moder
Администратор
Команда форума
Deep Packet Inspection анализирует первые пакеты соединения и ищет характерные шаблоны, позволяющие определить протокол.
Сигнатуры протоколов
Например, у OpenVPN начало TLS-сессии содержит специфические параметры:
Это формирует уникальную сигнатуру, по которой DPI определяет протокол.
Если такой набор соответствует известному профилю OpenVPN — соединение помечается как VPN.
Анализ TLS-рукопожатия
Даже если VPN использует HTTPS-порт (443), DPI может смотреть параметры TLS:
Так часто детектируют:
SNI-анализ
Во время TLS-handshake передаётся домен сервера (SNI — Server Name Indication).
DPI может:
Если домен известен как VPN-сервер — соединение блокируется.
Поведенческий анализ трафика
Даже если сигнатуры скрыты, остаётся характерный профиль передачи пакетов.
DPI анализирует:
VPN обычно создаёт:
Пример:
512 bytes
512 bytes
512 bytes
512 bytes
Такой регулярный поток может выдать туннель.
Детекция UDP-туннелей
Многие VPN используют UDP.
DPI проверяет:
Это характерно для:
Активное сканирование (active probing)
Если подозревается VPN-сервер:
Если сервер отвечает как VPN — IP блокируется.
Этот метод активно использует китайский Great Firewall.
ML-анализ трафика
Современные системы начинают использовать машинное обучение.
Алгоритмы анализируют:
По этим данным модель классифицирует трафик:
HTTPS
Streaming
Gaming
VPN
DPI-анализ неизбежно влияет на производительность сети и требует очень больших вычислительных и инфраструктурных ресурсов, что сказывается на скорости и стабильности Интернета. Если государство идет на такой шаг значит оценивает издержки свободного распространения информации выше.
Сигнатуры протоколов
Например, у OpenVPN начало TLS-сессии содержит специфические параметры:
- список cipher suites
- порядок TLS extensions
- специфические значения длины пакетов.
Это формирует уникальную сигнатуру, по которой DPI определяет протокол.
Код:
ClientHello
Cipher Suites:
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256Анализ TLS-рукопожатия
Даже если VPN использует HTTPS-порт (443), DPI может смотреть параметры TLS:
- версия TLS
- порядок расширений
- JA3 fingerprint (цифровой отпечаток TLS клиента).
Так часто детектируют:
- OpenVPN
- Trojan
- старые версии Shadowsocks
SNI-анализ
Во время TLS-handshake передаётся домен сервера (SNI — Server Name Indication).
DPI может:
- проверить домен
- сравнить его с базой VPN-серверов.
Если домен известен как VPN-сервер — соединение блокируется.
Поведенческий анализ трафика
Даже если сигнатуры скрыты, остаётся характерный профиль передачи пакетов.
DPI анализирует:
- размер пакетов
- частоту
- интервалы передачи
- длительность соединений.
VPN обычно создаёт:
- постоянный поток данных
- пакеты похожего размера
- минимальные паузы.
Пример:
512 bytes
512 bytes
512 bytes
512 bytes
Такой регулярный поток может выдать туннель.
Детекция UDP-туннелей
Многие VPN используют UDP.
DPI проверяет:
- неизвестные UDP-протоколы
- аномальные потоки UDP-пакетов.
Это характерно для:
- WireGuard
- OpenVPN UDP.
Активное сканирование (active probing)
Если подозревается VPN-сервер:
- DPI фиксирует IP
- система подключается к нему
- пытается инициировать handshake VPN.
Если сервер отвечает как VPN — IP блокируется.
Этот метод активно использует китайский Great Firewall.
ML-анализ трафика
Современные системы начинают использовать машинное обучение.
Алгоритмы анализируют:
- статистику пакетов
- длительность сессий
- распределение размеров пакетов.
По этим данным модель классифицирует трафик:
HTTPS
Streaming
Gaming
VPN
DPI-анализ неизбежно влияет на производительность сети и требует очень больших вычислительных и инфраструктурных ресурсов, что сказывается на скорости и стабильности Интернета. Если государство идет на такой шаг значит оценивает издержки свободного распространения информации выше.