Depende del tipo de DPI que estés hablando. Si es un DPI puramente pasivo (es decir, solo mirando los paquetes), entonces no podrá detectarlo. Si, por el contrario, se trata de DPI, que puede modificar los datos, es posible que pueda detectarlos según el tipo de acceso y conocimiento que tenga.
Algunos ejemplos típicos de cómo los dispositivos DPI activos cambian el tráfico, es decir, qué puede buscar:
- Si transfiere datos específicos (como un malware conocido), la transferencia fallará porque el IDS detectó y bloqueó el posible ataque. Uno podría usar, por ejemplo, el inocente virus de prueba EICAR .
- Se puede detectar DPI mediante la intercepción SSL porque el certificado es emitido por una CA diferente.
- Algunos dispositivos DPI eliminan STARTTLS del tráfico SMTP para que el tráfico no se cifre y se pueda analizar. Tal cambio al tráfico se puede observar en el lado del cliente.
- Algunos dispositivos modifican el encabezado "Accept-Encoding" de una solicitud HTTP para eliminar los esquemas de compresión no compatibles. Esto se puede observar en el lado del servidor o, a veces, también en el lado del cliente porque el contenido no se transfiere comprimido.