La Deep Packet Inspection (DPI) è una forma di filtraggio dei pacchetti dati che

esamina i contenuti dei pacchetti stessi (payload) alla ricerca di contenuti che non
siano aderenti a determinati criteri prestabiliti.

La ricerca puà avvenire per identificare ed eventualmente agire su anomalie dei

protocolli, intrusioni, propagazione di virus, per ottimizzare il traffico sulle reti o per
raccogliere dati statistici sull'uso della stessa.

A differenza della Packet Inspection, gli apparati che implementano DPI non si limitano
a controllare l'intestazione dei pacchetti, che contiene informazioni quali gli indirizzi IP
mittenti e destinatari e informazioni sul servizio/protocollo di rete utilizzato, ma
controllano anche i dati contenuti nei pacchetti.

La DPI opera spaziando dal Layer 2 al Layer 7 del modello OSI, analizzando il payload
del pacchetto e identificandone il contenuto in base a delle signatures contenute nei
database degli apparati specifici per identificare il tipo e la natura del traffico a
prescindere dalle informazione contenute nell'header del pacchetto.

Un pacchetto una volta classificato può essere rediretto, bloccato, taggato (QOS),
limitato a livello di banda o semplicemente loggato e analizzato successivamente.

Il filtraggio deep-packet inspection fornisce una visibilità dettagliata su tutto il traffico,

comprese quelle applicazioni che usano le Ephemeral Port.

Alcuni sistemi di Advanced Deep Packet Inspection sono in grado di applicare anche la
Cross Packet Inspection (XPI) - in modo che vengano rilevate signatures che
partono su un determinato pacchetto e continuano su pacchetti successivi.
Ovviamente per poter procedere con analisi così sofisticate è necessaria un'elevata
capacità di caching e di calcolo per poter assicurare dei throughput di rilievo.

Questa tecnologia viene infatti utilizzata prevalentemente da ISP e opertori di TLC per
ottimizzare e priorizzare il traffico sulla propria rete.
Di recente, in seguito al proliferare del traffico P2P ed al conseguente aumento del
consumo della banda, nonchè della difficoltà sempre maggiore nell'identificare e
limitare tali protocolli, gli apparati di DPI stanno avendo una rapida diffusione anche
presso aziende non appartenenti al settore delle TLC.

Queste aziende infatti sentono sempre più frequentemente la necessità innanzitutto di

capire cosa sta passando sulla loro rete e in seconda battuta conoscere in quale
percentuale i soldi spesi per la connettività servono per servizi realmente utili
all'azienda piuttosto che per attività non produttive. Il riferimento al P2P è ovviamente
immediato, in quanto data la voracità e aggressività stessa in termini di banda di tali
applicazioni, va a limitare gli altri servizi come traffico web e posta.
Ma non solo. L'utilizzo di tali strumenti di analisi e controllo diventa fondamentale nel
caso diventi necessario identificare problemi e priorizzare alcuni tipi di servizi come il
VoIP rispetto a tutti gli altri.

In questi casi un strumento di ottimizzazione basato sul DPI diventa indispensabile:

infatti nel caso il VoIP fra 2 nostre sedi remote avesse dei continui problemi di
prestazioni a causa di traffico non ben identificato (ad es. del P2P criptato) non
servirebbe a nulla raddoppiare la banda (e probabilmente i costi associati) del link fra
le nostre sedi. L'unica soluzione è analizzare e priorizzare il traffico, magari
impostando delle politiche di traffic shaping su alcuni protocolli in base all'orario
lavorativo e alle necessità produttive.
L'efficienza e diffusione delle tecniche di DPI ha innescato in alcuni ambiti polemiche
legate al modo di utilizzo di questa tecnolgia.
Infatti l'utilizzo da parte di alcuni operatori di TLC di sistemi di Deep Packet Inspection,
per privilegiare il proprio traffico rispetto a quello di altri operatori o per limitare alcuni
tipi traffico degli utenti sulla rete è contestata nel mondo dai sostenitori della
Neutralità della rete. In risposta tali operatori sostengono che la DPI sia necessaria per
ragioni economiche o per ragioni di sicurezza (per bloccare la trasmissione di malware,
virus, trojan, spam) e per proteggere gli utenti. Questa prima visione "repressiva" è
stata sostenuta dato che una prima larga diffusione di questi strumenti è avvenuta in
Asia dove il controllo del traffico di rete si trasforma anche in un controllo politico.

Per contro in Europa e Stati Uniti il DPI è stato utilizzato per offirire ai clienti differenti
classi di servizio in modo da garantire non solo la banda ma l'effettiva fruibilità dei
servizi per i quali i clienti stavano pagando, anche per quel traffico più "delicato" come
il VoIP o l'IP-TV.

Inoltre a questa tecnologia è legata la sopravvivenza dei piccoli operatori ISP che
comprando la banda a caro prezzo, hanno la possibilità di sopravvivere grazie
all'ottimizzazione della rete e alla capacità, non di bloccare ma di ripartire il traffico di
rete in modo che tutte le esigenze dei loro clienti, dal gaming online al P2P, dal web al
voip, siano adeguatamente soddisfatte.

Tramite il DPI è possibile dunque analizzare e ottimizzare. Da qui ne consegue un

risparmio in termini economici e un ritorno in termine di soddisfazione da parte dei
clienti e degli utenti.

Autore: Fabrizio Rosina

Per ulteriore documentazione e articoli: www.gzone.it