Deep Packet Inspection (DPI) — это метод обработки сетевых данных, при котором анализируется не только заголовки пакетов (как в обычной фильтрации), но и их содержимое (payload).
Это позволяет:
- Определять тип трафика (HTTP, VoIP, Tor, VPN).
- Блокировать запрещенный контент.
- Выявлять аномалии (DDoS, malware, утечки данных).
Как работает DPI?
Захват трафика — пакеты перехватываются на маршрутизаторах или шлюзах.
Анализ содержимого — проверяются:
- HTTP-заголовки (Host, User-Agent).
- TLS/SSL-метаданные (SNI — Server Name Indication).
- Сигнатуры приложений (например, Telegram использует характерные шаблоны).
Принятие решений — трафик может быть:
- Пропущен (легальные данные).
- Заблокирован (при совпадении с черным списком).
- Перенаправлен (например, для QoS).
Примеры использования DPI
- Роскомнадзор — блокировка по SNI в HTTPS.
- Корпоративные сети — запрет стриминга или VPN.
- Провайдеры — ограничение P2P-трафика (BitTorrent).
Проблемы DPI
- Нарушение приватности — чтение encrypted-трафика (например, через MITM).
- Ложные срабатывания — блокировка легальных сервисов из-за схожих сигнатур.