Deep Packet Inspection (DPI)

Deep Packet Inspection (DPI) ist eine fortschrittliche Methode zur Untersuchung und Verwaltung des Netzwerkverkehrs. Es handelt sich um eine Form der Paketfilterung, die Pakete mit bestimmten Daten- oder Code-Nutzlasten aufspürt, identifiziert, klassifiziert, umleitet oder blockiert, die mit der herkömmlichen Paketfilterung, die nur die Paketköpfe untersucht, nicht erkannt werden können.

Die Deep Packet Inspection wird normalerweise als Firewall-Funktion ausgeführt und funktioniert auf der Anwendungsschicht des OSI-Referenzmodells (Open Systems Interconnection).

Wie Deep Packet Inspection funktioniert

Die Deep Packet Inspection untersucht den Inhalt von Paketen, die einen bestimmten Kontrollpunkt passieren, und trifft Entscheidungen in Echtzeit auf der Grundlage von Regeln, die von einem Unternehmen, einem Internet Service Provider (ISP) oder einem Netzwerkmanager zugewiesen wurden, je nachdem, was ein Paket enthält.

Vorherige Formen der Paketfilterung untersuchten nur die Header-Informationen, was, um eine Analogie zu verwenden, dem Lesen von Adressen entspricht, die auf die Außenseite eines Umschlags gedruckt sind. Dies war zum Teil auf die Grenzen der Technologie zurückzuführen. Bis vor kurzem verfügten Firewalls nicht über die nötige Verarbeitungsleistung, um große Mengen an Datenverkehr in Echtzeit zu untersuchen. Technologische Fortschritte haben DPI in die Lage versetzt, fortschrittlichere Prüfungen durchzuführen, die dem Öffnen eines Briefumschlags und dem Lesen seines Inhalts ähneln.

Deep Packet Inspection kann den Inhalt von Nachrichten untersuchen und die spezifische Anwendung oder den Dienst identifizieren, von dem sie stammen. Darüber hinaus können Filter so programmiert werden, dass sie nach Netzwerkverkehr aus einem bestimmten IP-Adressbereich oder einem bestimmten Online-Dienst wie Facebook suchen und diesen umleiten.

Gängige Verwendungszwecke von Deep Packet Inspection

DPI kann zu wohlwollenden Zwecken als Netzwerksicherheitswerkzeug eingesetzt werden: zum Erkennen und Abfangen von Viren und anderen Formen von bösartigem Verkehr. Sie kann aber auch für ruchlosere Aktivitäten wie Lauschangriffe eingesetzt werden.

Die Deep Packet Inspection kann auch bei der Netzverwaltung eingesetzt werden, um den Netzverkehr zu rationalisieren. So kann beispielsweise eine als hoch priorisiert gekennzeichnete Nachricht vor weniger wichtigen oder niedrig priorisierten Nachrichten oder Paketen, die beim gelegentlichen Surfen im Internet anfallen, an ihr Ziel geleitet werden. DPI kann auch zur Drosselung des Datentransfers eingesetzt werden, um Peer-to-Peer-Missbrauch zu verhindern und so die Netzleistung zu verbessern.

Da Deep Packet Inspection die Identifizierung des Absenders oder Empfängers von Inhalten ermöglicht, die bestimmte Pakete enthalten, hat sie bei Verfechtern des Datenschutzes und Gegnern der Netzneutralität Besorgnis ausgelöst.

Grenzen der Deep Packet Inspection

Die Deep Packet Inspection hat mindestens drei bedeutende Grenzen.

Erstens kann sie neue Schwachstellen schaffen, zusätzlich zum Schutz gegen bestehende. DPI ist zwar wirksam gegen Buffer-Overflow-Angriffe, Denial-of-Service-Angriffe (DoS) und bestimmte Arten von Malware, kann aber auch ausgenutzt werden, um Angriffe in denselben Kategorien zu erleichtern.

Zweitens erhöht Deep Packet Inspection die Komplexität und Schwerfälligkeit bestehender Firewalls und anderer sicherheitsrelevanter Software. Deep Packet Inspection erfordert eigene regelmäßige Aktualisierungen und Überarbeitungen, um optimal wirksam zu bleiben.

Drittens kann DPI die Netzwerkgeschwindigkeit verringern, da es die Belastung der Firewall-Prozessoren erhöht.

Trotz dieser Einschränkungen haben viele Netzwerkadministratoren die Deep Packet Inspection-Technologie übernommen, um mit der wahrgenommenen Zunahme der Komplexität und der weiten Verbreitung von Gefahren im Internet fertig zu werden.