Inspección profunda de paquetes: ¿Algún ejemplo real de mitigación de amenazas a través de DPI? [cerrado]

No estoy seguro de si este es el riesgo que tenía en mente, pero puedo pensar en dos amenazas en las que DPI podría ser útil. En general, puede usar DPI para filtrar los datos de salida y ver si coinciden con un cierto criterio o firma. Esto ayudaría a prevenir las fugas de información (si tiene un patrón específico de datos que no quiere que salga) o evitar que un usuario interno descargue contenido específico (pornografía infantil, malware, etc.) En consecuencia, se puede usar el DPI para analizar el tráfico en busca de contenido sospechoso (por ejemplo, la entrada que contiene un código de shell).

Ahora la pregunta que se debe hacer es, ¿cuál es la diferencia entre el DPI y el IPS? Al menos en el producto de Juniper, el DPI se considera una versión ligera de IPS donde IPS ejecuta el paquete en una base de datos de firmas mucho más grande.

No sé de un caso de uso práctico, pero leí un artículo de investigación que trataba de evadir IDS. Dice que supongamos que queremos enviar paquetes que constituyan "ATAQUE" a un punto final de la víctima. Sé que la víctima está al menos a 1 o 2 saltos de IDS utilizando Traceroute. Entonces asumamos que IDS está a X saltos de distancia y el punto final de la víctima es X + 1 saltos de distancia. Puedo enviar los paquetes A, T, T con TTL X + 1 y X, Y, Z con TTL X para confundir los IDS y luego los paquetes A, C y K con nuevamente TTL X + 1. Así que aquí IDS entenderá el tráfico como "ATTXYZACK" e lo ignorará ya que no coincide con la firma en IDS, pero el punto final de la víctima recibirá "ATTACK" entregado.

Ahora considere este método de ataque usando cifrado, en ese caso, el tipo de DPI con capacidad de HIDS puede ser realmente útil.