Djupgående paketinspektion (DPI) är en metod för att granska datapaket som passerar genom ett nätverk så att typen av trafik kan identifieras. Denna information kan sedan användas för att blockera oönskad trafik.

Tekniken används ofta i brandväggar, intrångsdetekteringssystem och andra nätverkssäkerhetssystem.

Tyvärr kan samma analystekniker som används för att skydda privata nätverk också användas av regeringar och andra organisationer för att övervaka internettrafik och censurera oliktänkande online.

Genom att använda DPI kan organisationer granska paket när de passerar genom ett nätverk för att förstå deras syfte. Detta gör att de kan blockera eller begränsa möjligheten att få åtkomst till vissa webbplatser, applikationer och tjänster.

Att använda ett VPN förhindrar denna typ av analys, eftersom paketen är krypterade. Men själva VPN-protokollet kan ofta identifieras genom DPI. Detta gör det möjligt för repressiva regeringar (och ibland andra organisationer, såsom kontor och universitetsområden) att effektivt blockera möjligheten att få åtkomst till VPN-tjänster, även när försök görs att dölja (maskera) det faktum att ett VPN används.

I den här artikeln tittar vi på hur djupgående paketinspektion fungerar, med fokus på hur repressiva regeringar använder det för att införa censurrestriktioner. Vi tittar även på hur DPI påverkar virtuella privata nätverk (VPN-tjänster) som Proton VPN, vilka är utformade för att kringgå sådana restriktioner.

Vad är ett datapaket?

När data skickas över ett nätverk (som internet) delas den upp i små delar. Dessa små delar kallas datapaket (eller bara paket).

The Internetprotokollet(nytt fönster) använder datapaket för att hjälpa till att säkerställa att information som skickas över webben når rätt destination. När alla paket som utgör en datamängd (t.ex. en bild eller innehållet i ett e-postmeddelande) når sin destination sätts de ihop igen.

Själva datan som finns i ett paket kallas dess ”nyttolast”. Varje paket har också en rubrik som innehåller metadata som förklarar saker som vart det ska och varifrån det kom.

IP-paketets struktur

All data som överförs via internet skickas i paket.

Hur paketanalys fungerar

En organisation som utför någon form av paketanalys måste först skaffa paket att analysera. Detta kan göras på många sätt, men portspegling(nytt fönster), fysiska nätverksavtappningar(nytt fönster) och WiFi-sniffning(nytt fönster) är vanliga metoder. När en organisation väl har möjlighet att få åtkomst till paketen kan den analysera dem på olika sätt.

Enkel paketanalys

Det enklaste (och billigaste) sättet för en organisation att implementera blockeringar av nätverkstrafik är är att granska informationen i paketens rubriker. Detta gör det möjligt för dessa organisationer att blockera paket baserat på de portar de använder eller deras destinations-IP-adress.

Djupgående paketinspektion

Problemet med enkel paketanalys för organisationer som vill censurera internet är att den är lätt att kringgå, helt enkelt genom att ändra destinations-IP-adressen eller de portnummer som används. Detta beror på att enkel paketanalys inte tittar på datan (nyttolasten). Djupgående paketinspektion analyserar hela paketet, inklusive nyttolasten.

Hur fungerar djupgående paketinspektion?

DPI-tekniker inkluderar:

  1. Signaturbaserad detektering — Jämför paket med en databas över kända skadliga eller oönskade trafikmönster
  2. Anomalibaserad detektering — Söker efter mönster eller beteenden som avviker från normal nätverkstrafik
  3. Protokollanalys — Granskar paketens struktur och format för att identifiera vilket protokoll som används
  4. Innehållsinspektion — Granskar den faktiska datan i nyttolasten, till exempel texten i ett e-postmeddelande, för att identifiera och blockera specifika sökord eller fraser
  5. Beteendeanalys — Granskar nätverkstrafikens beteende över tid, såsom frekvensen av anslutningar till en viss server eller mängden överförd data, för att identifiera och blockera ovanliga aktivitetsmönster

DPI och statlig censur

Repressiva regeringar runt om i världen vill begränsa sina medborgares möjlighet att få åtkomst till oberoende information, deras förmåga att interagera med det internationella samfundet samt deras möjlighet att uttrycka regimkritiska åsikter.

Detta är en del av anledningen till att nedstängningar av internet fortsätter att bli allt vanligare(nytt fönster). Men dessa nedstängningar är oerhört kostsamma för alla länder som regelbundet förlitar sig på internet (alltså i princip alla länder utom Nordkorea). Internetnedstängningarna från 2022 kostade den globala ekonomin ungefär 24 miljarder dollar(nytt fönster).

Lösningen på detta dilemma på platser som Ryssland, Kina, Iran och Egypten är å göra internet tillgängligt men blockera webbplatser och appar som de inte vill att deras medborgare ska få åtkomst till. På en grundläggande nivå är detta ganska enkelt att uppnå. Allt regeringar behöver göra är att instruera sina inhemska internetleverantörer (ISP) att blockera anslutningar till vissa IP-adresser.

Problemet med detta tillvägagångssätt är att tekniker som virtuella privata nätverk (VPN) gör det enkelt för mer tekniskt kunniga medborgare att kringgå dessa blockeringar, så regeringar distribuerar DPI för att upptäcka (och blockera) VPN-användning.


Läs mer om internetcensur

Hur VPN fungerar

Ett VPN skapar en krypterad anslutning mellan din enhet och en VPN-server som drivs av en VPN-tjänst som Proton VPN. VPN-appen dirigerar sedan alla anslutningar från din enhet genom denna ”VPN-tunnel”. Detta inkluderar DNS-förfrågningar, som din VPN-leverantör svarar på i stället för din internetleverantör (vilket vanligtvis är fallet).

Eftersom data som skickas genom VPN-tunneln är säkert krypterad kan din internetleverantör (och i förlängningen din regering) inte se innehållet i dina data eller vilka webbplatser du besöker. Allt den kan se är IP-adressen för den VPN-server du anslöt till.

Hur ett VPN fungerar

Lär dig mer om hur en VPN fungerar

Det en internetleverantör inte kan se kan den inte heller blockera, vilket är anledningen till att VPN-tjänster är effektiva verktyg mot censur. Repressiva regeringar vet naturligtvis detta, så deras vanliga svar är att försöka blockera möjligheten att få åtkomst till VPN-tjänster.

Enkla VPN-blockeringar

Det enklaste sättet att göra detta på är att blockera möjligheten att få åtkomst till VPN-tjänsters webbplatser. Sådana blockeringar är vanligtvis lätta att kringgå — till exempel genom att distribuera VPN-mjukvara som Proton VPN:s Android APK-fil via en krypterad meddelandetjänst eller kanaler i sociala medier.

Det är också möjligt att utföra enkel paketanalys på paketens rubriker med hjälp av följande metoder:

Analys av destinations-IP-adresser

Myndigheter kan granska paketens destinations-IP-adress och matcha dem mot en lista över kända IP-adresser för VPN-servrar. Med en sådan lista i hand är det enkelt för en internetleverantör att blockera möjligheten att få åtkomst till alla servrar för en VPN-tjänst.

Med de resurser som de flesta regeringar har tillgång till är det inte svårt för dem att sammanställa dessa listor själva. Men de behöver egentligen inte göra det eftersom många kommersiella tjänster gör goda affärer på att sammanställa och sälja sådana listor.

Portanalys

DPI kan undersöka paketens målportnummer och matcha dem mot en lista över kända VPN-portnummer

Till exempel använder OpenVPN som standard UDP-port 1194, medan WireGuard® använder UDP-port 51820.

Analys av SSL/TLS-certifikat

Genom att undersöka paketens SSL/TLS-certifikat(nytt fönster) kan myndigheter matcha dem mot en lista över kända SSL/TLS-certifikat för VPN och upptäcka om människor använder ett VPN.

Skaffa Proton VPN!

Enkel anticensurtaktik för VPN

Enkel paketanalys är en vanlig censurtaktik eftersom det är enkelt och billigt. Det är också ganska enkelt för en VPN-tjänst att kringgå med följande metoder:

VPN över TCP

HTTPS(nytt fönster) är den krypteringsstandard som säkrar webben, vilket möjliggör mycket av det vi tar för givet att kunna göra på internet. Detta inkluderar att säkra alla finansiella transaktioner online, såsom onlineköp och att hantera ditt bankkonto online.

HTTPS använder TCP-port 443, så VPN-tjänster kör ofta även sina VPN-protokoll över TCP-port 443. Detta gör det svårt att helt enkelt blockera denna port utan att i praktiken stänga ner hela internet.

OpenVPN har inbyggd support för TCP, vilket gör det till ett populärt val bland VPN-tjänster som använder denna teknik. WireGuard körs vanligtvis över UDP, men Proton VPN har också utvecklat ett sätt att köra WireGuard över TCP.

Lär dig mer om skillnaden mellan UDP och TCP

VPN över TCP kan effektivt undgå enkel protokollanalys, men mer avancerade DPI-tekniker kan enkelt upptäcka skillnaden mellan HTTPS- och VPN-paket.

Ändra portnummer

Även om VPN-protokoll som standard använder förväntade portar, kan de flesta köras över nästan vilken port som helst (förutom portar som är reserverade för specifika funktioner). Så en enkel (men ofta effektiv) anticensurteknik är att köra VPN-protokoll över icke-standardportar.

Proton VPN:s funktion Smart Protocol upptäcker när en anslutning är blockerad och växlar automatiskt mellan VPN-protokoll och portnummer för att hitta kombinationer som inte är blockerade.

Alternativ routning

En ovanlig anticensurtaktik som används av Proton VPN är alternativ routning(nytt fönster). Om åtkomsten till någon Proton-tjänst blockeras (inklusive till Proton VPN-webbplatsen) försöker vi dirigera anslutningen genom servernätverk från tredje part som sannolikt inte är blockerade (som AWS).

VPN-bryggor

Analys av destinations-IP-adresser är en utmanande attackvektor att övervinna, men vissa VPN-tjänster lindrar problemet med VPN-bryggor. Dessa gör det möjligt för dem att undgå censur genom att tillhandahålla alternativa ingångspunkter till VPN-nätverket som inte är offentligt listade eller blockerade av censorer.

VPN-tjänster kan uppnå detta genom att använda en teknik som kallas “bridge relaying” eller “broläge”. Det är när en VPN-leverantör driver ett fåtal “bryggreläer” som den inte listar offentligt och endast tillhandahåller till personer som behöver kringgå censur. Dessa bryggreläer fungerar som en hemlig ingångspunkt till VPN-nätverket och kan användas för att kringgå blockeringar av VPN-trafik.

Ett annat sätt som VPN-tjänster använder bryggor på är genom att låta människor ansluta till VPN-nätverket via ett “brygg-VPN”, vilket är när en VPN-anslutning upprättas mellan din enhet och en VPN-server som censorer inte har blockerat. Du kan sedan använda detta brygg-VPN för att ansluta till huvud-VPN-nätverket och få åtkomst till blockerat innehåll.

Hur DPI används för att upptäcka VPN-tjänster

Censorer online och internetanvändare har varit låsta i en kapprustning ända sedan webbens tidigaste dagar. ISPs började blockera portar, så människor började använda icke-standardportar. Repressiva regeringar svarade med att använda DPI för att avgöra vad trafiken gjorde på öppna portar, vilket uppmuntrade människor att använda VPN för att kringgå DPI. I tur utvecklade regeringar mer sofistikerade DPI-tekniker, och så vidare.

DPI är svårt att kringgå eftersom det undersöker hela paketet för att identifiera VPN-trafik på en mängd olika sätt. Dessa inkluderar:

Protokollanalys

Detta undersöker paketens struktur och format för att identifiera vilket protokoll som används och upptäcka om paketen använder ett VPN-protokoll som OpenVPN, PPTP, L2TP eller IKEv2.

Analys av paketstorlek

Ovanliga paketstorlekar kan tyda på att ett VPN används.

Beteendeanalys

DPI kan undersöka nätverkstrafikens beteende över tid för att identifiera mönster som kan tyda på att ett VPN används. Till exempel, om det sker en ovanlig ökning av trafiken till en specifik server eller en plötslig ändring av IP-adressernas plats, kan det tyda på att ett VPN används.

VPN-obfuskering

Som nästa steg i kapprustningen för ett ocensurerat internet har vissa VPN-tjänster utvecklat anpassade VPN-protokoll som är motståndskraftiga mot DPI-tekniker. Vi har till exempel utvecklat Stealth-protokollet för Proton VPN.

Detta nya protokoll kombinerar olika öppen källkod-tekniker, framför allt genom att använda obfuskerad TLS-tunneling över TCP för att se ut som HTTPS på ett sätt som är mer motståndskraftigt mot censur än att bara köra VPN över TCP-port 443.

Lär dig mer om Stealth

Stealth har hjälpt miljontals människor att övervinna VPN-blockeringar på platser som Iran och Ryssland, men vi kan inte garantera dess effektivitet mot avancerade DPI-tekniker.

Slutgiltiga tankar

Deep packet inspection kan vara sofistikerat och utgör en ständig utmaning för vårt arbete med att ge alla tillgång till det öppna internet. Men vi grundade Proton VPN för att möta utmaningar precis som denna, och våra ingenjörer utvecklar ständigt nya verktyg och funktioner mot censur.

Vi är låsta i en kapprustning med några av världens mest repressiva regeringar, och insatserna kan inte vara högre. Repressiva regeringar förlitar sig på att ha strikt kontroll över vilken information deras medborgare kan få åtkomst till, vem de kan prata med och vad de kan säga till sina medmedborgare och resten av världen.

Men vi anser att alla har rätt att få åtkomst till oberoende rapportering, umgås med vem vi vill och kritisera orättvisor och maktmissbruk. Vi kämpar för att se till att alla får åtkomst till dessa grundläggande mänskliga rättigheter.

Proton VPN grundades för att hjälpa till att kämpa för en värld utan censur, vilket är anledningen till att vi erbjuder en 100 % gratis VPN-tjänst. Med Proton VPN kan vem som helst få åtkomst till det fria och öppna internet. Vi är stolta över att aktivister, journalister och vanliga människor runt om i världen vänder sig till Proton VPN i tider av oro.

Om du bor i ett repressivt land finns vår tjänst här för att hjälpa dig. Om du inte gör det kan du stödja vårt uppdrag att göra det ocensurerade internet tillgängligt för alla genom att registrera dig för ett Proton VPN Plus-paket.