始碼]

移動和寬頻服務提供商使用 DPI 作為實施分級服務計劃的一種方式,以區分 “封閉花園” 服務與“增值”、“無限量”和“一刀切”資料服務。[13] 透過能夠按“封閉花園”、按應用程式、按服務或“無限量”而非“一刀切”套餐收費,運營商可以根據每個使用者的需求調整其產品,並提高其每使用者平均收入 (ARPU)。每個使用者或使用者組都會建立一項策略,DPI 系統會依次執行該策略,允許使用者訪問不同的服務和應用程式。

[編輯 | 編輯原始碼]

網際網路服務提供商 (ISP) 有時會收到版權所有者的請求,或受法院或官方政策的約束,協助執行版權。2006 年,丹麥最大的 ISP 之一 Tele2 收到法院禁令,要求其阻止使用者訪問 The Pirate Bay,一個 BitTorrent 的發射平臺。[14] 而不是逐個起訴檔案共享者,[15] 國際唱片業協會 (IFPI) 和四大唱片公司 EMI、索尼 BMG、環球音樂和華納音樂已開始起訴 Eircom 等 ISP,理由是他們沒有足夠保護其版權。[16] IFPI 希望 ISP 過濾流量,從其網路中刪除非法上傳和下載的版權材料,儘管歐洲指令 2000/31/EC 明確規定,ISP 不得承擔監測其傳輸資訊的普遍義務,而指令 2002/58/EC 授予歐洲公民通訊隱私權。另一方面,美國電影協會 (MPAA) 負責執行電影版權,已向美國聯邦通訊委員會 (FCC) 表明,網路中立可能會損害反盜版技術,例如深度包檢測和其他形式的過濾。[17]

統計

[edit | edit source]

DPI 使 ISP 能夠收集有關使用者組使用模式的統計資訊。例如,瞭解 2 Mbit 連線的使用者與 5 Mbit 連線的使用者在網路使用方式上是否有所不同可能很有趣。訪問趨勢資料也有助於網路規劃。 Template:ClarificationTemplate:Elluciate<!- 淺層包檢測是否也足夠? ->

政府的深度包檢測

[edit | edit source]
另請參見:網路監控 和 審查制度

除了使用 DPI 來保護自己的網路安全外,北美、歐洲和亞洲的政府還使用 DPI 用於各種目的,例如 監控審查制度;許多這些程式是保密的。[18]

美國

[edit | edit source]

FCC 採用網際網路 CALEA 要求。 按照美國國會的授權,並且與世界大多數國家的政策一致,FCC 要求所有電信提供商(包括網際網路服務)能夠支援執行法院命令,以提供指定使用者的即時通訊取證。2006 年,FCC 通過了新的第 47 章,Z 部分規則,要求網際網路接入提供商滿足這些要求。DPI 是滿足此要求的必要平臺之一,並且已在美國各地為此目的而部署。

主要文章:國家安全域性無證監控爭議

國家安全域性 (NSA) 在 AT&T 的配合下,使用深度包檢測技術使網際網路流量監控、排序和轉發更加智慧。DPI 用於查詢哪些資料包承載電子郵件或語音 over IP (VoIP) 電話。[19] 與 AT&T 公共骨幹網相關的流量被“拆分”到兩條光纖之間,將訊號分成兩半,使 50% 的訊號強度進入每條輸出光纖。其中一條輸出光纖被引到一個安全房間;另一條將通訊傳送到 AT&T 的交換裝置。安全房間包含 Narus 流量分析儀和邏輯伺服器;Narus 聲稱,此類裝置能夠即時資料收集(記錄資料以供考慮)並以每秒 10 千兆位元的速度捕獲資料。選擇某些流量並透過專用線路傳送到“中央位置”進行分析。根據 Marcus 的宣誓書,被轉移的流量“代表了 AT&T 在舊金山灣區的全部或幾乎全部對等流量”,因此,“... 配置的設計者在光纖拆分的位置或位置方面沒有做出任何嘗試,以排除主要由國內資料組成的資料來源”。[20] Narus 的語義流量分析儀軟體執行在 IBM 或 Dell Linux 伺服器上,使用 DPI 技術,以 10Gbit/s 的速度對 IP 流量進行排序,以根據目標電子郵件地址、IP 地址或 VoIP 的電話號碼篩選出特定訊息。[21] 總統喬治·W·布什和司法部長阿爾貝託·R·岡薩雷斯斷言,他們認為總統有權下令秘密攔截美國國內人員與其在國外的聯絡人之間的電話和電子郵件交換,而無需獲得外國情報監視法 (FISA) 的授權。[22]

國防資訊系統局開發了一個使用深度包檢測的感測器平臺。[23]

中國

[edit | edit source]
主要文章:中華人民共和國網際網路審查制度

中國政府使用深度包檢測(DPI)來監控和審查網路流量和內容,聲稱這些內容對中國公民或國家利益有害。這些內容包括色情內容、宗教資訊和政治異議。[24] 中國網路ISP使用DPI來檢視網路中是否存在敏感關鍵詞。如果有,連線將會被切斷。中國國內的人們經常發現自己無法訪問包含與臺灣西藏獨立、法輪功達賴喇嘛1989年天安門廣場抗議和屠殺、反對執政的共產黨政黨或各種反共運動相關的網站內容。[25] 因為這些內容已經被標記為DPI敏感關鍵詞。中國還封鎖了進出該國的VoIP流量[需要引用]Skype的語音通話不受影響,但文字訊息會受到DPI的限制,包含敏感內容(例如髒話)的訊息將不會被送達,並且不會向對話中的任何一方提供通知。中國還封鎖了YouTube.com等影片網站,以及各種攝影和部落格網站。[26]

伊朗

[編輯 | 編輯原始碼]
主要文章: 伊朗的網際網路審查制度

據《華爾街日報》2009年6月報道,伊朗政府於2008年從諾基亞西門子網路(NSN)購買了一套系統,據稱用於深度包檢測。NSN是德國企業西門子股份公司(Siemens AG)和芬蘭手機公司諾基亞公司(Nokia Corp.)的合資企業。報道援引NSN發言人本·魯姆的話說。根據文章中引用的匿名專家,該系統“使當局不僅能夠阻止通訊,還能監控通訊以收集有關個人的資訊,以及出於虛假資訊的目的改變通訊。”

該系統由伊朗政府電信壟斷的一部分——電信基礎設施公司購買。據《華爾街日報》報道,NSN“去年根據國際公認的“合法擷取”概念向伊朗提供了裝置,魯姆說。這與擷取資料以打擊恐怖主義、兒童色情製品、毒品販運和其他線上犯罪活動有關,大多數(如果不是全部)電信公司都具備這種能力,他說……諾基亞西門子網路出售給伊朗的監控中心在公司宣傳冊中被描述為可以“監控和擷取所有網路上所有型別的語音和資料通訊”。這家合資企業在3月底將包括監控裝置在內的業務(該公司稱之為“情報解決方案”)出售給了慕尼黑投資公司Perusa Partners Fund 1 LP,從而退出了該業務,魯姆說。他說,該公司決定這不再是其核心業務的一部分。”

在NSN系統之前,伊朗還從Secure Computing Corp.購買了類似的系統。[27]

獨立的華盛頓特區分析師、卡託研究所兼職學者大衛·艾森伯格對《華爾街日報》報道的可信度提出了質疑,他明確表示,魯姆否認了報道中對他引用的內容,並說他本人在之前的一篇報道中對同一《華爾街日報》記者也曾有過類似的投訴。[28] NSN釋出了以下否認宣告:“NSN沒有向伊朗提供任何深度包檢測、網路審查或網際網路過濾功能。”[29] 《紐約時報》的一篇同時發表的文章說,NSN的出售事件在“2009年4月的一系列新聞報道中都有報道,包括《華盛頓時報》,”並回顧了該國對網際網路和其他媒體的審查,但沒有提到DPI。[30]

DPI和網路中立

[編輯 | 編輯原始碼]
另見: 網路中立

那些關心隱私網路中立的人和組織發現對網際網路協議內容層的檢查令人反感,[7] 比如,“網路是建立在開放訪問和非歧視資料包的基礎上的!”[31] 同時,網路中立規則的批評者稱其為“一個尋求解決方案的問題”,並說網路中立規則會降低升級網路和啟動下一代網路服務的動力。[32]

軟體

[編輯 | 編輯原始碼]

Opendpi[33]開源版本,用於非混淆協議,PACE包括Skype或加密的BitTorrent等混淆/加密協議。[34]

L7-Filter是Linux的Netfilter的一個分類器,它根據應用層資料識別資料包。[35] 它可以對Kazaa、HTTP、Jabber、Citrix、Bittorrent、FTP、Gnucleus、eDonkey2000等資料包進行分類。它對流媒體、郵件、P2P、VOIP協議和遊戲應用進行分類。

Hippie(高效能協議識別引擎)是一個開源專案,它被開發為核心模組。[36] 它由Josh Ballard開發。它支援DPI和防火牆功能。[37]

SPID(統計協議識別)專案基於對網路流的統計分析來識別應用流量。[38] SPID演算法可以透過分析pcap檔案中的流(資料包大小等)和有效載荷統計資料(位元組值等)來檢測應用層協議(第7層)。它只是一個概念驗證應用程式,目前支援大約15種應用程式/協議,如eDonkey混淆流量、Skype UDP和TCP、BitTorrentIMAPIRCMSN等。

Tstat(TCP統計和分析工具)提供了對流量模式的洞察,並提供了許多應用程式和協議的詳細資訊統計。[39]

開源社群為執行深度包檢測功能提供了廣泛的選擇;dPacket.org社群維護著一個綜合列表。[40]

另見

[編輯 | 編輯原始碼]

參考文獻

[編輯 | 編輯原始碼]
  1. 托馬斯·波特博士 (2005-01-11). "深度資料包檢測的風險". 安全焦點. 檢索於 2008-03-02.
  2. 哈爾·阿貝爾森,肯·裡丁,克里斯·劉易斯 (2009). "只發送資料包,在: "深度資料包檢測論文",渥太華". 加拿大隱私專員辦公室. 檢索於 2010-01-08.{{cite web}}: CS1 maint: 多個名字: 作者列表 (link)
  3. 拉爾夫·本德拉特 (2009-03-16). "全球技術趨勢和國家法規: 解釋深度資料包檢測治理中的差異,在 2009 年 2 月 15 日至 18 日紐約市國際研究年度大會上發表的論文" (PDF). 國際研究協會. 檢索於 2010-01-08.
  4. 伊多·杜布拉夫斯基 (2003-07-29). "防火牆演進 - 深度資料包檢測". 安全焦點. 檢索於 2008-03-02.
  5. 埃蘭·阿米爾 (2007-10-29). "深度資料包檢測的理由". IT 商業邊緣. 檢索於 2008-03-02.
  6. 邁克爾·莫里西 (2008-10-23). "資料洩露預防從信任使用者開始". SearchNetworking.com. 檢索於 2010-02-01.
  7. a b 內特·安德森 (2007-07-25). "深度資料包檢測遇上 '網路中立,CALEA". ars technica. 檢索於 2006-02-06.
  8. 傑夫·切斯特 (2006-02-01). "網際網路的終結?". 國家. 檢索於 2006-02-06.
  9. "Charter Communications: 增強線上體驗". 檢索於 2008-05-14.
  10. 彼得·沃里斯基 (2008-04-04). "你點選的每一次: 網際網路服務提供商悄然測試擴充套件的網路使用跟蹤以針對性廣告". 華盛頓郵報. http://www.washingtonpost.com/wp-dyn/content/article/2008/04/03/AR2008040304052.html. 檢索於 2008-04-08. 
  11. "深度資料包檢測: 馴服 P2P 流量巨獸". Light Reading. 檢索於 2008-03-03.
  12. 馬特·漢布倫 (2007-09-17). "鮑爾州立大學使用深度資料包檢測來確保視訊會議效能". 電腦世界. 檢索於 2008-03-03.
  13. "Allot 在兩家一級移動運營商部署 DPI 解決方案以提供增值和分層服務包". Money Central. 2008-02-05. Retrieved 2008-03-03.
  14. Jeremy Kirk (2008-02-13). "丹麥 ISP 準備抗擊海盜灣禁令". IDG 新聞服務. Retrieved 2008-03-12.
  15. Matthew Clark (2005-07-05). "Eircom 和 BT 不會反對音樂公司". ENN. Retrieved 2008-03-12. [失效連結]
  16. Eric Bangeman (2008-03-11). ""過濾之年" 正在變成針對 ISP 的訴訟之年". ars technica. Retrieved 2008-03-12.
  17. Anne Broach (2007-07-19). "MPAA:網路中立可能會損害反盜版技術". CNET 新聞. Retrieved 2008-03-12.
  18. Carolyn Duffy Marsan (2007-06-27). "OEM 提供商 Bivio 將目標瞄準政府市場". 網路世界. Retrieved 2008-03-13.
  19. J. I. Nelson, Ph.D. (2006-09-26). "NSA 無證竊聽系統的工作原理". Retrieved 2008-03-03.
  20. Bellovin,史蒂文·M. (2008 年 1 月/2 月). "冒通訊安全風險:保護美國法案的潛在危害" (PDF). IEEE 安全與隱私. IEEE 計算機協會. 6 (1): 24–33. doi:10.1109/MSP.2008.17. Retrieved 2008-03-03. {{cite journal}}: Check date values in: |date= (help); Unknown parameter |coauthors= ignored (|author= suggested) (help)
  21. Robert Poe (2006-05-17). "終極網路監控工具". 連線. Retrieved 2008-03-03.
  22. Carol D. Leonnig (2007-01-07). "報告駁斥布什關於間諜活動的言論 - 國內行動的合法性受到質疑". 華盛頓郵報. http://www.washingtonpost.com/wp-dyn/content/article/2006/01/06/AR2006010601772.html. Retrieved 2008-03-03. 
  23. Cheryl Gerber (2008-09-18). "深度安全:DISA 透過深度資料包檢測 IP 傳輸來加強安全". Retrieved 2008-10-30.
  24. Ben Elgin 和 Bruce Einhorn (2006-01-12). "中國防火牆". 商業週刊. Retrieved 2008-03-13.
  25. "2004-2005 年中國網路過濾:國家研究". 開放網路倡議. Retrieved 2008-03-13.
  26. "中國遮蔽 YouTube,恢復 Flickr 和 Blogspot". PC World. 2007-10-18. Retrieved 2008-03-03.
  27. "伊朗網路間諜利用西方技術" by Christopher Rhoads in New York and Loretta Chao in Beijing, The Wall Street Journal, June 22, 2009. Retrieved 6/22/09.
  28. "關於華爾街日報關於伊朗網路管理的文章的疑問" by David S. Isenberg, isen.blog, June 23, 2009. Retrieved 6/22/09.
  29. "在伊朗提供合法攔截功能" 公司新聞稿。 2009 年 6 月 22 日。檢索於 2009 年 6 月 22 日。
  30. "網路揭露伊朗審查制度" by Brian Stelter and Brad Stone, The New York Times, June 22, 2009. Retrieved 6/23/09.
  31. Genny Pershing. "網路中立:歷史中立". Cybertelecom. Retrieved 2008-06-26.
  32. Genny Pershing. "網路中立:損害不足". Cybertelecom. Retrieved 2008-06-26.
  33. Opendpi
  34. 深度資料包檢測引擎開源
  35. L7-Filter 首頁
  36. Hippie 專案在 SourceForge 上的下載頁面
  37. Hippie 參考頁面
  38. SPID 專案在 SourceForge 上
  39. Tstat 專案主頁
  40. "開源深度資料包檢測專案". dPacket.org.
[edit | edit source]
Retrieved from "https://wikibook.tw/w/index.php?title=Intellectual_Property_and_the_Internet/Deep_packet_inspection&oldid=4349949"
華夏公益教科書