Deep packet inspection (DPI)

Deep packet inspection (DPI) er en avanceret metode til at undersøge og styre netværkstrafikken. Det er en form for pakkefiltrering, der lokaliserer, identificerer, klassificerer, klassificerer, omdirigerer eller blokerer pakker med specifikke data- eller kodelast, som konventionel pakkefiltrering, der kun undersøger pakkehovedet, ikke kan opdage.

Dyb pakkeinspektion, der normalt udføres som en firewallfunktion, fungerer i applikationslaget i OSI-referencemodellen (Open Systems Interconnection).

Sådan fungerer deep packet inspection

Deep packet inspection undersøger indholdet af pakker, der passerer et givet kontrolpunkt, og træffer beslutninger i realtid baseret på regler, der er tildelt af en virksomhed, internetudbyder (ISP) eller netværksleder, afhængigt af, hvad en pakke indeholder.

Tidligere former for pakkefiltrering kiggede kun på headeroplysninger, hvilket, for at bruge en analogi, svarer til at læse adresser trykt på ydersiden af en konvolut. Dette skyldtes til dels teknologiens begrænsninger. Indtil for nylig havde firewalls ikke den nødvendige processorkraft til at udføre dybere inspektioner af store trafikmængder i realtid. Teknologiske fremskridt har gjort det muligt for DPI at udføre mere avancerede inspektioner, der svarer mere til at åbne en konvolut og læse dens indhold.

Deep packet inspection kan undersøge indholdet af meddelelser og identificere det specifikke program eller den specifikke tjeneste, det kommer fra. Desuden kan filtre programmeres til at lede efter og omdirigere netværkstrafik fra et bestemt IP-adresseområde (Internet Protocol) eller en bestemt onlinetjeneste som Facebook.

Almindelige anvendelser af deep packet inspection

DPI kan bruges til velvillige formål som et værktøj til netværkssikkerhed: til detektion og opfangning af virus og andre former for skadelig trafik. Men det kan også bruges til mere skadelige aktiviteter som f.eks. aflytning.

Deep packet inspection kan også bruges i forbindelse med netværksstyring for at strømline strømmen af netværkstrafikken. F.eks. kan en meddelelse, der er mærket som højprioriteret, blive dirigeret til sin destination før mindre vigtige eller lavprioriterede meddelelser eller pakker, der er involveret i afslappet internetbrowsing. DPI kan også bruges til at drosle dataoverførsel for at forhindre peer-to-peer-misbrug og dermed forbedre netværkets ydeevne.

Den dybe pakkeinspektion gør det muligt at identificere afsender eller modtager af indhold, der indeholder specifikke pakker, og den har derfor vakt bekymring blandt fortalere for beskyttelse af privatlivets fred og modstandere af netneutralitet.

Begrænsninger ved deep packet inspection

Deep packet inspection har mindst tre væsentlige begrænsninger.

For det første kan den skabe nye sårbarheder ud over at beskytte mod eksisterende sårbarheder. Selv om DPI er effektiv mod bufferoverløbsangreb, DoS-angreb (denial-of-service) og visse typer malware, kan den også udnyttes til at lette angreb i de samme kategorier.

For det andet øger deep packet inspection kompleksiteten og den uoverskuelige karakter af eksisterende firewalls og anden sikkerhedsrelateret software. Deep packet inspection kræver sine egne periodiske opdateringer og revisioner for at forblive optimalt effektiv.

For det tredje kan DPI reducere netværkshastigheden, fordi det øger byrden på firewallprocessorerne.

Trods disse begrænsninger har mange netværksadministratorer taget deep packet inspection-teknologien til sig i et forsøg på at klare en oplevet stigning i kompleksiteten og den udbredte karakter af internetrelaterede farer.