Deep Packet Inspection (DPI)
Was ist Deep Packet Inspection (DPI)?
Deep Packet Inspection (DPI)Ein Verfahren, das nicht nur Header, sondern die gesamte Nutzlast von Netzwerkpaketen analysiert, um Anwendungen, Inhalte und Bedrohungen zu erkennen.
Deep Packet Inspection (DPI) zerlegt Netzverkehr über die IP- und TCP/UDP-Header hinaus und greift bis in Anwendungs-Protokolle (HTTP, DNS, SMB, TLS-Metadaten usw.), um die tatsächliche Anwendung oder den Inhalt zu identifizieren. Sie ist die Grundlage anwendungsbewusster Firewalls, IPS, NDR, Anti-Malware-Gateways und Traffic-Shaping-Tools und essenziell für die Erkennung von Protokollmissbrauch, Datenexfiltration und signaturbasierten Bedrohungen. Da ein Großteil des heutigen Verkehrs TLS-verschlüsselt ist, wird DPI meist mit TLS-Interception oder metadatenbasierten Techniken (JA3, JA4, Zertifikats-Fingerprints, Verkehrsanalysen) kombiniert. Betreiber müssen Sicherheitsnutzen gegen Datenschutz, Performance und rechtliche Vorgaben abwägen.
● Beispiele
- 01
Ein IPS erkennt ein Cobalt-Strike-Beacon durch Signatur-Match im HTTP-Verkehr.
- 02
Eine NGFW klassifiziert Verkehr per DPI als Zoom oder YouTube, auch wenn er über TCP/443 läuft.
● Häufige Fragen
Was ist Deep Packet Inspection (DPI)?
Ein Verfahren, das nicht nur Header, sondern die gesamte Nutzlast von Netzwerkpaketen analysiert, um Anwendungen, Inhalte und Bedrohungen zu erkennen. Es gehört zur Kategorie Netzwerksicherheit der Cybersicherheit.
Was bedeutet Deep Packet Inspection (DPI)?
Ein Verfahren, das nicht nur Header, sondern die gesamte Nutzlast von Netzwerkpaketen analysiert, um Anwendungen, Inhalte und Bedrohungen zu erkennen.
Wie schützt man sich gegen Deep Packet Inspection (DPI)?
Schutzmaßnahmen gegen Deep Packet Inspection (DPI) kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für Deep Packet Inspection (DPI)?
Übliche alternative Bezeichnungen: DPI, Inhaltsinspektion.