Definition DPI (Deep Packet Inspection) Was ist Deep Packet Inspection (DPI)?

Autor / Redakteur: Dipl.-Ing. (FH) Stefan Luber / Peter Schmitz

Deep Packet Inspection ist eine fortschrittliche Paketfilterungs­methode. In einem Netzwerk übertragene Datenpakete lassen sich bis auf Anwendungsebene des ISO/OSI-Schichtenmodells inspizieren und filtern. Im Gegensatz zur Stateful Packet Inspection (SPI) werden nicht nur die Daten-Header, sondern auch die Nutzlast eines Datenpakets analysiert. DPI wird von Unternehmen, Netzbetreibern und staatlichen Einrichtungen eingesetzt.

Deep Packet Inspection (DPI) ist eine Methode moderner Firewalls, Datenpakete bis auf die Anwendungsebene zu inspizieren.
Deep Packet Inspection (DPI) ist eine Methode moderner Firewalls, Datenpakete bis auf die Anwendungsebene zu inspizieren.
(Bild: gemeinfrei / Pixabay )

Das Akronym von Deep Packet Inspection lautet DPI. Es handelt sich um eine fortschrittliche Methode zur Analyse, Überwachung, Filterung und Markierung der in einem Netzwerk übertragenen Datenpakete. Im Gegensatz zu einfacheren Methoden wie Stateful Packet Inspection (SPI) lässt sich nicht nur der Header, sondern das gesamte Datenpaket inklusive der Nutzlast analysieren. Analysen sind bis auf die Anwendungsebene des OSI-Modells möglich. Auf Basis der Prüfung der Datenpakete lassen sich Regeln zur Markierung, Weiterleitung oder Blockierung von Datenpaketen mit bestimmten Inhalten festlegen. DPI kommt als Sicherheitslösung in Unternehmensnetzen zum Einsatz, um die Systeme und Nutzer beispielsweise vor bösartigen Mails, vor Malware, vor DoS-Angriffen oder vor anderen Arten von Cyberbedrohungen zu schützen. Netzbetreiber und Internetprovider verwenden die Technik, um ihren Netzwerkverkehr zu managen und zu optimieren, bestimmte Daten zu priorisieren oder unerwünschten Verkehr auszufiltern. In einigen Staaten wird DPI genutzt, um den Internetverkehr der Bürger zu überwachen oder Inhalte zu zensieren. DPI wird auf Geräten wie Next Generation Firewalls (NGFW) ausgeführt. Zahlreiche große Netzausrüster bieten entsprechende Lösungen an.

Verschlüsselter Datenverkehr behindert die Ausführung von DPI. Allerdings existieren Lösungen, die verschlüsselte Datenverbindungen über das Zwischenschalten von Gateways aufbrechen, die Daten entschlüsseln und eine tiefgehende Analyse der Datenpakete ermöglichen.

Abgrenzung von DPI zu Stateful Packet Inspection (SPI)

Eine weniger leistungsfähige und fortschrittliche Methode zur Überwachung, Analyse und Filterung von Datenpaketen ist Stateful Packet Inspection. Im Gegensatz zu DPI analysiert SPI nur den Header eines Datenpakets. Dort finden sich Informationen wie Ziel- und Absender-IP-Adressen oder verwendete TCP-Ports. SPI kann zwar aktive TCP-Sessions erkennen und die überprüften Pakete den aktiven Verbindungen zuordnen, ist aber nicht in der Lage, die Nutzlast eines Datenpakets näher zu untersuchen. Die Analyse des Datenverkehrs findet bei Stateful Packet Inspection bis auf Ebene drei und vier des OSI-Modells statt.

Vor- und Nachteile von Deep Packet Inspection

Vorteile von Deep Packet Inspection sind:

  • tiefgehende Analyse- und Überwachungsmöglichkeiten des Datenverkehrs bis auf Schicht sieben des OSI-Modells
  • vielschichtige Regelwerke zur Markierung, Klassifizierung, Filterung, Blockierung und Weiterleitung der Datenpakete realisierbar
  • Erkennen von Malware, Spam oder Cyber-Bedrohungen schon vor dem Erreichen des eigentlichen Ziels
  • umfangreiche Management- und Steuerungsmöglichkeiten des Netzwerkverkehrs

Als Nachteile sind aufzuführen:

  • erhöhte Komplexität der Firewall- und Sicherheitslösungen
  • hohe Anforderung an die Performance der DPI-Geräte, starke Belastung der Firewalls
  • höhere Latenzzeiten der Datenpakete aufgrund der umfangreichen Analysen
  • Zensur des Internetverkehrs und Überwachung der Bürger durch totalitäre Regierungen
  • Verletzung des Telekommunikationsgeheimnisses
  • Gefahr der Beeinflussung oder Verletzung der Netzneutralität durch Erkennung und Bevorzugung bestimmten Datenverkehrs

(ID:47614347)

Über den Autor