深度包檢測

深度數據包檢測（英語：Deep packet inspection，縮寫為 DPI），又稱完全數據包探測（complete packet inspection）或信息萃取（Information eXtraction，IX），是一種計算機網絡數據包過濾技術，用來檢查通過檢測點之數據包的數據部分（亦可能包含其標頭），以搜索不匹配規範之協議、病毒、垃圾郵件、入侵，或以預定之準則來決定數據包是否可通過或需被路由至其他不同目的地，亦或是為了收集統計數據之目的。IP數據包有許多個標頭；正常運作下，網絡設備只需要使用第一個標頭（IP標頭），而使用到第二個標頭（TCP、UDP等）則通常會與深度數據包檢測相對，而被稱之為淺度數據包檢測（一般稱為狀態數據包檢測）。

有多種方式可以用來獲取深度數據包檢測的數據包。較常見的方法有端口鏡像（port mirroring，或稱為 Span Port）及光纖分光器。

深度數據包檢測允許更進步的網絡管理、用户服務及安全功能，亦能用來進行互聯網數據挖掘、竊聽及互聯網審查。雖然深度數據包檢測技術已被用於互聯網管理許多年，一些支持網絡中立性的人害怕此技術會被用於反競爭行為，或減少網絡的開放性。尋求反制的技術也因而被提出來大規模討論。

深度數據包檢測的應用範圍廣泛，可分成“企業”（公司及大型機構）、電信服務業者及政府3個方面。 ^[1] 

深度包檢測（deep packet inspection，DPI）是一種先進的包過濾方法，它在開放系統互連（OSI）參考模型的應用層中起作用。使用深度包檢測可以發現、識別、分類、重新路由或阻止具有特殊數據或代碼有效載荷的數據包，而傳統的包過濾只能檢測數據包包頭，不能發現這些數據包。

使用深度包檢測，通信服務提供商可以分配現有資源以精簡信息流。例如，一個標記為高優先級的消息可以比不太重要或低優先級的信息或數據包先被路由到其目的地。深度包檢測（DPI）也可以用來節制數據傳輸，以防止對等網絡（P2P）被濫用，從而改善絕大多數用户的網絡性能。深度包檢測的安全問題廣泛存在，因為這種技術能確定具體數據包內容的發出者或接收者，而且這種功能也引起了網絡隱私保護者的關注。

深度包檢測（DPI）至少有三個侷限性。首先，它在防疫現有漏洞的同時可能會產生新的漏洞。雖然它能有效地防止緩衝區溢出攻擊、拒絕服務攻擊和某些類型的惡意軟件，但是深度包檢測也可被其他同類攻擊所利用。其次，深度包檢測增加了現有防火牆和其他安全相關的軟件的複雜性和難操作性。深度包檢測需要定期更新和修訂，以保持最佳效益。第三，深度包檢測降低了計算機速度，因為它增加了處理器負擔。儘管有這些限制，許多網絡管理員仍然採用DPI技術，目的是為了應付複雜的和難操作的互聯網有關的風險。

許多公司，包括阿爾卡特、思科、愛立信、IBM、微軟、諾基亞和賽門鐵克等也開始積極將DPI技術加入到防火牆的硬件和軟件組件中。 ^[2] 

深度數據包檢測結合了入侵檢測系統（IDS）、入侵預防系統（IPS）及狀態防火牆等功能。此一結合讓深度數據包檢測可以檢測到某些IDS、IPS或狀態防火牆都無法發覺的攻擊。狀態防火牆能看到數據包流的開始與結束，但發覺超過特定應用之範圍的事件。IDS能檢測入侵，但幾乎沒有阻擋此類攻擊的能力。深度數據包檢測能用來快速阻擋來自病毒與蠕蟲的攻擊。更具體地説，深度數據包檢測可有效防止緩衝器溢出攻擊、阻斷服務攻擊（DoS）、複雜入侵及少部分置於單一數據包內的蠕蟲。

具有深度數據包檢測的設備可以看到OSI模型的第2層及第3層之後。在某些情況下，深度數據包檢測可用來看透OSI模型的第2層至第7層。這包括了整個標頭、數據協議架構及消息的負載。深度數據包檢測功能在設備採取其他行動時，依據OSI模型第3層之後的信息被引用。深度數據包檢測可以依據包含由數據包數據部分摘取出之信息的特徵數據庫，識別並分類訊務，從而允許比僅依據標頭信息分類有更精確的控制。在許多情況下，終端可使用加密及模糊處理技術來規避深度數據包檢測。

一個分類的數據包可能被重定向、標記/標籤（見服務品質，即QoS）、封鎖、速限，並且當然會回報給網絡中的報告程序（reporting agent）。在此方式下，不同分類的HTTP錯誤會被識別，並被轉交分析。許多具有深度數據包檢測的設備會識別數據包流（而非逐個數據包的分析），允許依據累積的流量信息進行控制。 ^[2] 

最初，企業層面的網絡安全只是個外圍的紀律，防止未經授權的用户進入以及避免授權的用户曝露於外部世界為其主導理念。最常用來完成此一理念的工具為狀態防火牆。狀態防火牆允許對外部世界進入內部網絡上的默認目的進行精細的控制，並只在先前曾提過對外部世界的請求，才允取訪問回其他的主機。

無論如何，當漏洞存在於網絡層，該層不被狀態防火牆所見。此外，企業內使用筆記本電腦的次數增加，讓防止計算機病毒、蠕蟲及間諜軟件滲透入內部網變得更加困難，因為許多用户會將筆記本電腦連上家庭寬帶連接或公共場所的無線網絡等較不安全的網絡。防火牆亦無法區分合法接取應用程序的允許與禁止之用户。深度數據包檢測讓信息安全人員可以在任何一層設置及運行政策，包括應用層及用户層，以協助對抗這些威脅。

深度數據包檢測可以檢測出幾種緩衝器溢出攻擊。

深度數據包檢測可被企業作為數據外泄防護（DLP）。當電子郵件的用户試圖發送一封受保護的文件時，該用户可能會收到消息，告知如何獲取適當許可，以發送此一文件。 ^[3] 

除了使用深度數據包檢測來保護其內部網絡外，互聯網服務供應商亦會運用此技術於提供給消費者的公眾網絡上。ISP業者使用深度數據包檢測的用途一般有通信監察、網絡安全政策、定向廣告、服務品質、提供分層服務及著作權保護等。 ^[3] 

幾乎全世界所有的政府都會要求服務業者需具有通信監察的功能。數十年前在傳統電話的環境裏，可通過創建一個訊務接入點（TAP），使用攔截代理服務器連至政府的監控設備來達成通信監察的需求。這在現在的數字網絡裏不是不可能的。有許多種方法可在數字網絡中提供通信監察的功能，其中包括深度數據包檢測。 ^[3] 

服務業者與其用户簽訂服務級別協議，需提供一定的服務層級，並同時會運行可接收使用政策，如使用深度數據包檢測運行侵犯著作權、非法內容及不公平使用帶寬之政策。在某些國家裏，ISP業者需要依該國法律運行過濾。深度數據包檢測允許服務業者“輕易地知道其用户正在線上接收的信息數據包，包括電子郵件、網站、音樂與視頻分享及軟件下載等訊務”。政策亦可被規定允許或不允許連接至某一IP地址、某些協議，或甚至可識別某一特定應用或行為。 ^[3] 

因為ISP業者能安排其所有用户之路由，他們能夠以非常仔細的方式監控用户的網絡瀏覽習慣，以獲得有關其用户興趣之信息，提供給經營定向廣告的公司使用。至少有10萬位美國用户如此被監控，更有10%的美國用户曾經被如此監控過。NebuAd、Front Porch及Phorm等公司提供定向廣告的技術。監控其用户之美國ISP業者則有Knology及Wide Open West等。此外，英國的ISP業者英國電信亦承諾在其用户不知情或未同意之下，測試過Phorm所提供之技術。 ^[3] 

深度數據包檢測可以用來對抗網絡中立性。

P2P等應用的流量對寬帶服務業者來説，越來越是個問題。通常情況下，P2P的流量被應用程序用來做文件分享。文件可以是任何類型（如文檔、音樂、視頻或應用程序）。由於多媒體文件的容量通常較大，P2P會導致流量的增加，需要額外的網絡容量。服務業者表示，少數用户產生大量的P2P流量，並降低了大部分使用電子郵件或瀏覽網絡等需要較少帶寬之寬帶用户的品質。差勁的網絡品質會提升用户的不滿，並導致服務收入的下滑。

深度數據包檢測允許業者賣出更多的有效帶寬，同時確保公平分配寬帶給所有用户，以避免網絡壅塞。此外，可將更高的優先權分配給網絡電話或視頻會議等需要低延遲的應用。這讓服務業者能用來依據通過其網絡之流量來動態配置帶寬。 ^[3] 

移動通信及寬帶服務業者使用深度數據包檢測作用實現分層服務的方法，區分出“封閉平台”、“加值”、“吃到飽”及“一體適用”的數據服務。通過在“一體適用”的資費方案外，對“封閉平台”、各項應用、各項服務或“吃到飽”另外付費，業者可以為個別用户提供個人化的服務，並增加其ARPU。網絡政策可以依每個用户或每個組羣設置，而深度數據包檢測系統更能區分出不同的服務與應用。 ^[3] 

ISP業者有時會應著作權人的請求、法院的要求或官方政策，協助保護着作權。2006年，丹麥其中一家最大的ISP業者Tele2被賦予法院禁令，並要求該公司封鎖其用户拜訪海盜灣這個存放BitTorrent種子的網站。不一次又一次地告發分享文件的人，國際唱片業協會（IFPI）、EMI、Sony BMG、環球唱片及華納音樂集團等公司開始指控Eircom等ISP業者沒有為保護其著作權有足夠多的努力。IFPI希望ISP業者能過濾流量，並移除在其網絡上的違法上傳與下載之著作權物，雖然歐盟2000/31/EC指令明確指出，不應賦予ISP業者監控其傳輸之信息的一般義務，且2002/58/EC指令亦賦予歐盟公民有秘密通信的權利。另一方面，美國電影協會（MPAA）為保護電影著作權，警告美國聯邦通信委員會（FCC）對網絡中立性的態度可能會傷害深度數據包檢測及其他過濾方式等反盜版技術。 ^[3] 

深度數據包檢測讓ISP業者能蒐集其用户羣使用圖像之信息。例如，業者可能對使用2Mbit/s連接速率的用户是否會與使用5Mbit/s連接速率的用户有不同的網絡使用方式覺到興趣。獲得這些趨勢數據亦能協助進行網絡規劃。 ^[3] 

關注隱私或網絡中立性的人或組織發覺檢測互聯網內容層之行為極具攻擊性，並表示，“網絡曾是創建在數據包的開放訪問與無差別待遇之上！”同時，網絡中立性規則的批評者則稱之為“查找問題中的答案”（a solution in search of a problem），並表示網絡中立性規則會減少升級網絡及推動次世代網絡服務之誘因。

數據包檢測被許多人認為會破壞互聯網的基礎設備，亦被認為違反美國憲法。 ^[3] 

傳統上，ISP業者一般只經營OSI模型第4層以下。這是因為僅決定數據包去向與路由相對上較容易安全地處理。傳統模型仍允許ISP業者安全地完成所需任務，如依使用帶寬（第4層以下）而非應用類型之協議（第7層）限制帶寬。這是個非常強烈，但常被忽略的論點，ISP業者在OSI模型第4層以上的行為會提供在信息安全社區裏稱之為“墊腳石”的風險，亦即讓人可通過中間人攻擊入侵其網絡。這個問題是因為ISP業者通常會安全追縱紀錄不佳的便宜硬件，難以或幾乎不可能確保深度數據包檢測之安全性。

OpenBSD的數據包過濾特別避開深度數據包檢測，即是因為該軟件沒有信心能安全地完成過濾任務。

這意味着，與深度數據包檢測有關之服務，如TalkTalk的HomeSafe，實際上是販賣少量的安全性（可以且經常已經使用其他更有效之方式保護），其代價卻是犧牲所有用户之安全性，且其用户幾乎不可能減輕其風險。HomeSafe服務主要系通過封鎖來選擇進來的流量，但其深度數據包檢測無法選擇出去的流量，即使是企業用户。 ^[3]