1. Gigalight コミュニティホーム
  2. ブログ
  3. チュートリアル

ディープパケットインスペクションの手引き

インターネット経由で送信されたパケットの詳細な分析には、DPI(Deep Packet Inspection)が使用されます。 送信する電子メール、発信するVoIP通話、読み込むWebサイトなど、あらゆるデジタル情報は、「パケット」と呼ばれるフォーマットされた構造化されたデータとしてWeb上で送信されます。データは適切な宛先にルーティングされます。

これらのパケットを分析することはディープパケットインスペクション(DPI)として知られているプロセスであり、プラクティスは企業企業、インターネットサービスプロバイダ(ISP)、およびメディア企業によって毎日採用されています。

ディープパケットインスペクションとは何ですか?

インターネットトラフィックは、パケットと呼ばれる小さなデータの集まりです。 パケットはデジタル情報を、トラフィックの送信元、宛先、コンテンツ、およびその他の貴重な詳細情報を識別する一連のメタデータにまとめます。 デジタルトラフィックを分析することは、自動車のトラフィックを分析することによく似ています。パターンは、有用な洞察を明らかにします。 ネットワークのスペシャリストは、DPI(Deep Packet Inspection)を使用してヘッダーなどのメタデータを調査することで、サーバーを最適化してオーバーヘッドを削減し、ハッカーを検出および防止します。 。

前述したように、DPIは主にISP、メディア会社、企業で使用されています。 たとえパケットがメールであれば、ISPは郵便サービスであり、ヘッダーのようなパケットメタデータと同様に暗号化されていないWebトラフィックへのアクセスを持っているとしましょう。 たとえば、ISPは多くの場合DPIを使用して、データ使用量、データ制限、帯域幅調整、規制への準拠、トラフィックの優先順位付け、負荷分散、または加入者からの統計データの収集を決定します。 これはISPに豊富な有用な情報を提供し、そして会社は多くの方法でユーザーデータへのアクセスを利用します。 米国のほとんどのISPは、ユーザーデータを法執行機関に引き渡すことを許可されています。 さらに、多くのISPは消費者データを使用して広告をターゲットにし、ファイル共有習慣を分析し、サービスへのアクセスと速度を層にしています。

DPIにより、ヘッダーとフッターを超えたパケットを検査できます。 それはより深く掘り下げることができ、パケットが属するアプリケーションやパケットの内容のようないくつかのきめ細かい情報を得ることができます。

DPIはパケットからヘッダとフッタを取り除き、ペイロードを調べてシグニチャの照合を行い、特定の文字列やその他の詳細を探します。

DPI

検査を実行するためにDPIによって使用されるいくつかの方法があります。 よく使用される方法には、ポートベース、統計的、および自動化ベースのアプローチがあります。 ポートベースは、それぞれのプロトコルに共通に割り当てられたポート番号のTCP / UDPヘッダー内のポートフィールドを検査する標準プロトコル識別アプローチです。 統計分析では、ペイロードではなくトラフィックの分類、パケット長、トラフィックを分類するためのポート番号などの一般的な情報の収集に焦点が当てられています。 自動化ベースのアプローチは、パターンマッチングのために有限状態機械を使用する、広く好まれているパターン/正規表現マッチング技術である。 それは以下の状態を含む:初期状態、パターンを一致させるための受入れ状態、および部分的一致ケースのための中間状態。 ペイロード文字列が自動化エンジンに入ると、マッチングは初期状態から始まり、プロセスが最終状態に達すると、一致が見つかったことを意味します。

DPIの概念を理解したところで、DPIのしくみとDPIテクノロジの進化について理解しましょう。

OSIモデルとデータパケットの流れ

DPIのしくみとこのテクノロジの進化を理解するには、データパケットがOSIプロトコルスタックをどのように流れるかを理解する必要があります。

OSIモデルに従って、ネットワークパケットの送信側と受信側の間の通信システムは7つの層に分割されます。

  1. アプリケーション層 - アプリケーションソフトウェアとのやり取りを担当します。
  2. プレゼンテーション層 - 提示されているデータの圧縮、暗号化、およびフォーマット設定を担当します。
  3. セッション層 - セッションのコミュニケーションを作成、管理、終了する責任があります。
  4. トランスポート層 - データの順序付けと配信を担当
  5. ネットワーク層 - ネットワークパケットのアドレス指定とルーティングを担当します。
  6. データリンク層 - パケットの伝送媒体に従ってパケットをフォーマットする責任があります。
  7. 物理層 - 実際のメディアと送信データの特性を定義する責任があります。
OSIモデル

アドレスバーにURLを入力すると、通常、データは次のようにOSIプロトコルスタックを通過します。

  1. ブラウザのアドレスバーにURLを入力します。 アプリケーション層は、対応するソフトウェアであるWebブラウザと対話します。 ブラウザはWebサーバからWebページにアクセスするためのHTTPリクエストを行います。 要求はOSIモデルの次の層であるプレゼンテーション層を通過します。
  2. プレゼンテーション層は、表示されているデータの実際の形式に関係します。 ブラウザがWebサーバーからデータを受信すると、プレゼンテーション層はそれをJPEG、MPEG、MOV、HTMLなどの適切な形式で表示します。この層はデータを暗号化および圧縮することもできます。
  3. 次の層はセッション層です。 この層は、データの送信側と受信側の間のセッションの通信を作成、管理、終了する責任があります。 セッション層、プレゼンテーション層、およびアプリケーション層は、主にパケットのペイロードの構成を担当します。
  4. トランスポート層は、データの順序付けと配信を処理します。 データをパケットに分割し、パケットを順序付けし、パケットの送信元と宛先の間に接続を確立してから、それらをOSIモデルの次の層を通して送信します。 注意: トランスポート層はセッションの管理と終了には関係ありません。 データの送信者と受信者の間の接続のみが処理されます。
  5. ネットワーク層は、ネットワークパケットのアドレス指定とルーティングを担当します。 それはネットワークパケットがネットワークのある部分から他の部分へどのように移動するかを扱います。 ただし、受信したパケットにエラーがないかどうかは関係ありません。 トランスポート層がそれを処理します。
  6. データリンク層は、パケットを送信するために使用されるメディア(無線メディア、イーサネット接続など)に従ってパケットをフォーマットします。
  7. 物理層はパケットの実際のデータを変更しません。 実際のメディアと送信データの特性を定義します。 物理層、データリンク層、ネットワーク層、およびトランスポート層は、主にネットワークパケットのヘッダーを構成する役割を果たします。

パケット検査の種類

当初、パケット検査は従来のファイアウォールで使用されていました。 彼らはこの技術を使ってパケットを監視し、ネットワークセキュリティのためにフィルタリングします。 その後、この技術は徐々にディープパケットインスペクションに進化しました。 現在、DPIは現代の次世代ファイアウォールでネットワークセキュリティを強化するために広く使用されていますが、DPIの使用はそれに限定されるものではありません。 コンテンツの最適化、ネットワークと加入者の分析、およびコンテンツの規制に広く使用されています。

3種類のパケット検査

  • 浅いパケット検査
  • 中パケット検査
  • ディープパケット検査

浅いパケット検査

浅いパケット検査 従来のファイアウォールで広く使用されています。 これは主にOSIモデルの最初の3層で機能します。 この技術は、主にネットワークパケットのヘッダを調べて、パケットを通過させるべきか破棄すべきかを決定します。

シャローパケットインスペクションでは、主に送信元と宛先のIPアドレス、メッセージが分割されるパケットの数、パケットのルーティングにおける総ホップ数、パケットを再組み立てするための同期データなどを監視して、パケットをさらに処理する必要があります。

中パケット検査

中パケット検査 アプリケーションプロキシで広く使用されています。 彼らはパケットヘッダーを調べて、パケットのペイロードの量を制限します。 そして、その情報は事前にロードされた解析リストと照合されます。解析リストはシステム管理者が簡単に更新できます。 解析リストでは、IPアドレスだけではなく、データフォーマットの種類とインターネット上の関連する場所に基づいて、特定の種類のパケットを許可します。

ミディアムパケットインスペクションテクノロジは、パケットのペイロードのプレゼンテーションレイヤを調べて、特定のファイル形式を検出できるようにします。 中程度のパケット検査装置を使用することで、管理者はクライアントコンピュータがYouTubeからのフラッシュファイル、ソーシャルネットワーキングサイトからの画像ファイルなどを受信するのを防ぐことができます。 それはそれに関連するアプリケーションプロトコルコマンドを識別するためにパケットを掘り下げることができ、それからその情報に従ってそれを許可または拒否することができます。

中程度のパケット検査は、浅いパケット検査からかなり進歩したものです。 しかし、この技術の問題点はスケーラビリティが乏しく、その有用性が大幅に制限されることです。

中程度のパケット検査技術では、パケットのペイロードをある程度までしか調べることができません。 そのため、中程度のパケット検査装置ではアプリケーションの認識が限られています。 そして、もっと何かが必要でした。

ディープパケット検査

ディープパケット検査 そのためにテクノロジーが進化しました。 パケットのペイロードを調べ、各パケットの発信元と内容を識別して、さらに決定を下すことができます。

ディープパケットインスペクションデバイスは、式を使用してネットワークデータストリームに関心のあるパターンを定義します。 パケットのペイロードに存在する特定のパターンに基づいてパケットを処理できます。

そのため、DPIデバイスは、それを通過したすべてのデータパケットのペイロードをリアルタイムで調べることができます。 つまり、DPIデバイスは特定のIPアドレスからのすべてのトラフィックを調べ、すべてのHTTPトラフィックを選び出し、特定のメールサーバーを宛先とするすべてのトラフィックをキャプチャし、ユーザーが入力したときにそれらの電子メールを再構築できます。でる。

ディープパケットインスペクションが影響する人

企業や中小企業を超えて、DPIは主に以下によって使用されます。

  • メディア会社 メディア企業は、統合の歴史を重ねてきました。 ISPがメディア企業を買うとき、彼らは放送データをデジタルデータと結合して、テレビやWebプログラミングから企業や消費者向けインターネットサービスの価格まですべてを決定します。
  • 法執行機関。 知的財産権侵害および薬物および人身売買を含む犯罪について、ISPがDPIで収集したデータを収集および共有することは合法であり、時には必須です。
  • 消費者 ほとんどの消費者は、個人データが売りに出されていることを知っています。 ほとんどの消費者は、ISPがおそらく個人の閲覧データを分析し、匿名化し、広告会社に再販していることに気付いていないようです。

なぜディープパケットインスペクションが重要なのか

パケットスニッフィングは古風な戦術ですが、接続されているデバイスの規模が非常に大きいため、DPIは以前のエポックよりも今日の関連性が高くなっています。 DPIは、主に3つの理由で関係しています。

  • 接続性の規模 今日のインターネット、特にモバイルは、これまで以上に多くの理由でより多くの人々にとってより重要になっています。 すべての企業や組織は、トラフィックを最適化し、オーバーヘッドを削減し、サイバー攻撃を防ぐためにネットワーク検査テクノロジに依存しています。 DPIが唯一の防衛線ではありませんが、多くの組織にとって、パケットのスキャンと分析が最初の防衛線です。
  • IoT市場 その前のモバイル市場と同様に、IoTは日々、インターネットに接続されるデバイスが増えているため、DDOS攻撃のためにそれらが繰り返し悪用されることへの懸念が高まっています。 現代の多くのIoTデバイスは、デバイスがゾンビボットネットに投げ込まれるのを防ぐための標準的なファームウェアおよびセキュリティ標準を欠いていることがよくあります。 DPIはISPとネットワークをIoT DDoS攻撃から保護し、セキュリティアナリストが重大なIoTセキュリティ欠陥についてより多くを知るのを助けます。
  • プライバシーの問題。 DPIは、メディア企業やISPが想像を絶する方法で顧客について学ぶのを助けます。 あなたがロードするすべてのページとあなたが送るすべてのコミュニケーションはフィルタリングされ、ISPを通してルーティングされます。 もはや「ダムパイプ」ではなく、インターネットサービスプロバイダはメディア企業と垂直に統合しており(Comcast NBC / UniversalとAT&T Time Warnerの合併はその2つの例です)、広告を使って消費者を狙っています。 ISPはDPIを利用してインターネット上の消費者行動を分析し、個人の閲覧データをマーケティング会社や広告会社に販売します。 この慣行は消費者のプライバシーに関する懸念を引き起こします。 セキュリティ機関にユーザーの活動の不正な監視を提供するために使用することもでき、政府はユーザーが自分の議題に反する特定のコンテンツにアクセスすることを制限できます。

ディープパケットインスペクションの応用

Deep Packet Inspection技術にはいくつかの用途があります。 主なアプリケーションは次のとおりです。

ネットワークセキュリティー

次世代ファイアウォールでは、ポート単位ではなくアプリケーション単位でトラフィックを監視およびフィルタリングするために広く使用されているため、ネットワークの問題をより適切にトラブルシューティングできます。

マルウェア対策

Deep Packet Inspectionデバイスは、トロイの木馬、ウイルス、スパイウェア、アドウェア、およびその他の悪意のあるアプリケーションを含む、さまざまなマルウェアを検出してフィルタリングできます。 それは主にいくつかのアプローチをとることによってそれをすることができます:

  • URLの検出 - ディープパケットインスペクションデバイスは、着信URLと埋め込みURLを、既知の悪質なWebサイトのデータベースと比較できます。
  • オブジェクト検出 - ディープパケットインスペクションデバイスは、トラフィックを調べて潜在的に有害な実行可能ファイルとオブジェクトを検索し、それらを分析してマルウェアを検出できます。
  • シグネチャ検出 - ディープパケットインスペクションデバイスは、データパケットのペイロードを調べて、既知のマルウェアのシグニチャの存在を検索できます。 シグネチャの照合は、マルウェアの既知のシグネチャのデータベースを使用して行われ、シグネチャデータベースを更新することは通常セキュリティサービスプロバイダの助けを借ります。

URLフィルタリング

DPIデバイスはトラフィックを調べて、要求されたURLを検索し、潜在的に有害または不適切なURLをブロックします。

プロトコルとアプリケーション認識

DPIはトラフィックを調べて、IMAP、POP3、SMTPなどの電子メールサービスを区別できます。 HTTP、FTP、TCPなどのプロトコルを識別できます。また、データトラフィックのペイロードを調べて、Flash、YouTube、Windows Mediaなどの特定のファイルタイプの存在を確認することもできます。ピアツーピアプロトコル、メッセージングプロトコル、VoIPプロトコルを使用して、データをさらに処理できるようにルーティングできます。

ネットワーク管理

DPIは、エンドユーザーのQoS(Quality of Service)を維持するために使用できます。 基本的なQoSを維持するために、さまざまな種類のトラフィックを区別し、それらのさまざまな種類のトラフィックに優先順位を付けるか、または絞り込むために使用できます。

トラフィックの請求と計測

DPIは、利用状況、データ制限、帯域幅など、さまざまなレベルのアクセスを加入者に提供するためにインターネットサービスプロバイダによって使用できます。また、DPIは、特定のトラフィック規制の遵守、トラフィックの優先順位付け、および負荷分散の目的でも使用できます。

加入者分析

時々DPIは彼らの加入者の統計情報を集めるためにインターネットサービスプロバイダーによって使用されます。 たとえば、ISPは加入者以降のWebブラウジング習慣に関する情報を収集し、それを使用してマーケティング収益を向上させることができます。

アプリケーション配布と負荷分散

DPIは、パケットの内容を調べてから、ロードバランシングとフォールトトレランスを目的としてそれらを異なる宛先にリダイレクトするために使用できます。

コンテンツ規制

DPIを使用してトラフィックを調査し、潜在的に有害または違法なコンテンツをブロックすることができます。

著作権の執行

DPIを使用して、パケットコンテンツを調べ、音楽ファイルやビデオファイルを含む著作権で保護されたコンテンツの不正な共有を自動的に検出してブロックすることができます。

結論

DPIは、ネットワークセキュリティから、潜在的にプライバシーへの脅威となるまで、さまざまな目的に役立ちます。 ちょっと待って! 暗号化はどうですか? 私たちはすべてのインターネットトラフィックを暗号化することへの大きな推進力を見ています、それでそれはDPIを妨げませんか? Webプロトコルの新しいバージョンであるHTTP / 2は、動作するためにも暗号化通信を必要とします。

HTTPSは接続を暗号化しますが、ブラウザは、暗号化されていないリンクや暗号化されていないCookieがHTTPSなしで誤って送信されるのと同様にデータが収集されるように、主にUDP経由で送信されるDNS要求を行う必要があります。 収集されるこれらの追加のビットは、あなたがどのタイプのコンテンツを見ているかについて非常に言っているかもしれません。 それが、あなたがあなたのDNSを暗号化すべき理由です。

それで、我々はDPIから安全ですか? 簡単な答えは「いいえ」です。これらの会社はDPIを取り除くのがそれほど速くはなく、むしろDPIの中間者として機能するSSLBumpと呼ばれる技術を使用するかもしれません。 例えば、あなたの職場は自分自身を偽装している では使用できません あなたが行く予定のサイト 彼らはあなたのコンピュータを制御しているので、あなたはそれが起こっていることさえ知らない。 それから彼らは 復号化 あなたのインターネットトラフィックはそれにDPIを使用してからインターネットにそれを再暗号化する。

本質的にこれらのツールはネットワーク上の悪いものを検出するために開発されました。 DPI / SSLBumpと比較して、ネットワーク上の悪いことを検出するためのより良い方法論があります。 企業はDPIをあきらめるつもりはないようですが。

この記事はからです プライバシーマシーン 承認後に公開されています。 表していない Gigalight コミュニティの立場 再現する前に、原作者に連絡してください。

お問合せ

Eメール:sunwf@gigalight.com