web-dev-qa-db-fra.com

Est-il possible de détecter DPI (inspection de paquets profonds)?

Si on soupçonne que ses paquets sont soumis à DPI, comment peut-il être détecté?

7
rcd

Cela dépend du genre de DPI dont vous parlez. Si c'est purement passive DPI (c'est-à-dire uniquement en regardant les paquets), vous ne pourrez pas la détecter. Si cela est à la place DPI, qui peut modifier les données, vous pourrez peut-être la détecter en fonction du type d'accès et de connaissances que vous avez.

Quelques exemples typiques sur la manière dont les périphériques DPI actifs changent de trafic, c'est-à-dire ce que vous pouvez rechercher:

  • Si vous transférez des données spécifiques (comme des logiciels malveillants connus), le transfert échouera car les ID ont détecté et bloqué l'attaque possible. On pourrait utiliser par exemple l'innocent virus de test EICAR .
  • DPI utilisant l'interception SSL peut être détectée car le certificat est délivré par une autorité de ca.
  • Certains périphériques DPI Strentrent des démarrages de trafic SMTP afin que le trafic ne soit pas crypté et puisse être analysé. Une telle modification du trafic peut être observée du côté du client.
  • Certains appareils modifient l'en-tête "Accepter-codage" d'une requête HTTP pour dépasser les schémas de compression non pris en charge. Ceci peut être observé sur le côté serveur ou parfois du côté du client, car le contenu n'est pas transféré comprimé.
13
Steffen Ullrich