A inspeção profunda de pacotes (Deep Packet Inspection : DPI) é um método de examinar pacotes de dados que passam por uma rede para identificar o tipo de tráfego. A inspeção profunda de pacotes de dados pode gerar preocupações com a privacidade e a proteção de dados pessoais. É importante estar ciente dessas práticas e tomar as medidas necessárias para proteger as informações pessoais on-line.

Devo me preocupar com a inspeção profunda de pacotes de dados?

O que é um pacote de dados?

Um pacote de dados é uma unidade de informação transmitida em uma rede de computadores. Ele contém os dados a serem transmitidos e informações sobre seu destino.
Quando os dados são enviados por uma rede, eles são divididos em pequenas partes. Essas pequenas porções são chamadas de pacotes de dados. Todos os dados transmitidos pela Internet são enviados em pacotes.

O protocolo da Internet usa pacotes de dados para garantir que as informações enviadas cheguem ao destino correto. Quando todos os pacotes que compõem um conjunto de dados, como uma imagem, um vídeo ou o conteúdo de um e-mail, chegam ao seu destino, eles são remontados.

Os dados reais contidos em um pacote são chamados de carga útil. Cada pacote também tem um cabeçalho que contém metadados. Sua função é indicar determinadas informações importantes, como o destino e a origem.

Essa técnica é comumente usada em firewalls, sistemas de detecção de intrusão e outros sistemas de segurança de rede.

Infelizmente, as mesmas técnicas de análise usadas para proteger as redes privadas também podem ser desviadas para fins de vigilância e censura.

O uso de uma VPN impede esse tipo de análise, pois os pacotes são criptografados. Mas o próprio protocolo VPN pode ser identificado por IPR. É por isso que alguns sites e serviços on-line detectam que você está usando uma VPN e bloqueiam seu acesso.

Como funciona a análise de pacotes?

A primeira etapa da análise de pacotes é obter conjuntos de pacotes para análise. Isso pode ser feito de várias maneiras, mas o espelhamento de portas, a escuta de redes físicas e o sniffing de pacotes WiFi estão entre as práticas mais comuns.

Quando uma organização tem acesso aos pacotes, ela pode analisá-los de várias maneiras.

Análise simples de pacotes

A maneira mais simples (e mais barata) de uma organização bloquear o tráfego de rede é examinar as informações contidas nos cabeçalhos dos pacotes. As organizações podem bloquear os pacotes com base nas portas que eles usam ou no endereço IP de destino.

Inspeção aprofundada de pacotes

O problema da análise simples de pacotes para as organizações que desejam censurar a Internet é que ela é fácil de ser contornada. Uma VPN simplesmente altera o endereço IP de destino e/ou os números das portas usadas. A inspeção profunda de pacotes analisa o pacote inteiro, inclusive a carga útil.

Como funciona a inspeção profunda de pacotes?

As técnicas de DPI incluem :

Detecção baseada em assinatura

Compara os pacotes com um banco de dados de padrões de tráfego maliciosos ou indesejados conhecidos.

Detecção de anomalias

Procura padrões ou comportamentos que se desviam do tráfego normal da rede. Os usuários do Tor são visados em muitos países.

Análise de protocolo

Examina a estrutura e o formato dos pacotes para identificar o protocolo usado.

Inspeção de conteúdo

Examina os dados reais contidos em cargas úteis, como o texto de um e-mail, para identificar e bloquear palavras-chave ou frases específicas.

Análise comportamental

Examinar o comportamento do tráfego de rede ao longo do tempo, por exemplo, a frequência de conexões a um determinado servidor ou a quantidade de dados transferidos, para identificar e bloquear padrões incomuns de atividade.

Inspeção aprofundada de dados e censura

Alguns países desejam limitar o acesso às informações na Internet. Cortar a Internet não é uma solução viável devido à dependência econômica desses países em relação à rede.

A solução para esses países é disponibilizar a Internet, mas bloquear sites e aplicativos aos quais eles não querem que seus cidadãos tenham acesso. É muito simples de implementar. Tudo o que é necessário é que os provedores de serviços de Internet (ISPs) bloqueiem as conexões com determinados endereços IP.

O problema com essa abordagem é que dispositivos como as redes privadas virtuais facilitam que os usuários da Internet contornem esses bloqueios. Os usuários de VPN podem ser detectados e bloqueados por meio de uma inspeção detalhada dos pacotes de dados.

Como o DPI é usado para detectar usuários de VPN?

Os censores on-line e os usuários da Internet têm jogado um jogo de gato e rato desde os primeiros dias da Internet. Inicialmente, os ISPs bloquearam determinadas portas, de modo que os usuários da Internet começaram a usar portas fora do padrão.

Os governos repressores responderam usando a inspeção de pacotes para determinar o que o tráfego estava fazendo nas portas abertas, o que incentivou as pessoas a usar VPNs para contornar o problema.

Por sua vez, os censores desenvolveram técnicas de DPI mais sofisticadas, e assim por diante.

A inspeção profunda de pacotes de dados é difícil de contornar porque examina todo o elemento para identificar o tráfego da VPN de várias maneiras. Esses métodos incluem:

Análise de protocolo

Examina a estrutura e o formato dos pacotes para identificar o protocolo de VPN usado e detectar se os pacotes estão usando um protocolo de VPN, como OpenVPN, WireGuard®, PPTP, L2TP ou IKEv2.

Análise do tamanho do pacote

Tamanhos incomuns de pacotes podem indicar o uso de uma rede privada virtual.

Análise comportamental

O DPI pode examinar o comportamento do tráfego de rede ao longo do tempo para identificar padrões que possam indicar o uso de software de VPN. Por exemplo, um pico incomum no tráfego para um servidor específico ou uma mudança repentina no local dos endereços IP pode levantar uma bandeira vermelha.

As VPNs se adaptam e lutam para garantir sua função

Uma VPN cria uma conexão criptografada entre seu dispositivo e um servidor seguro. Em seguida, o aplicativo VPN roteia todas as conexões do seu dispositivo por meio de um túnel VPN. Isso inclui solicitações de DNS, que são tratadas pelo provedor de VPN e não pelo seu ISP.

Como os dados enviados são criptografados com segurança, seu ISP (e, por extensão, qualquer terceiro) não pode ver o conteúdo de seus dados ou os sites e serviços que você visita. Tudo o que eles podem ver é o endereço IP do servidor VPN ao qual você se conectou.

Ocasionalmente, determinados endereços IP do servidor VPN são detectados e colocados em uma lista negra, mas tenha certeza de que isso nunca dura. Os provedores de VPN os alteram regularmente.

O que um ISP não pode ver, ele não pode bloquear.

As melhores VPNs desenvolvem diferentes maneiras de mascarar seu uso. Isso inclui o uso de protocolos furtivos, servidores ocultos, conexões MultiHop (a criação de várias pontes), o uso de portas diferentes etc.

Embora os protocolos de VPN usem as portas programadas por padrão, a maioria deles pode ser executada em praticamente qualquer porta (com exceção das portas reservadas para funções específicas).

Para concluir: devemos realmente nos preocupar com a inspeção profunda de pacotes de dados?

A resposta é sim, na medida em que ela prejudica a privacidade digital e estamos vendo cada vez mais abusos ligados à vigilância e à censura em massa em todo o mundo.

Lucas Ribeiro Almeida

Expert em VPN e segurança digital, revelando os segredos das redes privadas virtuais para uma navegação segura e privada.