Hloubková kontrola paketů (DPI) je metoda zkoumání datových paketů procházejících sítí, která umožňuje identifikovat typ provozu. Tyto informace lze poté využít k blokování nežádoucího síťového provozu.
Tato technika se běžně používá ve firewallech, systémech detekce průniku a dalších síťových bezpečnostních systémech.
Bohužel stejné analytické techniky používané k ochraně soukromých sítí mohou vlády a jiné organizace využít také ke sledování internetového provozu a cenzuře online disentu.
Pomocí DPI mohou organizace zkoumat pakety procházející sítí, aby porozuměly jejich účelu. To jim umožňuje blokovat nebo omezit přístup k určitým webům, aplikacím a službám.
Použití VPN tomuto druhu analýzy zabraňuje, protože pakety jsou šifrované. Samotný protokol VPN však může být pomocí DPI často identifikován. To umožňuje represivním vládám (a občas i jiným organizacím, jako jsou úřady a školní areály) efektivně blokovat přístup ke službám VPN, a to i v případě, že se uživatelé snaží skutečnost, že používají VPN, skrýt (zamaskovat).
V tomto článku se podíváme na to, jak hloubková kontrola paketů funguje, se zaměřením na to, jak ji represivní vlády využívají k zavádění cenzurních omezení. Podíváme se také na to, jak DPI ovlivňuje virtuální soukromé sítě (VPN), jako je Proton VPN, které jsou navrženy tak, aby tato omezení překonávaly.
- Co je to datový paket?
- Jak funguje analýza paketů
- Jednoduchá analýza paketů
- Hloubková kontrola paketů
- DPI a vládní cenzura
- Jak fungují sítě VPN
- Jednoduché blokování VPN
- Jednoduché taktiky VPN proti cenzuře
- Jak se DPI používá k detekci VPN
- Obfuskace VPN
Co je to datový paket?
Když jsou data odesílána přes síť (například internet), jsou rozdělena na malé části. Tyto malé části se nazývají datové pakety (nebo jen pakety).
The Internetový protokol(nové okno) používá datové pakety k zajištění toho, aby informace odeslané přes web dorazily do správného cíle. Jakmile všechny pakety tvořící datový soubor (například obrázek nebo obsah e-mailu) dorazí do cíle, jsou znovu sestaveny.
Skutečná data obsažená v paketu se nazývají „payload“ (užitečné zatížení). Každý paket má také hlavičku, která obsahuje metadata vysvětlující například to, kam směřuje a odkud pochází.

Všechna data přenášená přes internet jsou odesílána v paketech.
Jak funguje analýza paketů
Organizace provádějící jakoukoli formu analýzy paketů musí nejprve získat pakety k analýze. Toho lze dosáhnout mnoha způsoby, ale mezi běžné taktiky patří zrcadlení portů(nové okno), fyzické síťové odbočky(nové okno) a odposlouchávání Wi-Fi(nové okno). Jakmile má organizace k paketům přístup, může je analyzovat různými způsoby.
Jednoduchá analýza paketů
Nejjednodušším (a nejlevnějším) způsobem, jak může organizace zavést blokování síťového provozu, je zkoumat informace obsažené v hlavičkách paketů. To těmto organizacím umožňuje blokovat pakety na základě portů, které používají, nebo jejich cílové IP adresy.
Hloubková kontrola paketů
Problém s jednoduchou analýzou paketů pro organizace, které chtějí cenzurovat internet, spočívá v tom, že ji lze snadno obejít pouhou změnou cílové IP adresy nebo použitých čísel portů. Je to proto, že jednoduchá analýza paketů se nedívá na samotná data (payload). Hloubková kontrola paketů analyzuje celý paket včetně payloadu.
Jak hloubková kontrola paketů funguje?
Mezi techniky DPI patří:
- Detekce na základě signatur — Porovnává pakety s databází známých vzorců škodlivého nebo nežádoucího síťového provozu
- Detekce na základě anomálií — Vyhledává vzorce nebo chování, které se odchylují od běžného síťového provozu
- Analýza protokolu — Zkoumá strukturu a formát paketů s cílem identifikovat, který protokol se používá
- Kontrola obsahu — Zkoumá skutečná data obsažená v payloadu, jako je například text e-mailu, s cílem identifikovat a blokovat konkrétní klíčová slova nebo fráze
- Analýza chování — Zkoumá chování síťového provozu v průběhu času, jako je frekvence připojení ke konkrétnímu serveru nebo množství přenesených dat, s cílem identifikovat a blokovat neobvyklé vzorce aktivity
DPI a vládní cenzura
Represivní vlády po celém světě chtějí omezit přístup svých občanů k nezávislým informacím, jejich schopnost komunikovat s mezinárodním společenstvím a možnost vyjadřovat názory kritické vůči režimu.
To je částečně důvod, proč jsou výpadky internetu stále častější(nové okno). Tyto výpadky jsou však neuvěřitelně nákladné pro každou zemi, která na internet pravidelně spoléhá (tedy v podstatě pro všechny země kromě Severní Koreje). Odstávky internetu v roce 2022 stály globální ekonomiku přibližně 24 miliard dolarů(nové okno).
Řešením tohoto dilematu v místech, jako je Rusko, Čína, Írán a Egypt, je zpřístupnit internet, ale zablokovat weby a aplikace, ke kterým nechtějí, aby jejich občané přistupovali. Na základní úrovni je toho poměrně snadné dosáhnout. Vládám stačí nařídit svým vnitrostátním poskytovatelům internetových služeb (ISP), aby zablokovali připojení k určitým IP adresám.
Problém s tímto přístupem spočívá v tom, že technologie jako virtuální soukromé sítě (VPN) usnadňují technologicky zdatnějším občanům obcházení těchto blokování, takže vlády k detekci (a blokování) používání VPN implementují DPI.
Přečtěte si více o cenzuře internetu
Jak fungují sítě VPN
VPN vytváří šifrované připojení mezi vaším zařízením a VPN serverem provozovaným VPN službou, jako je Proton VPN. Aplikace VPN pak směruje veškerá připojení z vašeho zařízení tímto „VPN tunelem“. To zahrnuje DNS dotazy, které místo vašeho ISP (jak tomu obvykle bývá) řeší poskytovatel vaší VPN.
Protože data odesílaná přes VPN tunel jsou bezpečně šifrovaná, váš ISP (a potažmo i vaše vláda) nevidí obsah vašich dat ani to, které weby navštěvujete. Jediné, co může vidět, je IP adresa VPN serveru, ke kterému jste se připojili.

Zjistěte více o tom, jak VPN funguje
Co ISP nevidí, to nemůže zablokovat, což je důvod, proč jsou sítě VPN účinnými nástroji proti cenzuře. Represivní vlády to samozřejmě vědí, takže jejich obvyklou reakcí je snaha zablokovat přístup k VPN.
Jednoduché blokování VPN
Nejjednodušším způsobem, jak toho dosáhnout, je zablokovat přístup k webovým stránkám služeb VPN. Takové blokování je obvykle snadné obejít — například distribucí softwaru VPN, jako je soubor Android APK aplikace Proton VPN, prostřednictvím šifrovaného messengeru nebo kanálů sociálních médií.
Jednoduchou analýzu paketů v hlavičkách paketů lze provést také pomocí následujících metod:
Analýza cílové IP adresy
Úřady mohou zkoumat cílovou IP adresu paketů a porovnávat ji se seznamem známých IP adres serverů VPN. S takovým seznamem v ruce je pro ISP snadné zablokovat přístup ke všem serverům dané služby VPN.
S prostředky, které má většina vlád k dispozici, pro ně není těžké tyto seznamy sestavit samy. Ve skutečnosti to ale ani nepotřebují, protože řada komerčních služeb na sestavování a prodeji takových seznamů úspěšně podniká.
Analýza portů
DPI dokáže prozkoumat číslo cílového portu paketů a porovnat ho se seznamem známých čísel portů VPN.
Například ve výchozím nastavení používá OpenVPN port UDP 1194, zatímco WireGuard® používá port UDP 51820.
Analýza certifikátů SSL/TLS
Zkoumáním certifikátů SSL/TLS(nové okno) v paketech mohou úřady tyto certifikáty porovnat se seznamem známých certifikátů SSL/TLS pro VPN a zjistit, zda lidé VPN používají.
Jednoduché taktiky VPN proti cenzuře
Jednoduchá analýza paketů je běžnou taktikou cenzury, protože je snadná a levná. Pro služby VPN je také poměrně snadné ji obejít pomocí následujících metod:
VPN přes TCP
HTTPS(nové okno) je standard šifrování, který zabezpečuje web a umožňuje mnoho z toho, co na internetu považujeme za samozřejmost. Patří sem zabezpečení všech online finančních transakcí, jako jsou nákupy online a správa bankovního účtu online.
HTTPS používá port TCP 443, takže poskytovatelé VPN často provozují své protokoly VPN také přes port TCP 443. To ztěžuje pouhé zablokování tohoto portu, aniž by došlo k faktickému odstavení celého internetu.
OpenVPN má integrovanou podporu pro TCP, což z něj činí oblíbenou volbu mezi službami VPN využívajícími tuto taktiku. WireGuard se obvykle provozuje přes UDP, ale společnost Proton VPN vyvinula způsob, jak provozovat WireGuard i přes TCP.
Zjistěte více o rozdílu mezi UDP a TCP
VPN přes TCP může účinně obejít jednoduchou analýzu protokolů, ale pokročilejší techniky DPI dokážou snadno rozpoznat rozdíl mezi pakety HTTPS a VPN.
Změna čísel portů
Přestože protokoly VPN ve výchozím nastavení používají očekávané porty, většinu z nich lze provozovat téměř přes jakýkoli port (s výjimkou portů vyhrazených pro konkrétní funkce). Jednoduchou (ale často účinnou) technikou proti cenzuře je tedy provozovat protokoly VPN přes nestandardní porty.
Funkce Smart Protocol od Proton VPN detekuje, kdy je připojení zablokováno, a automaticky přepíná mezi protokoly VPN a čísly portů, aby našla kombinace, které zablokovány nejsou.
Alternativní směrování
Neobvyklou taktikou proti cenzuře, kterou Proton VPN používá, je alternativní směrování(nové okno). Pokud je přístup k jakékoli službě Proton zablokován (včetně webu Proton VPN), snažíme se připojení směrovat přes sítě serverů třetích stran, u nichž je zablokování nepravděpodobné (například AWS).
Mosty VPN
Analýza cílových IP adres je náročným vektorem útoku, který je třeba překonat, ale některé služby VPN tento problém zmírňují pomocí mostů VPN. Ty jim umožňují vyhnout se cenzuře tím, že poskytují alternativní vstupní body do sítě VPN, které nejsou veřejně uvedeny ani blokovány cenzory.
Služby VPN toho mohou dosáhnout pomocí techniky zvané „předávání přes most“ nebo „režim mostu“. V takovém případě poskytovatel VPN provozuje několik „mostních relé“, která veřejně neuvádí a poskytuje je pouze lidem, kteří potřebují překonat cenzuru. Tato mostní relé fungují jako tajný vstupní bod do sítě VPN a lze je použít k obcházení blokování síťového provozu VPN.
Dalším způsobem, jak sítě VPN využívají mosty, je možnost připojit se k síti VPN prostřednictvím „mostu VPN“. V tomto případě je spojení VPN navázáno mezi vaším zařízením a serverem VPN, který cenzoři nezablokovali. Tento most VPN pak můžete použít k připojení k hlavní síti VPN a k přístupu k blokovanému obsahu.
Jak se DPI používá k detekci VPN
Internetoví cenzoři a uživatelé internetu spolu vedou závody ve zbrojení již od samého počátku webu. Poskytovatelé internetového připojení (ISP) začali blokovat porty, takže lidé začali používat porty nestandardní. Represivní vlády na to reagovaly používáním DPI ke zjištění, co síťový provoz na otevřených portech dělá, což lidi povzbudilo k používání VPN k obcházení DPI. Vlády pak vyvinuly sofistikovanější techniky DPI a tak dále.
DPI je těžké obejít, protože zkoumá celý paket a identifikuje síťový provoz VPN různými způsoby. Patří mezi ně:
Analýza protokolu
Tato metoda zkoumá strukturu a formát paketů s cílem určit, jaký protokol se používá, a zjistit, zda pakety využívají protokol VPN, jako je OpenVPN, PPTP, L2TP nebo IKEv2.
Analýza velikosti paketů
Neobvyklé velikosti paketů mohou indikovat použití VPN.
Analýza chování
DPI dokáže v průběhu času zkoumat chování síťového provozu a identifikovat vzorce, které mohou naznačovat použití VPN. Například neobvyklý nárůst provozu na konkrétní server nebo náhlá změna v umístění IP adres může naznačovat, že se používá VPN.
Obfuskace VPN
Jako další krok v závodech ve zbrojení o necenzurovaný internet vyvinuly některé služby VPN vlastní protokoly VPN odolné vůči technikám DPI. Pro Proton VPN jsme například vyvinuli protokol Stealth.
Tento nový protokol kombinuje různé technologie s otevřeným zdrojovým kódem, přičemž nejvýznamněji využívá obfuskované tunelování TLS přes TCP, aby vypadal jako HTTPS, a to způsobem odolnějším vůči cenzuře než pouhé spuštění VPN přes port TCP 443.
Protokol Stealth pomohl milionům lidí překonat blokování VPN v oblastech, jako je Írán nebo Rusko, ale nemůžeme zaručit jeho účinnost proti pokročilým technikám DPI.
Závěrečné myšlenky
Hloubková analýza paketů (DPI) může být sofistikovaná a představuje neustálou výzvu pro naši práci, jejímž cílem je přinášet svobodný internet všem. Proton VPN jsme však založili právě proto, abychom čelili výzvám, jako je tato, a naši inženýři neustále vyvíjejí nové nástroje a funkce proti cenzuře.
Jsme zapojeni do závodů ve zbrojení s některými z nejrepresivnějších vlád na světě a v sázce nemůže být více. Represivní vlády spoléhají na to, že si udrží přísnou kontrolu nad informacemi, k nimž mají jejich občané přístup, s kým mohou mluvit a co mohou říkat svým spoluobčanům a zbytku světa.
Věříme však, že každý má právo na přístup k nezávislému zpravodajství, na sdružování s kýmkoli, s kým chceme, a na kritiku nespravedlnosti a zneužívání moci. Bojujeme za to, aby měl každý přístup k těmto základním lidským právům.
Proton VPN byla založena s cílem pomoci bojovat za svět bez cenzury, a proto nabízíme 100% bezplatnou VPN službu. S Proton VPN může k bezplatnému a otevřenému internetu přistupovat kdokoli. Jsme hrdí na to, že se aktivisté, novináři i obyčejní lidé po celém světě v dobách nepokojů obracejí na Proton VPN.
Pokud žijete v represivní zemi, naše služba je zde, aby vám pomohla. Pokud ne, můžete podpořit naše poslání zpřístupnit necenzurovaný internet všem tím, že se zaregistrujete do plánu Proton VPN Plus.







