Deep packet inspection (DPI) on menetelmä, jossa tutkitaan verkon kautta kulkevia tietopaketteja, jotta tietoliikennetyyppi voidaan tunnistaa. Tätä tietoa voidaan sitten käyttää estämään ei-toivottua tietoliikennettä.
Tätä tekniikkaa käytetään yleisesti palomuureissa, tunkeilunhavaitsemisjärjestelmissä ja muissa verkon tietoturvajärjestelmissä.
Valitettavasti samoja analyysimenetelmiä, joita käytetään yksityisten verkkojen suojaamiseen, voivat käyttää myös hallitukset ja muut organisaatiot internetin tietoliikenteen tarkkailuun ja verkossa esiintyvän eriävän mielipiteen sensurointiin.
DPI:n avulla organisaatiot voivat tarkastaa paketteja niiden kulkiessa verkon läpi ymmärtääkseen niiden tarkoituksen. Tämän ansiosta ne voivat estää tai rajoittaa pääsyä tietyille verkkosivustoille, sovelluksiin ja palveluihin.
VPN-yhteyden käyttäminen estää tällaisen analyysin, koska paketit on salattu. Mutta DPI pystyy usein tunnistamaan itse VPN-protokollan. Tämän ansiosta painostavat hallitukset (ja toisinaan muut organisaatiot, kuten toimistot ja kampukset) voivat tehokkaasti estää pääsyn VPN-palveluihin, vaikka VPN:n käyttöä yritettäisiinkin piilottaa (hämärtää).
Tässä artikkelissa tarkastelemme, miten deep packet inspection toimii, keskittyen erityisesti siihen, miten painostavat hallitukset käyttävät sitä sensuurirajoitusten asettamiseen. Tarkastelemme myös sitä, miten DPI vaikuttaa virtuaalisiin erillisverkkoihin (VPN), kuten Proton VPN -palveluun, jotka on suunniteltu tällaisten rajoitusten ohittamiseen.
- Mikä on tietopaketti?
- Miten pakettianalyysi toimii
- Yksinkertainen pakettianalyysi
- Deep packet inspection
- DPI ja hallituksen sensuuri
- Miten VPN-yhteydet toimivat
- Yksinkertaiset VPN-estot
- Yksinkertaiset VPN-taktiikat sensuurin torjumiseksi
- Miten DPI-tekniikkaa käytetään VPN-yhteyksien havaitsemiseen
- VPN:n hämärtäminen
Mikä on tietopaketti?
Kun tietoja lähetetään verkon (kuten internetin) välityksellä, ne jaetaan pieniin osiin. Näitä pieniä osia kutsutaan tietopaketeiksi (tai vain paketeiksi).
The Internet-protokolla(uusi ikkuna) käyttää tietopaketteja auttaakseen varmistamaan, että verkon kautta lähetetyt tiedot saavuttavat oikean määränpään. Kun kaikki tietojoukon (kuten kuvan tai sähköpostin sisällön) muodostavat paketit saavuttavat määränpäänsä, ne kootaan uudelleen.
Paketin sisältämää varsinaista dataa kutsutaan sen ”hyötykuormaksi” (payload). Jokaisessa paketissa on myös otsake, joka sisältää metatietoja, jotka selittävät esimerkiksi sen, mihin se on menossa ja mistä se on peräisin.

Kaikki internetissä siirrettävät tiedot lähetetään paketteina.
Miten pakettianalyysi toimii
Minkä tahansa muotoista pakettianalyysiä suorittavan organisaation on ensin hankittava analysoitavia paketteja. Tämä voidaan tehdä monilla tavoilla, mutta porttien peilaus(uusi ikkuna), fyysiset verkkonapautukset(uusi ikkuna) ja Wi-Fi-haistelu(uusi ikkuna) ovat yleisiä taktiikoita. Kun organisaatiolla on pääsy paketteihin, se voi analysoida niitä eri tavoilla.
Yksinkertainen pakettianalyysi
Helpein (ja halvin) tapa, jolla organisaatio voi ottaa käyttöön verkkotietoliikenteen estoja, on tarkastaa pakettien otsakkeiden sisältämät tiedot. Tämän ansiosta nämä organisaatiot voivat estää paketteja niiden käyttämien porttien tai niiden määränpään IP-osoitteen perusteella.
Deep packet inspection
Yksinkertaisen pakettianalyysin ongelma internetiä sensuroimaan pyrkivien organisaatioiden kannalta on se, että se on helppo ohittaa yksinkertaisesti muuttamalla määränpään IP-osoitetta tai käytettyjä porttinumeroita. Tämä johtuu siitä, että yksinkertainen pakettianalyysi ei tarkastele dataa (hyötykuormaa). Deep packet inspection analysoi koko paketin, mukaan lukien hyötykuorman.
Miten deep packet inspection toimii?
DPI-tekniikoihin kuuluvat:
- Allekirjoituspohjainen tunnistus — Vertaa paketteja tunnettujen haitallisten tai ei-toivottujen tietoliikennekuvioiden tietokantaan
- Poikkeamapohjainen tunnistus — Etsii malleja tai käyttäytymistä, jotka poikkeavat normaalista verkkotietoliikenteestä
- Protokolla-analyysi — Tarkastaa pakettien rakenteen ja muodon tunnistaakseen, mikä protokolla on käytössä
- Sisällön tarkastus — Tarkastaa hyötykuorman sisältämän varsinaisen datan, kuten sähköpostin tekstin, tunnistaakseen ja estääkseen tietyt avainsanat tai lausekkeet
- Käyttäytymisanalyysi — Tarkastelee verkkotietoliikenteen käyttäytymistä ajan mittaan, kuten tiettyyn palvelimeen luotujen yhteyksien tiheyttä tai siirretyn datan määrää, tunnistaakseen ja estääkseen epätavalliset toimintamallit
DPI ja hallituksen sensuuri
Painostavat hallitukset ympäri maailmaa haluavat rajoittaa kansalaistensa pääsyä riippumattomaan tietoon, heidän kykyään vuorovaikuttaa kansainvälisen yhteisön kanssa ja heidän mahdollisuuksiaan ilmaista hallintoa arvostelevia mielipiteitä.
Tämä on osasyy siihen, että internet-pimennykset yleistyvät jatkuvasti(uusi ikkuna). Nämä pimennykset ovat kuitenkin uskomattoman kalliita kaikille maille, jotka tukeutuvat säännöllisesti internetiin (eli käytännössä kaikille maille Pohjois-Koreaa lukuun ottamatta). Vuoden 2022 internet-pimennykset maksoivat maailmanlaajuiselle taloudelle noin 24 miljardia dollaria(uusi ikkuna).
Ratkaisu tähän dilemmaan esimerkiksi Venäjän, Kiinan, Iranin ja Egyptin kaltaisissa paikoissa on pitää internet saatavilla, mutta estää ne verkkosivustot ja sovellukset, joita hallitukset eivät halua kansalaistensa käyttävän. Perustasolla tämä on melko helppo saavuttaa. Hallitusten tarvitsee vain määrätä kotimaiset internet-palveluntarjoajansa (ISP) estämään yhteydet tiettyihin IP-osoitteisiin.
Tämän lähestymistavan ongelmana on se, että virtuaalisten erillisverkkojen (VPN) kaltaiset tekniikat tekevät näiden estojen ohittamisesta helppoa tekniikkaa tunteville kansalaisille, joten hallitukset ottavat käyttöön DPI:n havaitakseen (ja estääkseen) VPN:n käytön.
Lue lisää internet-sensuurista
Miten VPN-yhteydet toimivat
VPN luo salatun yhteyden laitteenne ja VPN-palvelun, kuten Proton VPN:n, ylläpitämän VPN-palvelimen välille. VPN-sovellus reitittää sen jälkeen kaikki yhteydet laitteestanne tämän ”VPN-tunnelin” kautta. Tämä sisältää DNS-kyselyt, jotka VPN-palveluntarjoajanne selvittää internet-palveluntarjoajanne sijaan (kuten yleensä tapahtuu).
Koska VPN-tunnelin kautta lähetetyt tiedot on suojattu vahvalla salauksella, internet-palveluntarjoajanne (ja siten myös hallituksenne) ei voi nähdä tietojenne sisältöä tai sitä, millä verkkosivustoilla vierailette. Se voi nähdä ainoastaan sen VPN-palvelimen IP-osoitteen, johon yhdistitte.

Lue lisää siitä, miten VPN toimii
Mitä internet-palveluntarjoaja ei näe, sitä se ei voi estää, ja siksi VPN-yhteydet ovat tehokkaita työkaluja sensuurin torjuntaan. Painostavat hallitukset tietysti tietävät tämän, joten niiden tavanomainen reaktio on yrittää estää pääsy VPN-palveluihin.
Yksinkertaiset VPN-estot
Yksinkertaisin tapa tehdä tämä on estää pääsy VPN-palveluiden verkkosivustoille. Tällaiset estot on yleensä helppo kiertää — esimerkiksi jakamalla VPN-ohjelmistoja, kuten Proton VPN:n Android-APK-tiedostoa, salatun pikaviestimen tai sosiaalisen median kanavien kautta.
Yksinkertaista pakettianalyysiä on myös mahdollista suorittaa pakettien otsakkeille seuraavilla menetelmillä:
Määränpään IP-osoitteen analysointi
Viranomaiset voivat tutkia pakettien määränpään IP-osoitteita ja verrata niitä tunnettujen VPN-palvelimien IP-osoitteiden luetteloon. Tällaisen luettelon avulla internet-palveluntarjoajan on helppo estää pääsy kaikkiin VPN-palvelun palvelimiin.
Useimpien hallitusten käytettävissä olevilla resursseilla niiden ei ole vaikeaa koota näitä luetteloita itse. Heidän ei kuitenkaan oikeastaan tarvitse, sillä monet kaupalliset palvelut tekevät hyvää bisnestä kokoamalla ja myymällä tällaisia luetteloita.
Porttianalyysi
DPI voi tutkia pakettien kohdeportin numeron ja verrata sitä tunnettujen VPN-porttien numeroluetteloon.
Esimerkiksi oletusarvoisesti OpenVPN käyttää UDP-porttia 1194, kun taas WireGuard® käyttää UDP-porttia 51820.
SSL/TLS-varmenneanalyysi
Tutkimalla pakettien SSL/TLS-varmenteita(uusi ikkuna) viranomaiset voivat verrata niitä tunnettujen VPN-palveluiden SSL/TLS-varmenteiden luetteloon ja havaita, jos ihmiset käyttävät VPN-yhteyttä.
Yksinkertaiset VPN-sensuurinkiertotaktiikat
Yksinkertainen pakettianalyysi on yleinen sensuuritaktiikka, koska se on helppoa ja halpaa. VPN-palvelun on myös melko helppo ohittaa se seuraavilla tavoilla:
VPN TCP-yhteyden kautta
HTTPS(uusi ikkuna) on salaustandardi, joka suojaa verkon ja mahdollistaa suuren osan siitä, mitä pidämme itsestäänselvyytenä internetissä. Tähän kuuluu kaikkien verkkorahoitustapahtumien, kuten verkko-ostosten ja pankkitilinne verkossa tapahtuvan hallinnan, suojaaminen.
HTTPS käyttää TCP-porttia 443, joten VPN-palvelut suorittavat usein myös VPN-protokolliaan TCP-portin 443 kautta. Tämän vuoksi kyseisen portin estäminen on vaikeaa ilman, että koko internet käytännössä suljetaan.
OpenVPN:ssä on sisäänrakennettu tuki TCP:lle, mikä tekee siitä suositun valinnan tätä taktiikkaa käyttävien VPN-palveluiden keskuudessa. WireGuardia ajetaan yleensä UDP:n kautta, mutta Proton VPN on kehittänyt tavan käyttää WireGuardia myös TCP:n kautta.
Lue lisää UDP:n ja TCP:n välisestä erosta
VPN TCP-yhteyden kautta voi tehokkaasti välttää yksinkertaisen protokolla-analyysin, mutta edistyneemmät DPI-tekniikat voivat helposti havaita eron HTTPS- ja VPN-pakettien välillä.
Porttinumeroiden muuttaminen
Vaikka VPN-protokollat käyttävät oletusarvoisesti odotettuja portteja, useimpia niistä voidaan käyttää lähes minkä tahansa portin kautta (lukuun ottamatta tiettyihin toimintoihin varattuja portteja). Siksi yksinkertainen (mutta usein tehokas) sensuurinvastainen tekniikka on ajaa VPN-protokollia muissa kuin standardiporteissa.
Proton VPN:n Smart Protocol -ominaisuus havaitsee, kun yhteys on estetty, ja vaihtaa automaattisesti VPN-protokollien ja porttinumeroiden välillä löytääkseen yhdistelmiä, joita ei ole estetty.
Vaihtoehtoinen reititys
Eräs Proton VPN:n käyttämä epätavallinen sensuurinkiertotaktiikka on vaihtoehtoinen reititys(uusi ikkuna). Jos pääsy johonkin Proton-palveluun on estetty (mukaan lukien Proton VPN -verkkosivustolle), yritämme reitittää yhteyden sellaisten ulkopuolisten tahojen palvelinverkkojen kautta, joiden estäminen on epätodennäköistä (kuten AWS).
VPN-sillat
Kohde-IP-osoitteen analysointi on haastava hyökkäysvektori voitettavaksi, mutta jotkut VPN-palvelut lieventävät ongelmaa VPN-silloilla. Niiden avulla ne voivat välttää sensuuria tarjoamalla VPN-verkkoon vaihtoehtoisia sisääntulopisteitä, joita ei ole julkisesti lueteltu tai jotka sensuuri on estänyt.
VPN-palvelut voivat saavuttaa tämän käyttämällä tekniikkaa nimeltä “välityssiltaus” (bridge relaying) tai “siltatila” (bridge mode). Tällöin VPN-palveluntarjoaja ylläpitää muutamia “siltavälityspalvelimia”, joita se ei listaa julkisesti ja joita se tarjoaa vain ihmisille, joiden on ohitettava sensuuri. Nämä siltavälityspalvelimet toimivat salaisena sisääntulopisteenä VPN-verkkoon, ja niitä voidaan käyttää VPN-tietoliikenteen estojen ohittamiseen.
Toinen tapa, jolla VPN-palvelut käyttävät siltoja, on antaa ihmisten muodostaa yhteys VPN-verkkoon “silta-VPN:n” kautta, jolloin VPN-yhteys muodostetaan laitteenne ja sellaisen VPN-palvelimen välille, jota sensuuri ei ole estänyt. Voitte sitten käyttää tätä silta-VPN-yhteyttä muodostaaksenne yhteyden pääasialliseen VPN-verkkoon ja käyttääksenne estettyä sisältöä.
Miten DPI:tä käytetään VPN-yhteyksien havaitsemiseen
Verkkosensuroijat ja internetin käyttäjät ovat olleet mukana varustelukierteessä verkon varhaisista päivistä lähtien. Internet-palveluntarjoajat alkoivat estää portteja, joten ihmiset alkoivat käyttää muita kuin standardiportteja. Sortavat hallitukset vastasivat tähän käyttämällä DPI:tä selvittääkseen, mitä tietoliikennettä avoimissa porteissa liikkui, mikä rohkaisi ihmisiä käyttämään VPN-yhteyksiä DPI-tarkastuksen kiertämiseen. Vastavuoroisesti hallitukset kehittivät edistyneempiä DPI-tekniikoita ja niin edelleen.
DPI on vaikea ohittaa, koska se tutkii koko paketin tunnistaakseen VPN-tietoliikenteen useilla eri tavoilla. Näitä ovat muun muassa seuraavat:
Protokolla-analyysi
Tämä tutkii pakettien rakennetta ja muotoa tunnistaakseen käytössä olevan protokollan ja havaitakseen, käyttävätkö paketit jotakin VPN-protokollaa, kuten OpenVPN:ää, PPTP:tä, L2TP:tä tai IKEv2:ta.
Pakettikoon analysointi
Epätavalliset pakettikoot voivat viitata VPN-yhteyden käyttöön.
Käyttäytymisanalyysi
DPI voi tutkia verkkoliikenteen käyttäytymistä ajan mittaan tunnistaakseen malleja, jotka saattavat viitata VPN:n käyttöön. Esimerkiksi jos tiettyyn palvelimeen suuntautuvassa liikenteessä tapahtuu epätavallinen piikki tai IP-osoitteiden sijainti muuttuu äkillisesti, se voi viitata siihen, että VPN-yhteyttä käytetään.
VPN-hämärtäminen
Seuraavana askeleena sensuroimattoman internetin varustelukierteessä jotkut VPN-palvelut ovat kehittäneet mukautettuja VPN-protokollia, jotka vastustavat DPI-tekniikoita. Olemme esimerkiksi kehittäneet Stealth-protokollan Proton VPN -palvelulle.
Tämä uusi protokolla yhdistää erilaisia avoimen lähdekoodin tekniikoita, erityisesti käyttämällä hämärrettyä TLS-tunnelointia TCP:n kautta, jotta se näyttäisi HTTPS-liikenteeltä sensuuria paremmin sietävällä tavalla kuin pelkkä VPN-yhteyden ajaminen TCP-portin 443 kautta.
Stealth on auttanut miljoonia ihmisiä ylittämään VPN-estot esimerkiksi Iranissa ja Venäjällä, mutta emme voi taata sen tehokkuutta edistyneitä DPI-tekniikoita vastaan.
Loppuajatukset
Syväpakettitarkastus (DPI) voi olla monimutkaista, ja se asettaa jatkuvan haasteen työllemme tuoda avoin internet kaikkien saataville. Mutta perustimme Proton VPN:n kohtaamaan juuri tällaisia haasteita, ja insinöörimme kehittävät aina uusia sensuurinvastaisia työkaluja ja ominaisuuksia.
Olemme mukana varustelukierteessä joidenkin maailman sortavimpien hallitusten kanssa, ja panokset eivät voisi olla korkeammat. Sortavat hallitukset luottavat siihen, että ne valvovat tiukasti tietoja, joita niiden kansalaiset voivat käyttää, kenen kanssa he voivat puhua ja mitä he voivat sanoa muille kansalaisilleen ja muulle maailmalle.
Uskomme kuitenkin, että jokaisella on oikeus käyttää riippumatonta uutisointia, olla yhteydessä kenen kanssa tahansa ja arvostella epäkohtia ja vallan väärinkäytöksiä. Taistelemme varmistaaksemme, että jokaisella on pääsy näihin perusoikeuksiin.
Proton VPN perustettiin auttamaan taistelussa maailman puolesta ilman sensuuria, minkä vuoksi tarjoamme 100-prosenttisesti ilmaisen VPN-palvelun. Proton VPN:n avulla kuka tahansa voi käyttää vapaata ja avointa internetiä. Olemme ylpeitä siitä, että aktivistit, toimittajat ja tavalliset ihmiset ympäri maailmaa kääntyvät Proton VPN:n puoleen levottomuuksien aikana.
Jos asutte sortavassa maassa, palvelumme on täällä auttamassa teitä. Jos ette, voitte tukea missiotamme tuoda sensuroimaton internet kaikkien saataville rekisteröitymällä Proton VPN Plus -tilaukseen.







