深度包检测如何工作？

深度包检测（DPI）和数据包捕获技术在过去十年彻底改变了网络监视，它们让实时抓取网络流量信息成为可能。DPI可以限制用户在网络上的行为，也可以记录下与所设规则相匹配的网络流量——规则可以是基于用户访问的网址，网络流量类型，或流量内容中的关键词和模式。要理解DPI的工作，必须先理解数据如何在网络中传输。 根据开放式通信系统互联(OSI)参考模型的定义，计算机网络体系结构分为1 物理层、2 数据链路层、3 网络层、4 传输层、5 会话层、6 表示层、7 应用层。网络路由器通常只是扫一下网络层（IP信息就在网络层），判断数据包中继路径；网络防火墙则需要更深入的了解数据，决定是否允许它通过网络；数据包过滤防火墙通常是检查第三层和第四层；应用层防火墙出现于1990年代，它进一步深入到网络流量中，根据数据类型为流量设置规则。应用层防火墙是第一种真正的深度包检测设备，它在数据包中检查应用协议，搜索数据中的关键词或模式。DPI设备根据用途而设置在网络中的不同位置。当网络数据包经过DPI“状态”防火墙，它会出现短暂延迟，因为数据包将被接受检查。而另一些深入分析内容的DPI设备则趋向于被动收集数据，当数据包通过一个网络检查点后，如果发现异常它们会向防火墙或其它安全设备发送指令。串联式DPI系统的优势是当在缓存中滞留数据包后，它们可以对数据包重新进行处理，如拦截内容，重新打包数据，移除原有数据伪造新数据——例如在网页中植入广告或成人内容，或使用恶意DNS服务器劫持网络请求到另一个服务器——它甚至还可以解密SSL内容，这本质上是执行对终端用户的中间人攻击。一家名叫NebuAd的公司曾试图向ISP兜售基于DPI的广告植入，包括在用户浏览器cookies中植入JavaScript代码发布针对性广告。它在引起美国国会关注后破产。