Derin paket teftişi ile ilgili pek çok yönü ele alan özgün bir araştırmamın kısmi sunumu (TR). A partial presentation of my original work about deep packet inspection with its several aspects (EN).
2. Derin Paket Teftişi
• Bilgisayar ağı paketlerinin başlık ve yük
kısımları dâhil tamamının çözümlenmesi ve
paket ile ilgili uygulamanın belirlenmesi için
birden çok paketin çaprazlama bilgilerinin
ilintilendirilmesidir.
• Sığ Paket Teftişi: Sadece paket başlığı teftiş
edilir.
Telif Hakkı (C) 2014 Gürol CANBEK
Shutterstock
3. Mektupların İçlerine Bakmak
• Normalde zarfların üzerindeki bilgiler, bir
mektubun alıcıya ulaşması için yeterlidir.
– Paketlerdeki başlık bilgileri de buna benzer.
• Ancak paketin asıl yükünü (faydalı – fena)
görmek -yani derin paket teftişi- mektupların
içine bakmaya benzetilebilir.
Telif Hakkı (C) 2014 Gürol CANBEK
etsy.com
4. Ağ Aygıtı
??
??
??
??
??
??
??
??
Ağ Görünürlüğü
• Ağın iç yüzü belirsizdir
• DPT, bu iç yüzle alâkalı
anlayışı kazandırarak
daha fazla ağ
görünürlüğünün elde
edilmesini sağlar
HTTP
SSL
FTP
Sağnak
VoIP
Solucan
IPTV
Virüs
Hangi
kullanıcı?
Hangi
uygulama?
Hangi
cihaz?
Çizim: Telif Hakkı (C) 2014 Gürol CANBEK
5. “Steroid’e karşı PRISM”
• Rusya’nın Sochi şehrinde yapılan 2014 Kış
Olimpiyatlarında Rus Federal Güvenlik Bürosu
derin paket teftişine dayalı ‘Sorm’ adını
verdikleri dinleme ile tüm atlet ve
ziyaretçilerin İnternet tabanlı trafiği, anahtar
sözcük saptamasına göre dinlenmiş.
Telif Hakkı (C) 2014 Gürol CANBEK
The Guardian
7. DPT Kullanabilecek İş Kolları
Veri Yoğun Uygulamalar
Toplum Ortamı
Çoklu Ortam Bilgi
Mobil Çağ
Devlet İHS* Kurum Eğitim
Telif Hakkı (C) 2014 Gürol CANBEK
*İHS, İnternet Hizmet Sağlayıcı
8. Farkı ne?
• İçerik süzme genellikle URL
seviyesinde gerçekleştirilir.
• İstenmeyen posta (sağnak)
önleyiciler ise içeriği inceler
ancak sadece e-posta
protokolleri için geçerli ve
genelde isteğe bağlıdır.
• Alametifarikası Wireshark eski
namıyla Ethereal
– Ağ koklayıcı
– 1998’de 20 bin satır koddan
oluşurken;
– 15 yılda 2,3 milyon satıra çıkmıştır.
2500000
2000000
1500000
1000000
500000
0
Satır Sayısı
1998 2013
Telif Hakkı (C) 2014 Gürol CANBEK
10. “port = uygulama” artık geçerli değil.
• Olağan olmayan port’ta, bilindik protokoller
– Mesela, 80 dışında HTTP saptama
• Malum port’ta, olağan dışı protokoller
– Mesela, 80’de Skype trafiği
1024’den 65535’e...
Telif Hakkı (C) 2014 Gürol CANBEK
* “Skype”, associated trademarks and logos and the “S” logo are trademarks of Skype.
11. İkinci Hayat
if ((ntohs(packet->udp->dest) == 12035 || ntohs(packet->udp->dest) == 12036 ||
(ntohs(packet->udp->dest) >= 13000 && ntohs(packet->udp->dest) <= 13050))
//port
&& packet->payload_packet_len > 6 // min length with no extra header,
high frequency and 1 byte message body
&& get_u8(packet->payload, 0) == 0x40// reliable packet
&& ntohl(get_u32(packet->payload, 1)) == 0x00000001 // sequence
number equals 1
//ntohl (get_u32 (packet->payload, 5)) == 0x00FFFF00 // no extra
header, low frequency message - can't use, message may have higher frequency
) {
IPQ_LOG(IPOQUE_PROTOCOL_SECONDLIFE, ipoque_struct,
IPQ_LOG_DEBUG, "Second Life detected.n");
ipoque_int_secondlife_add_connection(ipoque_struct);
return; Telif Hakkı (C) 2014 Gürol CANBEK
Second Life and the Second Life Eye-in-Hand logo are trademarks of Linden Research, Inc.
12. DPT K2-K7 Katmanlarda Yapılabilir
K7 Uygulama Veri HTTP, FTP, DNS, DHCP, IMAP, IRC, LDAP,
MIME, HTTPS, SSH, SIP, SNMP, NTP, Telnet
K6 Sunum Veri Şifreleme, ASCII, EBCDIC, TIFF, GIF, PICT,
JPEG, MPEG, MIDI
K5 Oturum Veri NFS, RPC, SQL
6001/tcp K4 Nakliye Parça
(Segment)
TCP, UDP, SPX, AH, ESP, ICMP
66.35.250.150 K3 Ağ Paket IP, IPv6 IPSec, IPX, AppleTalk DDP
00:E0:81:10:57:E3 K2 Veri
Bağlantı
Çerçeve
(Frame)
Ethernet, PPP, Frame Relay, FDDI, ATM
K1 Fiziksel
Telif Hakkı (C) 2014 Gürol CANBEK
13. Çerçeve içinde paket, içinde parça,
içinde veri, içinde veri, ...
Ethernet
Kaynak MAC
Hedef MAC
Ether türü
CRC
IP
Kaynak IP
Adresi
Hedef IP Adresi
Protokol
TCP
Kaynak Port
No
Hedef Port
No
Sıra No
Veri
•Veri
•Veri
Telif Hakkı (C) 2014 Gürol CANBEK
14. Gerçekleştirme: Adımlar...
• Geleneksel K2-K4 çerçeve, paket ve parça başlık bilgisi çözümlemesi
• Tüm ağ protokolleri ve yüklerinin çözümlemesi
• Durağan, devingen ve pazarlıklı protokol ve port alanları ile
uygulamaların belirlenmesi
• Standart TCP el sıkışmasının ötesinde oturum kurulumu sırasında
çoklu paketlerin sorgulanabilmesi
• Bağlantı takibi
• Yaygın uygulamaların tanımlanması için bir imza veritabanı
• Uygulama ve tanımlanan protokole dayalı trafiğin ayrıştırılabilmesi
ve tüm akışın veya akışın diğer uygulamaları alakalı akışın bir
parçasının sağlanması
• Birden fazla paket içinde verilerin incelenmesi
• Hatta (etkin) ve hat dışı (edilgen) yapılandırma
Telif Hakkı (C) 2014 Gürol CANBEK
15. Başa Çıkılması Gereken Noktalar...
• Şifreli Protokoller
• Hız, bant genişliği
– Hat hızında tam çözümleme (sayma ve istatistik)
– Yüksek kapasitede donanım
• Ağ g/ç sanallaştırmalı, çok çekirdekli Merkezi İşlem Birimi
• Sürekli değişen ve dönüşen protokol, uygulama,
hizmet ve tehdit kümesini kotaracak esneklik ve
programlama kabiliyeti
• Yasal konular Telif Hakkı (C) 2014 Gürol CANBEK
16. ITU Standardı
• Yeni nesil ağlarda derin paket
teftişi için gereksinimler, 2012
Telif Hakkı (C) 2014 Gürol CANBEK
17. Telif Hakkı (C) 2014 Gürol CANBEK
Milli Gereksinim
• Avrupa Birliği düzenlemesi (no. 1232/2011)
– BT gözetleme sistemlerinin Arjantin, Çin,
Hırvatistan, Hindistan, Rusya, Güney Afrika, Güney
Kore, Türkiye ve Ukrayna’ya ihracı yasaktır.
Editor's Notes
Shutterstock
# DPI Açık Sistemler üzerinde bulunan bir uygulamayla ilgili verinin toplanması, gözlemlenmesi, analiz edilmesi ve / ya da depolanmasıdır.
# DPI Teknolojileri akan trafiğin gerçek içeriğini analiz etme yeteneğine sahiptir.
# DPI Şebeke operatörlerine hem başlık/üst bilgi hem de IP paketlerinin veri yükünü tarama olanağı sağlar.
# DPI Şebeke operatörünün, Gerçek zamanlı olarak ağ üzerinden geçen datagramları analiz etmesini ve veri yüklerine göre aralarında ayrım yapmasını sağlar.
# DPI Ağ boyunca dolaşan paketlerin içeriklerinin denetimini içeren bilgisayar ağ filtreleme tekniğidir.
# DPI Bazen “tam paket incelemesi” olarak da adlandırılır.
http://www.cyber-warrior.org/forum/derin-veri-analizi-dpi-nedir-_483621,0.cwx
On the other hand, the data gleaned from deep packet inspection can be used for darker purposes. ISPs in China use deep packet inspection for censorship -- scanning for certain keywords and blocking access to particular websites. Back in 2008, a US company called Phorm attempted to launch an ad-targeting system in the UK which would intercept users web surfing habits and datamine them for information to sell to advertisers.
Hangi işler kötü ya da iyi görmek için https://www.youtube.com/watch?v=OFPHUv1LfS4
It caused a storm of controversy, eventually culminating in the European Commission beginning legal action against the British government for permitting the service to operate. The case was only closed again in January 2012, after the UK amended its laws to include a sanction on unlawful interception of communications.
Many ISPs also use the technology to lower the priority of traffic from filesharing networks at peak times (known as traffic shaping), and the creative industries have called for it to be used as a weapon in their crusade against filesharing, using the same filters currently used to block child pornography to stop consumers watching questionably-obtained TV shows.
There are two major issues with deep packet inspection, however. The first is that it might not be legal, and the second is that it's trivial to circumvent.
The Regulation of Investigatory Powers Act 2000 (which is the act that was amended following the European Commission's legal action) clearly states that the interception of telecommunications is an offence if transmissions are monitored "as to make some or all of the contents of the communication available, while being transmitted, to a person other than the sender or intended recipient of the communication". Given that the uniqueness of the information gathered through deep packet inspection is enough to build up a profile of usage data, one could argue that this constitutes "interception" and is therefore a criminal offence. However, the language in the act is broad and so far, there's little precedent on either side.
As for the second problem, there are hundreds of services on the web offering encryption for your communications. It's far harder for deep packet inspection systems to dig into secured communications, so if you can create a secure "tunnel" between your computer and a server outside your ISPs network (known as a VPN, in this case), then any data that you send through will be much more difficult (read: not really worth the hassle, unless you're doing something seriously illegal) for your ISP to access.
Ultimately, there are both perfectly legitimate and very troublesome applications of deep packet inspection technology. It makes your Skype calls and YouTube videos play smoothly, and stops your grandparents getting a virus on their laptop, but it can also be used by ISPs selling your data to advertising companies or to block you from accessing certain, politically-troublesome, websites.