深度包检测(deep packet inspection,DPI)是一种先进的包过滤方法,它在
开放系统互连(OSI)参考模型的应用层中起作用。
简介
深度数据包检测(英语:Deep packet inspection,缩写为 DPI),又称完全数据包探测(complete packet inspection)或信息萃取(Information eXtraction,IX),是一种计算机网络
数据包过滤技术,用来检查通过检测点之
数据包的
数据部分(亦可能包含其标头),以搜索不匹配规范之协议、
病毒、
垃圾邮件、入侵,或以预定之准则来决定数据包是否可通过或需被路由至其他不同目的地,亦或是为了收集统计数据之目的。IP数据包有许多个标头;正常运作下,网络设备只需要使用第一个标头(IP标头),而使用到第二个标头(
TCP、
UDP等)则通常会与深度数据包检测相对,而被称之为浅度数据包检测(一般称为状态数据包检测)。
有多种方式可以用来获取深度数据包检测的数据包。较常见的方法有端口镜像(port mirroring,或称为 Span Port)及
光纤分光器。
深度数据包检测允许更进步的
网络管理、用户服务及
安全功能,亦能用来进行互联网
数据挖掘、
窃听及
互联网审查。虽然深度数据包检测技术已被用于互联网管理许多年,一些支持
网络中立性的人害怕此技术会被用于反竞争行为,或减少网络的开放性。寻求反制的技术也因而被提出来大规模讨论。
深度数据包检测的应用范围广泛,可分成“企业”(公司及大型机构)、电信服务业者及政府3个方面。
局限性
深度包检测(deep packet inspection,DPI)是一种先进的包过滤方法,它在
开放系统互连(
OSI)参考模型的应用层中起作用。使用深度包检测可以发现、识别、分类、重新路由或阻止具有特殊数据或代码有效载荷的数据包,而传统的包过滤只能检测数据包包头,不能发现这些数据包。
使用深度包检测,通信服务提供商可以分配现有资源以精简信息流。例如,一个标记为高优先级的消息可以比不太重要或低优先级的信息或数据包先被路由到其目的地。深度包检测(DPI)也可以用来节制数据传输,以防止对等网络(P2P)被滥用,从而改善绝大多数用户的网络性能。深度包检测的安全问题广泛存在,因为这种技术能确定具体数据包内容的发出者或接收者,而且这种功能也引起了网络隐私保护者的关注。
深度包检测(DPI)至少有三个局限性。首先,它在防疫现有漏洞的同时可能会产生新的漏洞。虽然它能有效地防止
缓冲区溢出攻击、拒绝服务攻击和某些类型的恶意软件,但是深度包检测也可被其他同类攻击所利用。其次,深度包检测增加了现有防火墙和其他安全相关的软件的复杂性和难操作性。深度包检测需要定期更新和修订,以保持最佳效益。第三,深度包检测降低了计算机速度,因为它增加了处理器负担。尽管有这些限制,许多网络管理员仍然采用DPI技术,目的是为了应付复杂的和难操作的互联网有关的风险。
许多公司,包括阿尔卡特、思科、爱立信、IBM、微软、诺基亚和赛门铁克等也开始积极将DPI技术加入到防火墙的硬件和软件组件中。
背景
深度数据包检测结合了
入侵检测系统(IDS)、
入侵预防系统(IPS)及
状态防火墙等功能。此一结合让深度数据包检测可以检测到某些IDS、IPS或状态防火墙都无法发觉的攻击。状态防火墙能看到数据包流的开始与结束,但发觉超过特定应用之范围的事件。IDS能检测入侵,但几乎没有阻挡此类攻击的能力。深度数据包检测能用来快速阻挡来自病毒与蠕虫的攻击。更具体地说,深度数据包检测可有效防止缓冲器溢出攻击、阻断服务攻击(DoS)、复杂入侵及少部分置于单一数据包内的蠕虫。
具有深度数据包检测的设备可以看到
OSI模型的第2层及第3层之后。在某些情况下,深度数据包检测可用来看透OSI模型的第2层至第7层。这包括了整个标头、数据协议架构及消息的负载。深度数据包检测功能在设备采取其他行动时,依据OSI模型第3层之后的信息被引用。深度数据包检测可以依据包含由数据包数据部分摘取出之信息的特征数据库,识别并分类讯务,从而允许比仅依据标头信息分类有更精确的控制。在许多情况下,终端可使用
加密及模糊处理技术来规避深度数据包检测。
一个分类的数据包可能被重定向、标记/标签(见
服务品质,即QoS)、封锁、速限,并且当然会回报给网络中的报告程序(reporting agent)。在此方式下,不同分类的
HTTP错误会被识别,并被转交分析。许多具有深度数据包检测的设备会识别数据包流(而非逐个数据包的分析),允许依据累积的流量信息进行控制。
企业层面的深度数据包检测
最初,企业层面的
网络安全只是个外围的纪律,防止未经授权的用户进入以及避免授权的用户曝露于外部世界为其主导理念。最常用来完成此一理念的工具为
状态防火墙。状态防火墙允许对外部世界进入内部网络上的默认目的进行精细的控制,并只在先前曾提过对外部世界的请求,才允取访问回其他的主机。
无论如何,当
漏洞存在于网络层,该层不被状态防火墙所见。此外,企业内使用
笔记本电脑的次数增加,让防止
计算机病毒、蠕虫及
间谍软件渗透入内部网变得更加困难,因为许多用户会将笔记本电脑连上家庭
宽带连接或公共场所的无线网络等较不安全的网络。防火墙亦无法区分合法接取应用程序的允许与禁止之用户。深度数据包检测让信息安全人员可以在任何一层设置及运行政策,包括应用层及用户层,以协助对抗这些威胁。
深度数据包检测可以检测出几种缓冲器溢出攻击。
深度数据包检测可被企业作为数据外泄防护(DLP)。当电子邮件的用户试图发送一封受保护的文件时,该用户可能会收到消息,告知如何获取适当许可,以发送此一文件。
网络服务业者的深度数据包检测
除了使用深度数据包检测来保护其内部网络外,互联网服务供应商亦会运用此技术于提供给消费者的公众网络上。ISP业者使用深度数据包检测的用途一般有通信监察、网络安全政策、
定向广告、
服务品质、提供
分层服务及
著作权保护等。
通信监察
几乎全世界所有的政府都会要求服务业者需具有通信监察的功能。数十年前在传统电话的环境里,可通过创建一个讯务接入点(TAP),使用拦截代理服务器连至政府的监控设备来达成通信监察的需求。这在现在的数字网络里不是不可能的。有许多种方法可在数字网络中提供通信监察的功能,其中包括深度数据包检测。
网络安全政策
服务业者与其用户签订
服务级别协议,需提供一定的服务层级,并同时会运行可接收使用政策,如使用深度数据包检测运行侵犯著作权、非法内容及不公平使用带宽之政策。在某些国家里,ISP业者需要依该国法律运行过滤。深度数据包检测允许服务业者“轻易地知道其用户正在线上接收的信息数据包,包括电子邮件、网站、音乐与视频分享及软件下载等讯务”。政策亦可被规定允许或不允许连接至某一IP地址、某些协议,或甚至可
识别某一特定应用或行为。
定向广告
因为ISP业者能安排其所有用户之路由,他们能够以非常仔细的方式监控用户的网络浏览习惯,以获得有关其用户兴趣之信息,提供给经营定向广告的公司使用。至少有10万位美国用户如此被监控,更有10%的美国用户曾经被如此监控过。NebuAd、Front Porch及Phorm等公司提供定向广告的技术。
监控其用户之美国ISP业者则有Knology及Wide Open West等。此外,英国的ISP业者
英国电信亦承诺在其用户不知情或未同意之下,测试过Phorm所提供之技术。
服务品质
P2P等应用的流量对宽带服务业者来说,越来越是个问题。通常情况下,P2P的流量被应用程序用来做文件分享。文件可以是任何类型(如文档、音乐、视频或应用程序)。由于多媒体文件的容量通常较大,P2P会导致流量的增加,需要额外的网络容量。服务业者表示,少数用户产生大量的P2P流量,并降低了大部分使用电子邮件或浏览网络等需要较少带宽之宽带用户的品质。差劲的网络品质会提升用户的不满,并导致服务收入的下滑。
深度数据包检测允许业者卖出更多的有效带宽,同时确保公平分配宽带给所有用户,以避免网络壅塞。此外,可将更高的优先权分配给网络电话或视频会议等需要低延迟的应用。这让服务业者能用来依据通过其网络之流量来动态配置带宽。
分层服务
移动通信及宽带服务业者使用深度数据包检测作用实现分层服务的方法,区分出“
封闭平台”、“加值”、“吃到饱”及“一体适用”的数据服务。通过在“一体适用”的资费方案外,对“封闭平台”、各项应用、各项服务或“吃到饱”另外付费,业者可以为个别用户提供个人化的服务,并增加其
ARPU。网络政策可以依每个用户或每个组群设置,而深度数据包检测系统更能区分出不同的服务与应用。
著作权保护
ISP业者有时会应
著作权人的请求、法院的要求或官方政策,协助保护着作权。2006年,丹麦其中一家最大的ISP业者Tele2被赋予法院禁令,并要求该公司封锁其用户拜访
海盗湾这个存放
BitTorrent种子的网站。不一次又一次地告发分享文件的人,
国际唱片业协会(IFPI)、EMI、
Sony BMG、
环球唱片及
华纳音乐集团等公司开始指控Eircom等ISP业者没有为保护其著作权有足够多的努力。IFPI希望ISP业者能过滤流量,并移除在其网络上的违法上传与下载之著作权物,虽然欧盟2000/31/EC指令明确指出,不应赋予ISP业者监控其传输之信息的一般义务,且2002/58/EC指令亦赋予欧盟公民有秘密通信的权利。另一方面,
美国电影协会(MPAA)为保护电影著作权,警告
美国联邦通信委员会(FCC)对
网络中立性的态度可能会伤害深度数据包检测及其他过滤方式等反盗版技术。
统计
深度数据包检测让ISP业者能搜集其用户群使用图像之信息。例如,业者可能对使用2Mbit/s连接速率的用户是否会与使用5Mbit/s连接速率的用户有不同的网络使用方式觉到兴趣。获得这些趋势数据亦能协助进行网络规划。
深度数据包检测与网络中立性
关注
隐私或
网络中立性的人或组织发觉检测互联网内容层之行为极具攻击性,并表示,“网络曾是创建在数据包的开放访问与无差别待遇之上!”同时,网络中立性规则的批评者则称之为“查找问题中的答案”(a solution in search of a problem),并表示网络中立性规则会减少升级网络及推动次世代网络服务之诱因。
数据包检测被许多人认为会破坏互联网的基础设备,亦被认为违反美国宪法。
基础设施安全
传统上,ISP业者一般只经营OSI模型第4层以下。这是因为仅决定数据包去向与路由相对上较容易安全地处理。传统模型仍允许ISP业者安全地完成所需任务,如依使用带宽(第4层以下)而非应用类型之协议(第7层)限制带宽。这是个非常强烈,但常被忽略的论点,ISP业者在OSI模型第4层以上的行为会提供在信息安全社区里称之为“垫脚石”的风险,亦即让人可通过
中间人攻击入侵其网络。这个问题是因为ISP业者通常会安全追纵纪录不佳的便宜硬件,难以或几乎不可能确保深度数据包检测之安全性。
OpenBSD的数据包过滤特别避开深度数据包检测,即是因为该软件没有信心能安全地完成过滤任务。
这意味着,与深度数据包检测有关之服务,如TalkTalk的HomeSafe,实际上是贩卖少量的安全性(可以且经常已经使用其他更有效之方式保护),其代价却是牺牲所有用户之安全性,且其用户几乎不可能减轻其风险。HomeSafe服务主要系通过封锁来选择进来的流量,但其深度数据包检测无法选择出去的流量,即使是企业用户。