Deep Packet Inspection

Deep Packet Inspection — технология детального анализа сетевого трафика от канального (L2) до прикладного (L7) уровней модели OSI ISO. Определяет протоколы передачи данных, приложения и ПО. Понимает, что передается в соединениях и транзакциях, извлекает объекты из трафика, используя парсеры и декодеры сетевых протоколов.

DPI используют для решения классических и неклассических задач. Классические задачи, выполняемые DPI, наиболее часто встречаются в сфере телекоммуникаций и у операторов связи. К классическим задачам относят следующие функции:

• Приоритизация трафика
• Профилирование сетевых узлов
• Разграничение доступа
• Выявление сетевых атак
• Инвентаризация узлов
• Контроль соблюдения политик

Positive Technologies разрабатывает собственную технологию с 2015 года и постоянно улучшает ее для решения задач ИБ и ИТ. Помимо функций, которые присущи всем существующим DPI, наша технология имеет более широкий перечень возможностей:

• Захватывает сетевые пакеты
• Дефрагментирует IP-пакеты
• Разбирает туннели произвольной вложенности (например, VLAN, GRE, IP-to-IP, VXLAN)
• Защищает от флуда
• Идентифицирует сессии
• Сохраняет захваченные пакеты в хранилище и присваивает идентификатор сессии для быстрого доступа к данным
• Реассемблирует TCP-сессии
• Определяет и разбирает прикладные протоколы (L7)
• Определяет и разбирает протоколы проксирования (например, HTTP-proxy и SOCKS5)
• Определяет приложения, работающие поверх протокола L7 (например, Telegram, VK и GitHub)
• Извлекает передаваемые файлы
• Выявляет атаки сигнатурным методом

Все эти функции выполняются на скоростях до 10 Гбит/с, а в экстремальных случаях наш DPI может обрабатывать до 14 млн пакетов в секунду. При большом объеме трафика предусмотрено горизонтальное масштабирование. Технология поддерживает максимальную пропускную способность, реассеблирует и восстанавливает сессии даже при нарушении очередности пакетов.