Deep packet inspection (DPI) er en metode til at undersøge datapakker, der passerer gennem et netværk, så trafiktypen kan identificeres. Disse oplysninger kan derefter bruges til at blokere uønsket trafik.

Teknikken bruges typisk i firewalls, systemer til registrering af indtrængen og andre netværkssikkerhedssystemer.

Desværre kan de samme analyseteknikker, der bruges til at beskytte private netværk, også bruges af regeringer og andre organisationer til at overvåge internettrafik og censurere onlinedissens.

Ved hjælp af DPI kan organisationer undersøge pakker, når de passerer gennem et netværk, for at forstå deres formål. Dette gør det muligt for dem at blokere eller begrænse muligheden for at få adgang til bestemte websteder, applikationer og tjenester.

Brug af en VPN forhindrer denne form for analyse, da pakkerne er krypterede. Men selve VPN-protokollen kan ofte identificeres af DPI. Dette gør det muligt for undertrykkende regeringer (og af og til andre organisationer, såsom kontorer og campusser) effektivt at blokere adgangen til VPN-tjenester, selv når der gøres forsøg på at skjule (obfuskere) det faktum, at en VPN bliver brugt.

I denne artikel ser vi på, hvordan deep packet inspection fungerer, med fokus på hvordan undertrykkende regeringer bruger det til at indføre censurrestriktioner. Vi ser også på, hvordan DPI påvirker virtuelle private netværk (VPN’er) som Proton VPN, der er designet til at omgå sådanne restriktioner.

Hvad er en datapakke?

Når data sendes over et netværk (f.eks. internettet), opdeles de i mindre dele. Disse små dele kaldes datapakker (eller bare pakker).

Internet Protocol(nyt vindue) anvender datapakker til at hjælpe med at sikre, at oplysninger, der sendes over webbet, når den korrekte destination. Når alle de pakker, der udgør et datasæt (f.eks. et billede eller indholdet af en e-mail), når frem til deres destination, samles de igen.

De faktiske data i en pakke kaldes dens “payload”. Hver pakke har også en overskrift, der indeholder metadata, som forklarer ting som, hvor den skal hen, og hvor den kommer fra.

IP-pakkestruktur

Alle data, der overføres via internettet, sendes i pakker.

Sådan fungerer pakkeanalyse

En organisation, der udfører enhver form for pakkeanalyse, skal først anskaffe pakker til analyse. Dette kan gøres på mange måder, men portspejling(nyt vindue), fysiske netværkstryk(nyt vindue) og WiFi-sniffing(nyt vindue) er almindelige taktikker. Når en organisation har adgang til pakkerne, kan den analysere dem på forskellige måder.

Enkel pakkeanalyse

Den nemmeste (og billigste) måde for en organisation at implementere blokeringer af netværkstrafik på er at undersøge oplysningerne i pakkernes overskrifter. Dette gør det muligt for disse organisationer at blokere pakker baseret på de porte, de bruger, eller deres destinations-IP-adresse.

Deep packet inspection

Problemet med enkel pakkeanalyse for organisationer, der ønsker at censurere internettet, er, at den er nem at omgå blot ved at ændre destinations-IP-adressen eller de anvendte portnumre. Det skyldes, at enkel pakkeanalyse ikke ser på dataene (payloaden). Deep packet inspection analyserer hele pakken, inklusive dens payload.

Hvordan fungerer deep packet inspection?

DPI-teknikker omfatter:

  1. Signaturbaseret detektering — Sammenligner pakker med en database over kendte ondsindede eller uønskede trafikmønstre
  2. Anomalibaseret detektering — Leder efter mønstre eller adfærd, der afviger fra normal netværkstrafik
  3. Protokolanalyse — Undersøger pakkernes struktur og format for at identificere, hvilken protokol der er i brug
  4. Indholdsinspektion — Undersøger de faktiske data i payloaden, f.eks. teksten i en e-mail, for at identificere og blokere specifikke søgeord eller fraser
  5. Adfærdsanalyse — Undersøger netværkstrafikkens adfærd over tid, såsom hyppigheden af forbindelser til en bestemt server eller mængden af overførte data, for at identificere og blokere usædvanlige aktivitetsmønstre

DPI og statslig censur

Undertrykkende regeringer rundt om i verden ønsker at begrænse deres borgeres mulighed for at få adgang til uafhængige oplysninger, deres kapacitet til at interagere med det internationale samfund og deres evne til at udtrykke synspunkter, der er kritiske over for regimet.

Dette er en del af grunden til, at internet-blackouts fortsat bliver mere almindelige(nyt vindue). Men disse blackouts er utroligt dyre for ethvert land, der regelmæssigt er afhængigt af internettet (så dybest set alle lande undtagen Nordkorea). Internetnedlukningerne fra 2022 kostede den globale økonomi omkring 24 milliarder dollars(nyt vindue).

Løsningen på dette dilemma på steder som Rusland, Kina, Iran og Egypten er at gøre internettet tilgængeligt, men blokere websteder og apps, som de ikke ønsker, at deres borgere skal få adgang til. På et grundlæggende niveau er dette ret simpelt at opnå. Alt, hvad regeringerne skal gøre, er at pålægge deres indenlandske internetudbydere (ISPs) at blokere forbindelser til bestemte IP-adresser.

Problemet med denne tilgang er, at teknologier som virtuelle private netværk (VPN) gør det nemt for mere teknologisk kyndige borgere at omgå disse blokeringer, så regeringer udruller DPI til at detektere (og blokere) VPN-brug.


Læs mere om internetcensur

Sådan fungerer VPN’er

En VPN opretter en krypteret forbindelse mellem Deres enhed og en VPN-server, der drives af en VPN-tjeneste såsom Proton VPN. VPN-appen dirigerer derefter alle forbindelser fra Deres enhed gennem denne ”VPN-tunnel”. Dette inkluderer DNS-forespørgsler, som Deres VPN-udbyder løser i stedet for Deres ISP (som det normalt sker).

Da de data, der sendes gennem VPN-tunnellen, er sikkert krypteret, kan Deres ISP (og som en udvidelse heraf Deres regering) ikke se indholdet af Deres data eller de websteder, De besøger. Det eneste, den kan se, er IP-adressen på den VPN-server, De oprettede forbindelse til.

Sådan fungerer en VPN

Få mere at vide om, hvordan en VPN fungerer

Hvad en ISP ikke kan se, kan den ikke blokere, hvilket er grunden til, at VPN’er er effektive værktøjer mod censur. Undertrykkende regeringer ved naturligvis dette, så deres sædvanlige reaktion er at forsøge at blokere adgangen til VPN’er.

Enkle VPN-blokeringer

Den enkleste måde at gøre dette på er at blokere adgangen til VPN-tjenesters websteder. Sådanne blokeringer er normalt nemme at undgå — for eksempel ved at distribuere VPN-software som Proton VPN’s Android APK-fil via en krypteret beskedtjeneste eller sociale mediekanaler.

Det er også muligt at udføre enkel pakkeanalyse på pakkernes overskrifter ved hjælp af følgende metoder:

Analyse af destinations-IP-adresser

Myndighederne kan undersøge destinations-IP-adressen for pakker og sammenholde dem med en liste over kendte VPN-server-IP-adresser. Rustet med en sådan liste er det nemt for en ISP at blokere adgangen til alle en VPN-tjenestes servere.

Med de ressourcer, der er til rådighed for de fleste regeringer, er det ikke svært for dem selv at udarbejde disse lister. Men det behøver de reelt ikke, da mange kommercielle tjenester gør en god forretning ud af at samle og sælge sådanne lister.

Portanalyse

DPI kan undersøge pakkers destinationsportnummer og matche dem med en liste over kendte VPN-portnumre

For eksempel bruger OpenVPN som standard UDP-port 1194, mens WireGuard® bruger UDP-port 51820.

SSL/TLS-certifikatanalyse

Ved at undersøge pakkernes SSL/TLS-certifikater(nyt vindue) kan myndighederne matche dem med en liste over kendte VPN-SSL/TLS-certifikater og registrere, om folk bruger en VPN.

Få Proton VPN!

Simple VPN-anticensurtaktikker

Simpel pakkeanalyse er en almindelig censurtaktik, fordi den er nem og billig. Det er også forholdsvis nemt for en VPN-tjeneste at omgå den ved hjælp af følgende metoder:

VPN over TCP

HTTPS(nyt vindue) er den krypteringsstandard, der beskytter internettet, hvilket gør meget af det, som vi tager for givet at kunne gøre på internettet, muligt. Dette inkluderer sikring af alle finansielle online-transaktioner, såsom online-køb og administration af Deres bankkonto online.

HTTPS bruger TCP-port 443, så VPN-tjenester kører ofte også deres VPN-protokoller over TCP-port 443. Dette gør det vanskeligt blot at blokere denne port uden i praksis at lukke hele internettet ned.

OpenVPN har indbygget support til TCP, hvilket gør det til et populært valg blandt VPN-tjenester, der bruger denne taktik. WireGuard køres normalt over UDP, men Proton VPN har også udviklet en måde at køre WireGuard over TCP på.

Få mere at vide om forskellen på UDP og TCP

VPN over TCP kan effektivt omgå simpel protokolanalyse, men more avancerede DPI-teknikker kan nemt spotte forskellen på HTTPS- og VPN-pakker.

Ændring af portnumre

Selvom VPN-protokoller som standard bruger forventede porte, kan de fleste køres over næsten enhver port (undtagen porte, der er reserveret til specifikke funktioner). Så en simpel (men ofte effektiv) anticensurteknik er at køre VPN-protokoller over ikke-standardiserede porte.

Proton VPN’s Smart Protocol-funktion registrerer, når en forbindelse er blokeret, og skifter automatisk mellem VPN-protokoller og portnumre for at finde kombinationer, der ikke er blokeret.

Alternativ routing

En usædvanlig anticensurtaktik, som anvendes af Proton VPN, er alternativ routing(nyt vindue). Hvis der blokeres for adgangen til en Proton-tjeneste (herunder Proton VPN-webstedet), forsøger vi at dirigere forbindelsen gennem tredjepartsservernetværk, som sandsynligvis ikke er blokeret (såsom AWS).

VPN-broer

Analyse af destinations-IP-adresser er en udfordrende angrebsvektor at overvinde, men nogle VPN-tjenester afhjælper problemet med VPN-broer. Disse gør det muligt for dem at undgå censur ved at tilbyde alternative adgangspunkter til VPN-netværket, som ikke er offentligt opført eller blokeret af censorer.

VPN-tjenester kan opnå dette ved at bruge en teknik kaldet “bridge relaying” eller “bridge mode”. Det sker, når en VPN-udbyder kører nogle få “bro-relæer”, som den ikke viser offentligt, og som kun gives til personer, der har brug for at omgå censur. Disse bro-relæer fungerer som et hemmeligt adgangspunkt til VPN-netværket og kan bruges til at omgå blokeringer af VPN-trafik.

En anden måde, VPN’er bruger broer på, er ved at lade folk oprette forbindelse til VPN-netværket via en “bro-VPN”, hvilket er, når der oprettes en VPN-forbindelse mellem Deres enhed og en VPN-server, som censorerne ikke har blokeret. De kan derefter bruge denne bro-VPN to oprette forbindelse til det primære VPN-netværk og få adgang til blokeret indhold.

Hvordan DPI bruges til at registrere VPN’er

Online-censorer og internetbrugere har været låst fast i et våbenkapløb siden internettets tidligste dage. Internetudbydere (ISP’er) begyndte at blokere porte, så folk begyndte at bruge ikke-standardiserede porte. Undertrykkende regeringer svarede igen ved at bruge DPI til at bestemme, hvad trafikken gjorde på åbne porte, hvilket opmuntrede folk til at bruge VPN’er til at omgå DPI. Til gengæld udviklede regeringerne mere sofistikerede DPI-teknikker og så videre.

DPI er svær at omgå, fordi den undersøger hele pakken for at identificere VPN-trafik på en række forskellige måder. Disse omfatter:

Protokolanalyse

Dette undersøger pakkernes struktur og format for at identificere, hvilken protokol der er i brug, og registrere, om pakkerne bruger en VPN-protokol som OpenVPN, PPTP, L2TP eller IKEv2.

Pakkestørrelsesanalyse

Usædvanlige pakkestørrelser kan indikere brug af en VPN.

Adfærdsanalyse

DPI kan undersøge adfærden af netværkstrafik over tid for at identificere mønstre, der kan indikere brug af en VPN. For eksempel, hvis der er en usædvanlig stigning i trafikken til en bestemt server eller en pludselig ændring i IP-adressers placering, kan det indikere, at der bruges en VPN.

VPN-obfuskering

Som det næste skridt i våbenkapløbet for et ucensureret internet har nogle VPN-tjenester udviklet brugerdefinerede VPN-protokoller, der er modstandsdygtige over for DPI-teknikker. For eksempel har vi udviklet Stealth-protokollen til Proton VPN.

Denne nye protokol kombinerer forskellige open source-teknologier, især ved hjælp af obfuskeret TLS-tunnelering over TCP, så det ligner HTTPS på en mere censurresistent måde end blot at køre VPN over TCP-port 443.

Få mere at vide om Stealth

Stealth har hjulpet millioner af mennesker med at overvinde VPN-blokeringer i lande som Iran og Rusland, men vi kan ikke garantere dens effektivitet mod avancerede DPI-teknikker.

Afsluttende tanker

Dyb pakkeinspektion kan være sofitikeret og udgør en løbende udfordring for vores arbejde med at bringe det åbne internet til alle. Men vi grundlagde Proton VPN netop for at imødegå udfordringer som denne, og vores ingeniører udvikler konstant nye værktøjer og funktioner til bekæmpelse af censur.

Vi er låst fast i et våbenkapløb med nogle af verdens mest undertrykkende regeringer, og indsatsen kunne ikke være højere. Undertrykkende regeringer er afhængige af at opretholde streng kontrol med de oplysninger, deres borgere kan få adgang til, hvem de må tale med, og hvad de kan sige til deres medborgere og resten af verden.

Men vi mener, at alle har ret til at få adgang til uafhængig rapportering, omgås hvem vi vil, og kritisere uretfærdighed og magtmisbrug. Vi kæmper for at sikre, at alle har adgang til disse grundlæggende menneskerettigheder.

Proton VPN blev grundlagt for at hjælpe med at kæmpe for en verden uden censur, hvilket er grunden til, at vi tilbyder en 100 % gratis VPN-tjeneste. Med Proton VPN kan alle få adgang til det frie og åbne internet. Vi er stolte over, at aktivister, journalister og helt almindelige mennesker verden over tyr til Proton VPN i tider med uro.

Hvis De bor i et undertrykkende land, er vores tjeneste klar til at hjælpe. Hvis De ikke gør det, kan De støtte vores mission om at gøre det ucensurerede internet tilgængeligt for alle ved at tilmelde Dem et Proton VPN Plus-abonnement.