|
ディープ・パケット・インスペクション(、DPI)はコンピュータネットワークのパケットフィルタリングの一種で、インスペクションポイントをパケットが通過する際にパケットのデータ部(と場合によってはヘッダ部)を検査することをいう。プロトコルに準拠しているかとか、コンピュータウイルスではないか、スパムではないか、侵入ではないか、あるいは何らかの基準に照らしてそのパケットを通過させるかを判断したり、それとも別の宛先に転送するかを判断したり、統計情報を収集したりといった目的で行われる。IPパケットには複数のヘッダ部があるが、IPネットワーク機器は通常、先頭のヘッダ(IPヘッダ)しか必要としない。しかし、第2のヘッダ(IPの上位層であるTCPやUDPのヘッダ)を調べることもあり、これをステートフル・パケット・インスペクションと呼び、ディープではない浅いパケット・インスペクションの一種とされる。 DPI用にパケットを取得する方法はいくつかある。を使うのが一般的だが、光スプリッタを使う方法もある。 DPI(とそれによるフィルタリング)は、高度なネットワーク管理、ユーザーサービス、情報セキュリティを可能にし、他にもインターネットデータマイニング、傍受、ネット検閲なども可能にする。DPIはインターネットの管理に長年使われてきたが、ネットワーク中立性の信奉者はこの技術が不当に使われインターネットのオープン性を損なうようになるのではないかと懸念している。 DPIは一般企業、サービスプロバイダ、政府などが様々な用途で使っている。 == 背景 == DPIは侵入検知システム (IDS) と侵入防止システム (IPS) の機能を従来からあると結合する。この組合せにより、IDS/IPSもステートフル・ファイアウォールも単独では検出できないある種の攻撃を検出できるようになる。ステートフル・ファイアウォールはパケットの流れの最初と最後を認識できる(セッション開始と終了を把握できる)が、途中でアプリケーションの想定外の事態が起きても把握できない。一方IDSは侵入を検出できるが、そういった攻撃をブロックする能力はほとんどない。DPIはウィルスやワームの攻撃をネットワークの速度で防ぐのに使われている。具体的には、バッファオーバーランを利用した攻撃、DoS攻撃、巧妙な侵入、ごく一部の1個のパケットで納まるワームなどに効果がある。 DPIを備えた機器はOSI参照モデルの第2層と第3層以上を調べる能力がある。中には第2層から第7層まで全部を調べるものもある。これにはヘッダ部やプロトコルのデータ構造だけでなく、ペイロードも含まれる。DPI機能が使われるのは、機器がOSI参照モデルの第3層より上の情報に基づいて何らかのアクションをとる場合である。DPIを使えば、ヘッダによるパケットの分類以上のことができ、データ部から抽出した情報をシグネチャデータベースと照合することでさらに細かくトラフィックを分類でき、それによってきめ細かい制御が可能となる。DPIによる検査を回避したい場合、終端間で暗号化してパケットをやり取りすることがよく行われている。 DPIによるパケットの分類に基づき、パケットをリダイレクトしたり、タグ付け(QoSのための優先順位付け)したり、ブロックしたり、転送レートを制限したり、指定されたエージェントに報告したりする。例えばHTTPのエラーの種類を検知して、分析のために転送したりといったことが可能である。多くのDPI機器はパケット単位の検査に留まらず、パケットの流れ(セッション)を把握でき、蓄積された情報に基づいた動作の制御が可能である。 抄文引用元・出典: フリー百科事典『 ウィキペディア(Wikipedia)』 ■ウィキペディアで「ディープ・パケット・インスペクション(、DPI)はコンピュータネットワークのパケットフィルタリングの一種で、インスペクションポイントをパケットが通過する際にパケットのデータ部(と場合によってはヘッダ部)を検査することをいう。プロトコルに準拠しているかとか、コンピュータウイルスではないか、スパムではないか、侵入ではないか、あるいは何らかの基準に照らしてそのパケットを通過させるかを判断したり、それとも別の宛先に転送するかを判断したり、統計情報を収集したりといった目的で行われる。IPパケットには複数のヘッダ部があるが、IPネットワーク機器は通常、先頭のヘッダ(IPヘッダ)しか必要としない。しかし、第2のヘッダ(IPの上位層であるTCPやUDPのヘッダ)を調べることもあり、これをステートフル・パケット・インスペクションと呼び、ディープではない浅いパケット・インスペクションの一種とされる。DPI用にパケットを取得する方法はいくつかある。を使うのが一般的だが、光スプリッタを使う方法もある。DPI(とそれによるフィルタリング)は、高度なネットワーク管理、ユーザーサービス、情報セキュリティを可能にし、他にもインターネットデータマイニング、傍受、ネット検閲なども可能にする。DPIはインターネットの管理に長年使われてきたが、ネットワーク中立性の信奉者はこの技術が不当に使われインターネットのオープン性を損なうようになるのではないかと懸念している。DPIは一般企業、サービスプロバイダ、政府などが様々な用途で使っている。== 背景 ==DPIは侵入検知システム (IDS) と侵入防止システム (IPS) の機能を従来からあると結合する。この組合せにより、IDS/IPSもステートフル・ファイアウォールも単独では検出できないある種の攻撃を検出できるようになる。ステートフル・ファイアウォールはパケットの流れの最初と最後を認識できる(セッション開始と終了を把握できる)が、途中でアプリケーションの想定外の事態が起きても把握できない。一方IDSは侵入を検出できるが、そういった攻撃をブロックする能力はほとんどない。DPIはウィルスやワームの攻撃をネットワークの速度で防ぐのに使われている。具体的には、バッファオーバーランを利用した攻撃、DoS攻撃、巧妙な侵入、ごく一部の1個のパケットで納まるワームなどに効果がある。DPIを備えた機器はOSI参照モデルの第2層と第3層以上を調べる能力がある。中には第2層から第7層まで全部を調べるものもある。これにはヘッダ部やプロトコルのデータ構造だけでなく、ペイロードも含まれる。DPI機能が使われるのは、機器がOSI参照モデルの第3層より上の情報に基づいて何らかのアクションをとる場合である。DPIを使えば、ヘッダによるパケットの分類以上のことができ、データ部から抽出した情報をシグネチャデータベースと照合することでさらに細かくトラフィックを分類でき、それによってきめ細かい制御が可能となる。DPIによる検査を回避したい場合、終端間で暗号化してパケットをやり取りすることがよく行われている。DPIによるパケットの分類に基づき、パケットをリダイレクトしたり、タグ付け(QoSのための優先順位付け)したり、ブロックしたり、転送レートを制限したり、指定されたエージェントに報告したりする。例えばHTTPのエラーの種類を検知して、分析のために転送したりといったことが可能である。多くのDPI機器はパケット単位の検査に留まらず、パケットの流れ(セッション)を把握でき、蓄積された情報に基づいた動作の制御が可能である。」の詳細全文を読む スポンサード リンク
|