Технология DPI: как работает глубокая фильтрация пакетов и ее применение в сетевой безопасности

Каждый день бизнес в России сталкивается с киберугрозами. Любая утечка может обернуться миллионными расходами. Поэтому компании всё чаще устанавливают технологию Deep Packet Inspection для глубокой фильтрации пакетов, чтобы эффективно защищать свои данные.

Рассказали, как работают DPI-решения, зачем они нужны правительствам, провайдерам и корпорациям и какие сегодня есть инструменты для контроля сетевого трафика.

Что такое Deep Packet Inspection

DPI (Deep Packet Inspection, англ. «глубокая инспекция пакетов») — это технология анализа данных, которые проходят через контрольную точку в сети. Вся информация в интернете распределена по блокам данных, то есть пакетам (англ. «packet»). DPI как бы заглядывает внутрь каждого пакета и тщательно изучает всё, что в нём содержится.

Чтобы лучше понять принцип работы DPI, представьте таможню. Пакеты данных — это грузовики, которые перевозят товары через границу. Обычно таможенники проверяют только документы: если всё в порядке, можно ехать дальше — так работает сеть без DPI. А если подключить технологию глубокой фильтрации, таможенники будут открывать кузов каждого грузовика, чтобы проверить товары внутри.

Решения для глубокой инспекции данных бывают двух видов:

1. Аппаратное обеспечение. Поставщики продают специализированные устройства с предустановленным DPI, например, маршрутизаторы и сервера. Эти устройства физически подключаются к сети.
2. Программное обеспечение. Поставщики продают лицензии на софт, который можно интегрировать в уже существующие системы. Примеры таких программ — СКАТ Гарда DPI и система контроля и анализа трафика СКАТ DPI от VAS Experts.  

Аппаратные DPI-решения обычно более надёжные и производительные, но также и более дорогие. Программные же можно установить на имеющееся оборудование, поэтому стоимость у них демократичная. Зато они могут быть ограничены по скорости обработки данных, а также их сложнее масштабировать.

Отличие от обычной фильтрации пакетов

При обычной фильтрации устройство смотрит только на заголовки пакетов. Они содержат IP-адреса отправителя и получателя, номер порта, информацию о длине пакета и другие метаданные.

Deep Packet Inspection идёт дальше: анализирует само наполнение пакета. То есть помимо заголовка оборудование видит и его фактическое содержимое: текст, изображение, аудио, видео.

По сравнению с обычной фильтрацией Deep Packet Inspection обрабатывает бо́льший объём информации. Ведь технология проверяет не только заголовки пакетов, но и их содержимое. Поэтому для глубокой фильтрации нужно больше мощностей, иначе DPI замедлит скорость трафика.

Чаще всего DPI работает на прикладном уровне модели OSI. Это схема, которая описывает этапы передачи данных по сети. Она разделена на семь уровней: самый базовый отвечает за передачу электрических сигналов в кабелях, а последний седьмой — за взаимодействие с конечным пользователем.

Прикладной уровень модели OSI — это действия на уровне пользовательских приложений. То есть DPI проверяет безопасность пакетов в тот момент, когда их передают браузеры, электронная почта, мессенджеры.

Процесс выглядит так: между устройствами отправителя и получателя расположена контрольная точка, например, брандмауэр. Отправитель посылает пакеты данных по сети, и когда они доходят до брандмауэра, система осуществляет блокировку опасного трафика, чтобы он не дошёл до получателя. В итоге пользователи открывают смешные гифки в Firefox, читают сообщения в Telegram, смотрят видео на YouTube — но все эти данные уже отфильтрованы.

Принцип работы Deep Packet Inspection

Инспекция трафика в DPI-технологиях состоит из трёх шагов.

1. Перехват пакетов

Чтобы отслеживать трафик, DPI-оборудование устанавливают в контрольных точках сети — это маршрутизаторы, коммутаторы и другие устройства. Они работают как шлюзы или фильтры: анализируют данные, которые через них проходят, и принимают решения о том, как их обработать.

DPI перехватывает каждый пакет данных, который передаётся по сети, и распаковывает его. То есть расшифровывает внешние слои: Ethernet, IP-адреса, заголовки транспортного уровня. Этот процесс называется декапсуляция — он помогает устройству получить доступ к содержимому пакетов и проанализировать его.

2. Классификация пакетов

Когда DPI-устройство перехватило пакет данных, оно вычисляет, какое приложение или протокол он использует. То есть начинает искать в пакете сигнатуры — определённые комбинации символов или битов. Например, трафик из приложения Zoom имеет характерные признаки, по которым DPI может его распознать.

Сигнатуры хранятся в базе данных. Устройства DPI сравнивают пакеты с шаблонами и затем определяют, что делать с полученными данными.

Также определить тип пакета можно на основе поведенческого анализа. В стандартных шаблонах зафиксировано «нормальное» поведение. Если пакет делает что-то нетипичное, например, отправляет данные на неизвестные адреса, DPI классифицирует его как вредоносный.

3. Анализ содержимого

На этом этапе Deep Packet Inspection извлекает содержимое пакетов и выявляет запрещённые URL-адреса, ключевые слова и опасные программы. Помимо непосредственного контента устройство получает и метаданные: IP-адреса отправителя и получателя, номера портов, временные метки.

Затем DPI переходит к применению сетевых политик — то есть алгоритмов, которые задают правила обработки данных. Например, трафик из приложения Zoom классифицирован как приоритетный — тогда DPI увеличивает скорость передачи пакетов, которые содержат характерные сигнатуры.

Сетевые политики настраивает пользователь, который занимается внедрением DPI. Благодаря этой функции интернет-провайдеры могут предлагать разные сервисы: например, ускоренный стриминг музыкальных платформ. Когда клиент приобретает такую услугу, к его трафику применяются соответствующие сетевые политики — тогда песни в Spotify грузятся быстрее. Однако могут пострадать пакеты из других приложений.

Зачем нужна технология Deep Packet Inspection

DPI полезна для организаций, которым важно контролировать и анализировать интернет-трафик. Среди них — провайдеры, корпорации, госорганы. Рассмотрим основные сценарии, по которым предприятия внедряют DPI-решения.

Сетевая безопасность

Deep Packet Inspection анализирует данные, которые передаются по сети, и фильтрует вредоносный трафик. Допустим, система обнаруживает, что сетевой пакет пытается получить доступ к опасному веб-сайту. Тогда DPI блокирует этот пакет до того, как он достигнет компьютера, чтобы предотвратить потенциальное нарушение безопасности.

Этой функцией часто пользуются бизнесы и организации. DPI защищает корпоративные сети от киберугроз: DDoS-атак, заражения вирусами, фишинга. Также она предотвращает утечки конфиденциальных данных и оперативно блокирует несанкционированный доступ.

Контроль над интернетом

При помощи Deep Packet Inspection можно:

• контролировать, какую информацию люди видят в сети;
• регулировать, какие данные можно передавать через сеть;
• ускорять или замедлять передачу определённых пакетов;
• приостанавливать доступ к конкретным сайтам или приложениям.

Некоторые провайдеры используют DPI для блокировки запрещённых ресурсов, например, пиратских и порнографических сайтов. А компании внедряют эту технологию, чтобы регламентировать, как сотрудники используют интернет. К примеру, в корпоративной сети можно отключить доступ к соцсетям и развлекательным порталам — так у работников будет меньше поводов отвлечься от своих задач.

Правительства используют Deep Packet Inspection, чтобы проверять интернет-трафик и выявлять нарушения закона. Также DPI позволяет увидеть IP-адреса отправителя и получателя пакетов с опасной информацией. Это помогает в антитеррористической деятельности и поимке преступников.

Обеспечение качества обслуживания

Провайдеры используют DPI для реализации QoS (Quality of Service, англ. «качество обслуживания»). Технология помогает оптимально распределять нагрузку между приложениями: повышать пропускную способность для приоритетного трафика или, наоборот пессимизировать его, то есть замедлять.

К примеру, во время расцвета VoIP-телефонии мобильные операторы пытались внедрить блокировку Skype-трафика: интернет помогал абонентам экономить на сотовой связи. Тогда операторы обратились к Deep Packet Inspection — с помощью глубокой фильтрации можно поставить лимит на скорость передачи пакетов от сервисов VoIP. Ограничения мотивировали бы клиентов переходить на новые абонентские планы и приобретать дополнительные услуги. Например, после замедления Skype мобильные операторы могли предложить тариф «Skype без границ», который снимает лимит для VoIP-трафика.

Другой пример — скачивание файлов через BitTorrent. При обычной фильтрации сетевых пакетов провайдеры не могли контролировать, какие приложения забирают больше скорости. Поэтому раньше BitTorrent занимал весь канал и замедлял работу других приложений. С Deep Packet Inspection операторы могут распределять нагрузку между разными программами. Например, ограничить скорость BitTorrent в час пик, когда интернетом пользуется наибольшее число пользователей, а ночью разрешить неограниченный обмен сетевого трафика.

Сбор статистики

Некоторые DPI-решения умеют собирать подробную статистику соединения и разбивать её по параметрам. Примеры таких параметров:

• приложение;
• тарифный план;
• регион;
• тип абонентского устройства.
  

Поэтому некоторые компании внедряют Deep Packet Inspection, чтобы собрать и проанализировать данные о том, как люди используют интернет: на какие сайты заходят, какие приложения используют, сколько данных передают. Углубленное понимание сетевого трафика помогает разработать решения о том, как далее оптимизировать работу сети и повысить её эффективность.

Допустим, сотрудники компании тратят много времени на то, чтобы работать в Figma. Но им совсем не нужно смотреть потоковые видео в высоком разрешении. Тогда компания может увеличить пропускную способность для пакетов данных из Figma, но ограничить скорость стриминга.

Какие проблемы возникают при использовании DPI

Нарушение приватности. С помощью DPI можно просматривать данные пользователей, а это угрожает их конфиденциальности, особенно при сборе и обработке личной информации. Потенциально использование DPI может привести к утечкам, нарушить права пользователей, а также подвергнуть их опасности, если личные данные попадут в руки злоумышленников.

Замедление сети. Deep Packet Inspection создаёт дополнительную нагрузку на сеть и её компоненты. Анализ каждого пакета занимает больше времени, поэтому DPI снижает скорость интернет-соединения. Это создаёт неудобства для пользователей и вынуждает провайдеров искать способы оптимизировать сеть, чтобы компенсировать задержки.

Риск появления уязвимости. Если некорректно настроить DPI, в инфраструктуре сети возникают уязвимости, которые угрожают её целостности. К примеру, если сеть не успевает обработать столь большой объём данных, это может привести к перегрузке ресурсов и компрометировать инфраструктуру.

Неэффективность против VPN и шифрования. VPN-инструменты — это сервисы обхода блокировки, которые создают зашифрованный туннель между пользователем и удалённым сервером. Если все данные передаются в зашифрованном виде через VPN, анализировать содержимое трафика становится труднее. Но существуют мощные DNI-решения, которые способны распознавать трафик даже после применения VPN.

Цензура. Применение Deep Packet Inspection может привести к ограничениям свободы слова, особенно в странах с авторитарными системами правления. Например, с помощью глубокого инспектирования трафика госорганы блокируют доступ к ресурсам, на которых пользователи публикуют несанкционированную информацию и обмениваются мнениями о политике.

Слежка. Поскольку DPI позволяет просматривать фактическое содержимое пакетов, провайдеры и правительства могут читать личную переписку: сообщения в мессенджерах, электронную почту и так далее. Также метаданные, вроде IP-адресов отправителя и получателя, можно использовать для отслеживания местоположения и активности пользователей.

Как DPI работает в реальных сетевых инфраструктурах

В августе 2024 года российские пользователи столкнулись с замедлением YouTube: не открывается лента видео на главной странице, долго грузятся видеоролики. Чтобы получить доступ к популярному видеохостингу, приходится включать VPN. Замедление осуществили на государственном уровне через технологию DPI: теперь скорость обмена данными с доменом googlevideo.com снижена.

Deep Packet Inspection задействована и в Великом китайском файрволе — это система интернет-цензуры, которая блокирует контент в сети на национальном уровне. Файрвол сканирует сетевой трафик в режиме реального времени и фильтрует его содержимое. Например, в Китае запрещено упоминать протесты на площади Тяньаньмэнь, когда несколько сотен студентов погибли под танками. Сигнатурами для этих трагических событий служат даты протестов, записанные в разном формате: 04.06.1989, 06/04/1989, June 4th, 1989 и так далее. DPI сканирует интернет-трафик и блокирует URL-адреса, которые содержат эти даты.

Также DPI-решения пользуются популярностью у различных организаций. Южно-Уральский государственный медицинский университет приобрёл у поставщика программное DPI-решение, чтобы защищать публикации и фильтровать контент. Межсетевой экран Ideco NGFW VPP помогает университету управлять трафиком, контролировать приложения, предотвращать вторжения и защищать корпоративную сеть от несанкционированного доступа.

Какие решения на основе DPI можно приобрести на рынке

Компании, которые производят DPI-оборудование, как правило, создают собственные классификаторы трафика или используют сторонние. Их устройства делятся на две категории:

• Интегрированные — решения для глубокого анализа, встроенные в телекоммуникационное оборудование: маршрутизаторы, межсетевые экраны и так далее. Популярные производители: Cisco, Huawei.
• Автономные — самостоятельное DPI-оборудование, которое специализируется на кибербезопасности, сборе статистики, блокировке трафика. Более мощное в сравнении с интегрированными решениями. Популярные производители: Allot Ltd., Sandvine, Gigamon, Semptian Technologies, BAE Systems.

Согласно исследованию от фирмы MordorIntelligence, наиболее крупные игроки на рынке оборудования Deep Packet Inspection — Nokia, Huawei, Cisco, ManageEngine, SolarWinds. Наибольшим спросом DPI-решения пользуются в Северной Америке. Рынок постоянно развивается: появляются инновационные решения, такие как NGFW — межсетевые экраны нового поколения, которые могут анализировать трафик на всех уровнях модели OSI.

Чтобы развернуть технологию DPI в офисе, нужно установить специализированное оборудование, способное анализировать сетевой трафик на глубоком уровне. Это можно сделать за четыре шага:

1. Определить, какое оборудование нужно организации: аппаратное или программное, интегрированное или автономное. Выбор зависит от потребностей бизнеса, бюджета и ожидаемых объёмов трафика.

2. Приобрести необходимые решения. На российском рынке не всегда доступны предложения иностранных поставщиков, поэтому компании часто переходят на отечественное DPI-оборудование. Например:

• Аппаратное: nGeniusONE от NETSCOUT, Traffic Inspector Next Generation от Smart-Soft.
• Программное: СКАТ DPI от VAS Experts, Carbon Reductor DPI X от Carbon Soft.

3. Установить оборудование. Как правило, поставщики помогают клиентам подключить DPI-решения к корпоративной сети. А вот более тонкая настройка — это внутренняя задача компании. Необходимо задать правила фильтрации, определить приоритетные типы трафика и так далее. Установкой и настройкой оборудования занимаются сетевые инженеры и специалисты по информационной безопасности.

4. Обучить персонал. Следующий шаг — помочь сотрудникам, которые отвечают за поддержку сети, разобраться в новом DPI-оборудовании. Также важно обновить политику сетевой безопасности для остальных работников: после внедрения DPI прежние рекомендации по кибер-гигиене могут оказаться неактуальными.

Использование DPI должно соблюдать правовые нормы, учитывать приватность и безопасность пользователей, а также защищать их конфиденциальность. Тогда организация будет надёжно защищена от всех связанных рисков.