簡介
深度數據包檢測(英語:Deep packet inspection,縮寫為 DPI),又稱
完全數據包探測(complete packet inspection)或
信息萃取(Information eXtraction,IX),是一種
計算機網路數據包過濾技術,用來檢查通過檢測點之
數據包的
數據部分(亦可能包含其
標頭),以搜尋不匹配規範之協定、
病毒、
垃圾郵件、入侵,或以預定之準則來決定數據包是否可通過或需被路由至其他不同目的地,亦或是為了收集統計數據之目的。IP數據包有許多個標頭;正常運作下,網路設備只需要使用第一個標頭(IP標頭),而使用到第二個標頭(
TCP、
UDP等)則通常會與深度數據包檢測相對,而被稱之為淺度數據包檢測(一般稱為狀態數據包檢測)。
有多種方式可以用來獲取深度數據包檢測的數據包。較常見的方法有連線埠鏡像(port mirroring,或稱為 Span Port)及光纖分光器。
深度數據包檢測允許更進步的
網路管理、用戶服務及
安全功能,亦能用來進行網際網路
數據挖掘、
竊聽及網際網路審查。雖然深度數據包檢測技術已被用於網際網路管理許多年,一些支持
網路中立性的人害怕此技術會被用於反競爭行為,或減少網路的開放性。尋求反制的技術也因而被提出來大規模討論。
深度數據包檢測的套用範圍廣泛,可分成“企業”(公司及大型機構)、電信服務業者及政府3個方面。
局限性
深度包檢測(deep packet inspection,DPI)是一種先進的包過濾方法,它在開放系統互連(
OSI)參考模型的套用層中起作用。使用深度包檢測可以發現、識別、分類、重新路由或阻止具有特殊數據或代碼有效載荷的數據包,而傳統的包過濾只能檢測數據包包頭,不能發現這些數據包。
使用深度包檢測,通信服務提供商可以分配現有資源以精簡信息流。例如,一個標記為高優先權的訊息可以比不太重要或低優先權的信息或數據包先被路由到其目的地。深度包檢測(DPI)也可以用來節制數據傳輸,以防止對等網路(P2P)被濫用,從而改善絕大多數用戶的網路性能。深度包檢測的安全問題廣泛存在,因為這種技術能確定具體數據包內容的發出者或接收者,而且這種功能也引起了網路隱私保護者的關注。
深度包檢測(DPI)至少有三個局限性。首先,它在防疫現有漏洞的同時可能會產生新的漏洞。雖然它能有效地防止緩衝區溢出攻擊、拒絕服務攻擊和某些類型的惡意軟體,但是深度包檢測也可被其他同類攻擊所利用。其次,深度包檢測增加了現有防火牆和其他安全相關的軟體的複雜性和難操作性。深度包檢測需要定期更新和修訂,以保持最佳效益。第三,深度包檢測降低了計算機速度,因為它增加了處理器負擔。儘管有這些限制,許多網路管理員仍然採用DPI技術,目的是為了應付複雜的和難操作的網際網路有關的風險。
許多公司,包括阿爾卡特、思科、愛立信、IBM、微軟、諾基亞和賽門鐵克等也開始積極將DPI技術加入到防火牆的硬體和軟體組件中。
背景
深度數據包檢測結合了
入侵檢測系統(IDS)、
入侵預防系統(IPS)及
狀態防火牆等功能。此一結合讓深度數據包檢測可以檢測到某些IDS、IPS或狀態防火牆都無法發覺的攻擊。狀態防火牆能看到數據包流的開始與結束,但發覺超過特定套用之範圍的事件。IDS能檢測入侵,但幾乎沒有阻擋此類攻擊的能力。深度數據包檢測能用來快速阻擋來自病毒與蠕蟲的攻擊。更具體地說,深度數據包檢測可有效防止緩衝器溢出攻擊、阻斷服務攻擊(DoS)、複雜入侵及少部分置於單一數據包內的蠕蟲。
具有深度數據包檢測的設備可以看到
OSI模型的第2層及第3層之後。在某些情況下,深度數據包檢測可用來看透OSI模型的第2層至第7層。這包括了整個標頭、數據協定架構及訊息的負載。深度數據包檢測功能在設備採取其他行動時,依據OSI模型第3層之後的信息被引用。深度數據包檢測可以依據包含由數據包數據部分摘取出之信息的特徵資料庫,識別並分類訊務,從而允許比僅依據標頭信息分類有更精確的控制。在許多情況下,終端可使用
加密及模糊處理技術來規避深度數據包檢測。
一個分類的數據包可能被重定向、標記/標籤(見
服務品質,即QoS)、封鎖、速限,並且當然會回報給網路中的報告程式(reporting agent)。在此方式下,不同分類的HTTP錯誤會被識別,並被轉交分析。許多具有深度數據包檢測的設備會識別數據包流(而非逐個數據包的分析),允許依據累積的流量信息進行控制。
企業層面的深度數據包檢測
最初,企業層面的
網路安全只是個外圍的紀律,防止未經授權的用戶進入以及避免授權的用戶曝露於外部世界為其主導理念。最常用來完成此一理念的工具為
狀態防火牆。狀態防火牆允許對外部世界進入內部網路上的默認目的進行精細的控制,並只在先前曾提過對外部世界的請求,才允取訪問回其他的主機。
無論如何,當
漏洞存在於網路層,該層不被狀態防火牆所見。此外,企業內使用
筆記本電腦的次數增加,讓防止
計算機病毒、
蠕蟲及
間諜軟體滲透入內部網變得更加困難,因為許多用戶會將筆記本電腦連上家庭
寬頻連線或公共場所的無線網路等較不安全的網路。防火牆亦無法區分合法接取應用程式的允許與禁止之用戶。深度數據包檢測讓信息安全人員可以在任何一層設定及運行政策,包括套用層及用戶層,以協助對抗這些威脅。
深度數據包檢測可以檢測出幾種緩衝器溢出攻擊。
深度數據包檢測可被企業作為數據外泄防護(DLP)。當電子郵件的用戶試圖傳送一封受保護的檔案時,該用戶可能會收到訊息,告知如何獲取適當許可,以傳送此一檔案。
網路服務業者的深度數據包檢測
除了使用深度數據包檢測來保護其內部網路外,網際網路服務供應商亦會運用此技術於提供給消費者的公眾網路上。ISP業者使用深度數據包檢測的用途一般有通信監察、網路安全政策、
定向廣告、
服務品質、提供
分層服務及
著作權保護等。
通信監察
幾乎全世界所有的政府都會要求服務業者需具有通信監察的功能。數十年前在傳統電話的環境裡,可通過創建一個訊務接入點(TAP),使用攔截代理伺服器連至政府的監控設備來達成通信監察的需求。這在現在的數字網路里不是不可能的。有許多種方法可在數字網路中提供通信監察的功能,其中包括深度數據包檢測。
網路安全政策
服務業者與其用戶簽訂
服務級別協定,需提供一定的服務層級,並同時會運行可接收使用政策,如使用深度數據包檢測運行侵犯著作權、非法內容及不公平使用頻寬之政策。在某些國家裡,ISP業者需要依該國法律運行過濾。深度數據包檢測允許服務業者“輕易地知道其用戶正線上上接收的信息數據包,包括電子郵件、網站、音樂與視頻分享及軟體下載等訊務”。政策亦可被規定允許或不允許連線至某一IP位址、某些協定,或甚至可
識別某一特定套用或行為。
定向廣告
因為ISP業者能安排其所有用戶之路由,他們能夠以非常仔細的方式監控用戶的網路瀏覽習慣,以獲得有關其用戶興趣之信息,提供給經營定向廣告的公司使用。至少有10萬位美國用戶如此被監控,更有10%的美國用戶曾經被如此監控過。NebuAd、Front Porch及Phorm等公司提供定向廣告的技術。
監控其用戶之美國ISP業者則有Knology及Wide Open West等。此外,英國的ISP業者
英國電信亦承諾在其用戶不知情或未同意之下,測試過Phorm所提供之技術。
服務品質
P2P等套用的流量對寬頻服務業者來說,越來越是個問題。通常情況下,P2P的流量被應用程式用來做檔案分享。檔案可以是任何類型(如文檔、音樂、視頻或應用程式)。由於多媒體檔案的容量通常較大,P2P會導致流量的增加,需要額外的網路容量。服務業者表示,少數用戶產生大量的P2P流量,並降低了大部分使用電子郵件或瀏覽網路等需要較少頻寬之寬頻用戶的品質。差勁的網路品質會提升用戶的不滿,並導致服務收入的下滑。
深度數據包檢測允許業者賣出更多的有效頻寬,同時確保公平分配寬頻給所有用戶,以避免網路壅塞。此外,可將更高的優先權分配給網路電話或視頻會議等需要低延遲的套用。這讓服務業者能用來依據通過其網路之流量來動態配置頻寬。
分層服務
移動通信及寬頻服務業者使用深度數據包檢測作用實現分層服務的方法,區分出“
封閉平台”、“加值”、“吃到飽”及“一體適用”的數據服務。通過在“一體適用”的資費方案外,對“封閉平台”、各項套用、各項服務或“吃到飽”另外付費,業者可以為個別用戶提供個人化的服務,並增加其
ARPU。網路政策可以依每個用戶或每個組群設定,而深度數據包檢測系統更能區分出不同的服務與套用。
著作權保護
ISP業者有時會應
著作權人的請求、法院的要求或官方政策,協助保護著作權。2006年,丹麥其中一家最大的ISP業者Tele2被賦予法院禁令,並要求該公司封鎖其用戶拜訪
海盜灣這個存放
BitTorrent種子的網站。不一次又一次地告發分享檔案的人,
國際唱片業協會(IFPI)、
EMI、
Sony BMG、
環球唱片及華納音樂集團等公司開始指控Eircom等ISP業者沒有為保護其著作權有足夠多的努力。IFPI希望ISP業者能過濾流量,並移除在其網路上的違法上傳與下載之著作權物,雖然歐盟2000/31/EC指令明確指出,不應賦予ISP業者監控其傳輸之信息的一般義務,且2002/58/EC指令亦賦予歐盟公民有秘密通信的權利。另一方面,
美國電影協會(MPAA)為保護電影著作權,警告
美國聯邦通信委員會(FCC)對
網路中立性的態度可能會傷害深度數據包檢測及其他過濾方式等反盜版技術。
統計
深度數據包檢測讓ISP業者能蒐集其用戶群使用圖像之信息。例如,業者可能對使用2Mbit/s連線速率的用戶是否會與使用5Mbit/s連線速率的用戶有不同的網路使用方式覺到興趣。獲得這些趨勢數據亦能協助進行網路規劃。
深度數據包檢測與網路中立性
關注
隱私或
網路中立性的人或組織發覺檢測網際網路內容層之行為極具攻擊性,並表示,“網路曾是創建在數據包的開放訪問與無差別待遇之上!”同時,網路中立性規則的批評者則稱之為“查找問題中的答案”(a solution in search of a problem),並表示網路中立性規則會減少升級網路及推動次世代網路服務之誘因。
數據包檢測被許多人認為會破壞網際網路的基礎設備,亦被認為違反美國憲法。
基礎設施安全
傳統上,ISP業者一般只經營OSI模型第4層以下。這是因為僅決定數據包去向與路由相對上較容易安全地處理。傳統模型仍允許ISP業者安全地完成所需任務,如依使用頻寬(第4層以下)而非套用類型之協定(第7層)限制頻寬。這是個非常強烈,但常被忽略的論點,ISP業者在OSI模型第4層以上的行為會提供在信息安全社區里稱之為“墊腳石”的風險,亦即讓人可通過中間人攻擊入侵其網路。這個問題是因為ISP業者通常會安全追縱紀錄不佳的便宜硬體,難以或幾乎不可能確保深度數據包檢測之安全性。
OpenBSD的數據包過濾特別避開深度數據包檢測,即是因為該軟體沒有信心能安全地完成過濾任務。
這意味著,與深度數據包檢測有關之服務,如TalkTalk的HomeSafe,實際上是販賣少量的安全性(可以且經常已經使用其他更有效之方式保護),其代價卻是犧牲所有用戶之安全性,且其用戶幾乎不可能減輕其風險。HomeSafe服務主要系通過封鎖來選擇進來的流量,但其深度數據包檢測無法選擇出去的流量,即使是企業用戶。