Deep Packet Inspection

Aus IT-Forensik Wiki
Version vom 29. Juni 2020, 18:27 Uhr von St191589 (Diskussion | Beiträge) (Die Seite wurde neu angelegt: „'''Deep Packet Inspection''' (DPI) bezeichnet ein Verfahren, das auf Sicherheitsgateways zur Filterung von Netzwerkpaketen zum Einsatz kommt. Anders als bei de…“)
(Unterschied) ← Nächstältere Version | Aktuelle Version (Unterschied) | Nächstjüngere Version → (Unterschied)

Deep Packet Inspection (DPI) bezeichnet ein Verfahren, das auf Sicherheitsgateways zur Filterung von Netzwerkpaketen zum Einsatz kommt. Anders als bei der klassischen Paketfilterung, bei der ausschließlich Headerinformationen der ISO/OSI-Schichten 2 (Data Link), 3 (Network) und 4 (Transport) herangezogen werden, um darüber zu entscheiden, ob ein Netzwerkpaket weitergeleitet oder verworfen wird, werden bei der Deep Packet Inspection auch die Nutzdaten (Payload) von Paketen als Entscheidungskriterium herangezogen.

Da die Nutzdaten anwendungsspezifisch und deren korrekte Interpretation vor allem in den ISO/OSI-Schichten 5 (Session) bis 7 (Application) Sinn ergibt, ist das Verfahren besonders für Application Layer Gateways maßgeblich. Der größte Vorteil der Deep Packet Inspection ist das anwendungsspezifische Treffen von Filterentscheidungen. So kann bei der Übertragung von TLS-Handshake-Paketen gezielt nach der Protokollversion gefiltert werden, um z.B. veraltete und risikobehaftete TLS-Versionen an der Übertragung zu hindern. Da für die Deep Packet Inspection der Datenstrom als Folge von Fragmentierung und Segmentierung in manchen Fällen wieder rekonstruiert werden muss und die Filterlogik auf Anwendungsebene vergleichsweise komplex ist, steigt der Rechenaufwand, was wiederum zu einer verlangsamten Datenübertragung führt.