Открыть сервис

DPI

DPI (от англ. Deep Packet Inspection — глубокий анализ пакетов) — это технология сетевого анализа, позволяющая не только просматривать заголовки сетевых пакетов, но и изучать их содержимое (полезную нагрузку) на уровне приложений. В отличие от традиционной фильтрации пакетов, которая работает только на основе адресов отправителя и получателя, портов и протоколов, DPI способен идентифицировать конкретные приложения, протоколы, типы файлов и даже содержание передаваемых данных. Технология применяется как для обеспечения безопасности сетей, так и для управления трафиком, а также для цензуры и мониторинга.

Принцип работы

Технология DPI реализуется на сетевых устройствах (маршрутизаторах, межсетевых экранах, прокси-серверах) и включает несколько этапов обработки трафика.

Сбор и захват пакетов

Устройство DPI перехватывает все проходящие через него сетевые пакеты. Это может осуществляться как на аппаратном уровне (с помощью специализированных чипов), так и программно.

Анализ заголовков

На первом этапе проверяются стандартные поля заголовков IP-пакетов (адреса источника и назначения, версия протокола, длина пакета) и транспортного уровня (порты TCP/UDP). Это позволяет отсеять заведомо нежелательный трафик.

Анализ полезной нагрузки

На втором этапе изучается содержимое пакета (payload). Для этого используются различные методы:

  • Сигнатурный анализ — сравнение данных с базой известных сигнатур (например, характерных последовательностей байт для определённых протоколов или вредоносных программ).
  • Статистический анализ — оценка частоты появления определённых символов, длины пакетов, интервалов между ними. Например, трафик видеозвонков имеет характерные статистические паттерны.
  • Поведенческий анализ — отслеживание последовательности действий (например, установка соединения, передача файла, завершение сессии) для идентификации протокола.
  • Эвристический анализ — использование алгоритмов машинного обучения для выявления аномалий или неизвестных протоколов.

Принятие решения

На основе результатов анализа устройство DPI принимает решение: пропустить пакет, заблокировать, перенаправить, изменить его содержимое (например, вставить рекламный баннер) или записать в лог. Решения могут быть как статическими (по правилам), так и динамическими (на основе анализа в реальном времени).

История развития

Первые системы анализа трафика появились в 1990-х годах и были ориентированы на фильтрацию по портам. Однако с ростом популярности одноранговых сетей (P2P) и протоколов, использующих динамические порты (например, BitTorrent), традиционные методы стали неэффективны. В начале 2000-х годов компании (Cisco, Sandvine, Procera Networks) начали разрабатывать коммерческие решения DPI.

Ключевым этапом стало внедрение DPI в инфраструктуру российских провайдеров в рамках реализации Федерального закона № 436-ФЗ («О защите детей от информации, причиняющей вред их здоровью и развитию») и последующих нормативных актов, а также для выполнения требований «пакета Яровой» (Федеральный закон № 374-ФЗ). В настоящее время DPI активно используется в системах «Реестр запрещённых сайтов» (Единый реестр доменных имён) и для блокировки доступа к экстремистским и террористическим ресурсам.

Применение

Безопасность сетей

  • Обнаружение вторжений — DPI позволяет выявлять атаки на уровне приложений (например, SQL-инъекции, межсайтовый скриптинг, попытки эксплуатации уязвимостей).
  • Фильтрация вредоносного ПО — анализ трафика на наличие сигнатур вирусов, троянов, программ-вымогателей.
  • Предотвращение утечек данных — DPI может блокировать передачу конфиденциальной информации (паролей, номеров кредитных карт) за пределы корпоративной сети.

Управление трафиком

  • QoS (Quality of Service) — приоритезация трафика: например, видеозвонки и онлайн-игры получают более высокий приоритет, чем загрузка файлов.
  • Тарификацияоператоры связи используют DPI для точного учёта потребляемого трафика по типам приложений (мессенджеры, стриминг, торренты).
  • Оптимизациякэширование часто запрашиваемого контента (например, видео с YouTube) на стороне провайдера.

Цензура и мониторинг

  • Блокировка запрещённого контента — DPI используется для фильтрации доступа к сайтам, содержащим детскую порнографию, пропаганду наркотиков, экстремистские материалы. В России технология применяется для блокировки ресурсов, внесённых в Единый реестр запрещённых сайтов.
  • Мониторинг трафика — правоохранительные органы могут использовать DPI для выявления подозрительной активности (например, общение в зашифрованных мессенджерах, передача больших объёмов данных).
  • Ограничение доступа к иностранным сервисам — в ряде стран (Китай, Иран, Россия) DPI используется для замедления или блокировки доступа к зарубежным платформам (Twitter, Facebook, Instagram — принадлежат компании Meta, признанной экстремистской и запрещённой в РФ).

Бизнес-применение

  • Рекламные вставки — провайдеры могут вставлять рекламные баннеры в HTTP-трафик (например, на страницы с ошибками 404).
  • Анализ поведения пользователей — сбор статистики о посещаемых сайтах, используемых приложениях, времени активности.

Критика и ограничения

Вопросы приватности

DPI предполагает полный доступ к содержимому передаваемых данных, что вызывает серьёзные опасения с точки зрения права на тайну переписки и личную жизнь. В ряде стран (США, страны ЕС) использование DPI без согласия пользователя или судебного ордера считается незаконным. В России, согласно Федеральному закону «О связи», операторы обязаны предоставлять уполномоченным органам доступ к информации о пользователях и их трафике, что фактически легализует DPI для целей оперативно-розыскной деятельности.

Технические ограничения

  • Шифрование — современные протоколы (TLS 1.3, HTTPS, QUIC) шифруют полезную нагрузку, что делает традиционный DPI неэффективным. Для обхода шифрования используются методы «человек посередине» (MITM) с подменой сертификатов, что также критикуется за нарушение безопасности.
  • Производительность — глубокий анализ каждого пакета требует значительных вычислительных ресурсов, особенно на высокоскоростных каналах (10 Гбит/с и выше). Это может приводить к задержкам и снижению пропускной способности.
  • Обход — существуют методы обхода DPI: использование VPN, прокси-серверов, протоколов с изменяемыми сигнатурами (например, Tor), а также шифрование трафика на уровне приложений.

Правовые риски

  • Злоупотребления — DPI может использоваться для необоснованной блокировки легального контента, цензуры политической оппозиции, сбора данных о пользователях без их ведома.
  • Ответственность — операторы, использующие DPI, могут нести ответственность за нарушение тайны связи, если их действия не санкционированы законом.

Технологии и производители

Коммерческие решения

  • Cisco Systems — продукты серии ASA, Firepower, а также модули для маршрутизаторов ISR.
  • Sandvine — решения для операторов связи (управление трафиком, QoS).
  • Procera Networks (ныне часть Sandvine) — системы DPI для анализа приложений.
  • Allot Communications — платформы для защиты сетей и управления трафиком.

Открытые проекты

  • nDPI — библиотека с открытым исходным кодом, разработанная компанией ntop. Поддерживает анализ более 200 протоколов.
  • OpenDPI — ранняя версия nDPI, распространявшаяся под лицензией GPL.
  • L7-filter — модуль для ядра Linux, позволяющий классифицировать трафик на основе сигнатур.

Правовое регулирование в России

В России использование DPI регулируется рядом нормативных актов:

  • Федеральный закон «О связи» (№ 126-ФЗ) — обязывает операторов связи обеспечивать реализацию требований к сетям и средствам связи для проведения оперативно-розыскных мероприятий.
  • Федеральный закон «О противодействии терроризму» (№ 35-ФЗ) — даёт основания для блокировки ресурсов, связанных с террористической деятельностью.
  • Федеральный закон «Об информации, информационных технологиях и о защите информации» (№ 149-ФЗ) — устанавливает порядок ограничения доступа к запрещённой информации.
  • «Пакет Яровой» (№ 374-ФЗ и № 375-ФЗ) — обязывает операторов хранить записи голосовой связи и текстовые сообщения пользователей, а также предоставлять ключи шифрования по запросу.

С 2019 года в России действует система ТСПУ (Технические средства противодействия угрозам), которая представляет собой централизованную платформу DPI, управляемую Роскомнадзором. ТСПУ используется для блокировки доступа к запрещённым сайтам, замедления трафика к иностранным сервисам (например, Twitter) и фильтрации контента.

Источники

  1. Федеральный закон «О связи» от 07.07.2003 № 126-ФЗ.
  2. Федеральный закон «Об информации, информационных технологиях и о защите информации» от 27.07.2006 № 149-ФЗ.
  3. Федеральный закон «О противодействии терроризму» от 06.03.2006 № 35-ФЗ.
  4. Федеральный закон «О внесении изменений в Федеральный закон «О противодействии терроризму» и отдельные законодательные акты Российской Федерации» от 06.07.2016 № 374-ФЗ (пакет Яровой).
  5. Документация по технологии Deep Packet Inspection компании Cisco Systems.
  6. Материалы проекта nDPI (ntop.org).
  7. Аналитические отчёты Роскомнадзора о реализации ТСПУ (2019–2023).
  8. Статья «Deep Packet Inspection: The End of the Internet as We Know It?» (Electronic Frontier Foundation, 2010).

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →