La Deep Packet Inspection (DPI) è una forma di filtraggio dei pacchetti dati che esamina i contenuti dei pacchetti stessi (payload) alla ricerca di contenuti che non siano aderenti a determinati criteri prestabiliti.
La ricerca puà avvenire per identificare ed eventualmente agire su anomalie dei protocolli, intrusioni, propagazione di virus, per ottimizzare il traffico sulle reti o per raccogliere dati statistici sull’uso della stessa.
A differenza della Packet Inspection, gli apparati che implementano DPI non si limitano a controllare l’intestazione dei pacchetti, che contiene informazioni quali gli indirizzi IP mittenti e destinatari e informazioni sul servizio/protocollo di rete utilizzato, ma controllano anche i dati contenuti nei pacchetti.
La DPI opera spaziando dal Layer 2 al Layer 7 del modello OSI, analizzando il payload del pacchetto e identificandone il contenuto in base a delle signatures contenute nei database degli apparati specifici per identificare il tipo e la natura del traffico a prescindere dalle informazione contenute nell’header del pacchetto.
Un pacchetto una volta classificato può essere rediretto, bloccato, taggato (QOS), limitato a livello di banda o semplicemente loggato e analizzato successivamente.
Il filtraggio deep-packet inspection fornisce una visibilità dettagliata su tutto il traffico, comprese quelle applicazioni che usano le Ephemeral Port.
Alcuni sistemi di Advanced Deep Packet Inspection sono in grado di applicare anche la Cross Packet Inspection (XPI) – in modo che vengano rilevate signatures che partono su un determinato pacchetto e continuano su pacchetti successivi. Ovviamente per poter procedere con analisi così sofisticate è necessaria un’elevata capacità di caching e di calcolo per poter assicurare dei throughput di rilievo.
Questa tecnologia viene infatti utilizzata prevalentemente da ISP e opertori di TLC per ottimizzare e priorizzare il traffico sulla propria rete.
Di recente, in seguito al proliferare del traffico P2P ed al conseguente aumento del consumo della banda, nonchè della difficoltà sempre maggiore nell’identificare e limitare tali protocolli, gli apparati di DPI stanno avendo una rapida diffusione anche presso aziende non appartenenti al settore delle TLC.
Queste aziende infatti sentono sempre più frequentemente la necessità innanzitutto di capire cosa sta passando sulla loro rete e in seconda battuta conoscere in quale percentuale i soldi spesi per la connettività servono per servizi realmente utili all’azienda piuttosto che per attività non produttive. Il riferimento al P2P è ovviamente immediato, in quanto data la voracità e aggressività stessa in termini di banda di tali applicazioni, va a limitare gli altri servizi come traffico web e posta.
Ma non solo. L’utilizzo di tali strumenti di analisi e controllo diventa fondamentale nel caso diventi necessario identificare problemi e priorizzare alcuni tipi di servizi come il VoIP rispetto a tutti gli altri.
In questi casi un strumento di ottimizzazione basato sul DPI diventa indispensabile: infatti nel caso il VoIP fra 2 nostre sedi remote avesse dei continui problemi di prestazioni a causa di traffico non ben identificato (ad es. del P2P criptato) non servirebbe a nulla raddoppiare la banda (e probabilmente i costi associati) del link fra le nostre sedi. L’unica soluzione è analizzare e priorizzare il traffico, magari impostando delle politiche di traffic shaping su alcuni protocolli in base all’orario lavorativo e alle necessità produttive.
L’efficienza e diffusione delle tecniche di DPI ha innescato in alcuni ambiti polemiche legate al modo di utilizzo di questa tecnolgia.
Infatti l’utilizzo da parte di alcuni operatori di TLC di sistemi di Deep Packet Inspection, per privilegiare il proprio traffico rispetto a quello di altri operatori o per limitare alcuni tipi traffico degli utenti sulla rete è contestata nel mondo dai sostenitori della Neutralità della rete. In risposta tali operatori sostengono che la DPI sia necessaria per ragioni economiche o per ragioni di sicurezza (per bloccare la trasmissione di malware, virus, trojan, spam) e per proteggere gli utenti. Questa prima visione “repressiva” è stata sostenuta dato che una prima larga diffusione di questi strumenti è avvenuta in Asia dove il controllo del traffico di rete si trasforma anche in un controllo politico.
Per contro in Europa e Stati Uniti il DPI è stato utilizzato per offirire ai clienti differenti classi di servizio in modo da garantire non solo la banda ma l’effettiva fruibilità dei servizi per i quali i clienti stavano pagando, anche per quel traffico più “delicato” come il VoIP o l’IP-TV.
Inoltre a questa tecnologia è legata la sopravvivenza dei piccoli operatori ISP che comprando la banda a caro prezzo, hanno la possibilità di sopravvivere grazie all’ottimizzazione della rete e alla capacità, non di bloccare ma di ripartire il traffico di rete in modo che tutte le esigenze dei loro clienti, dal gaming online al P2P, dal web al voip, siano adeguatamente soddisfatte.
Tramite il DPI è possibile dunque analizzare e ottimizzare. Da qui ne consegue un risparmio in termini economici e un ritorno in termine di soddisfazione da parte dei clienti e degli utenti.