我的ISP使用深度数据包检查；他们能观察到什么？

#1 楼

深度数据包检测（也称为完整数据包检测），仅表示它们正在分析您的所有流量，而不是仅获取连接信息，例如您要连接的IP，端口号，协议以及有关该端口的其他一些详细信息。网络连接。

通常与收集NetFlow信息（主要收集上面列出的信息）形成对比。

深度数据包检查为您的提供商提供了许多有关您的连接和连接的信息。互联网使用习惯。在某些情况下，将捕获SMTP电子邮件之类的全部内容。

HTTPS会对连接进行加密，但是您的浏览器必须发出主要通过UDP发送的DNS请求，这样数据才能被收集的所有未加密链接或未加密的cookie（如果没有https都会被错误地发送）也将被收集。这些将要收集的额外信息可能非常能说明您正在查看的内容类型。

大多数人最关心的是数据聚合，通过收集这些信息，数据科学家可以创建一个指纹以供您使用Internet，然后与过去的活动或其他位置的活动相关联（当您在工作或度假时）。同样，您的服务提供商可能选择将其出售给任何数量的组织（可能包括犯罪组织），然后这些组织可能会以某种方式对您不利。在许多国家/地区，人们期望他们的通信被视为私人通信，并且收集此数据非常违反隐私期望。

另一个有趣的方面是在像美国这样的情况下，这些数据可能很快就会被出售，它也允许出售发送给美国境内人员或服务器的国际通信。同样，这可能会允许本地执法机构，军事部门，税务部门，移民部门，政界人士等每个机构都采用一种绕过长期法律的方式，这些法律阻止了他们访问此类信息或其中的重要信息子集。否则，此数据。

可以出售这些数据时，一个稍有不同的担忧是竞争情报/企业间谍活动。如果公司在总部位于一些较小地理位置（例如药品或国防承包商）的总部进行大量研究密集型工作，而出售这些数据则使任何人都可以从本地ISP购买所有流量这些研究人员中的大多数人住在家里，甚至可以直接从托管公司总部流量的ISP分析他们想要的东西。如果其他国家/地区不出售类似数据，则它为外国公司和公司提供了足够的智慧，可以尝试购买这些数据，从而获得巨大的技术优势。同样，它还允许外国政府购买ISP流量，其中包括来自美国（或其他政府）官员家园的数据。

想象公司在家里或在移动设备上监视员工的行为。

这也可能对激进主义者和举报者产生令人不寒而栗的影响。

同样，如果信用卡或PII以明文形式发送到安全性较差的远程站点，则您的ISP的数据集现在将面临潜在的PCI或PII监管问题。因此，这通过使数据的其他副本泄漏而扩大了所有类型的数据泄漏问题。

在上面我刚刚提到的示例中，还有其他数百个示例，应该很容易理解为什么这种类型的数据收集对它的重要性不同于元数据或基本连接信息。即使您的ISP从不出售这些数据，他们也会收集非常有趣的数据集。

这是一个安全问题，肯定会带来很多潜在的长期安全隐患。

#2 楼

Trey Blalock的答案准确地描述了什么是深度包检查（DPI）。但是，我想添加三件事来希望回答您的特定问题：


有一种DPI技术可以解密您的数据，称为SSL拦截，尽管它在以下情况中更常见企业情况，并且只有在ISP（或任何其他拦截器）能够在您的计算机上安装证书的情况下才可能。因此，除非ISP有某种方法（技术人员等），否则这可能不在桌面上。
HTTPS将阻止ISP读取数据。当然，这仅适用于使用HTTPS的服务（不幸的是，并非全部服务）。此外，您还需要考虑到ISP可以读取元数据，无论连接是否经过加密。
VPN可以保护您免受ISP（而非VPN提供商）执行的DPI攻击。这要归功于VPN使用加密隧道将您连接到“出口节点”的事实。这将加密您的所有流量，并且所有元数据都将显示数据包离开您的计算机并进入VPN服务器（因此不会泄露您正在访问的实际服务器）。

#3 楼

如Trey所述，DPI可以查看网络流量的全部内容。所有的。如果是纯文本，则他们会看到您所做的一切。

要补充Miao的答案：

即使使用HTTPS，DPI仍可以看到的内容：


DNS信息，例如https://catvideos.com/tigers-他们将看到https://catvideos.com
IP地址连接。因此，即使您使用猫视频通过HTTPS访问该站点，他们也可以看到您已连接到该猫视频站点并下载了500 GB数据。他们不知道什么数据，但是他们知道DNS名称，IP地址以及该站点以及每个站点的数据量。
广告。许多/大多数广告网络都不使用HTTPS，因此数据并不总是加密的。这可能会导致“混合加密”或来自浏览器的类似警告。
其他数据：许多使用HTTPS登录的网站随后将放弃对其他所有内容的加密。
图形：许多网站不会加密徽标或各种图形或视频文件等内容。他们可能会加密您的登录名和搜索，但不会加密结果。
其他非HTTPS通信（例如U​​DP，邮件，SNMP，ftp，telnet，对某些软件的更新）可能不使用HTTPS等。

使用VPN，他们仍然可以看到100％数据。但是，除了与VPN提供商的连接之外，他们只会看到加密的数据。他们将知道您从VPNco.com下载了800GB，但对其中的数据一无所知。即使未通过协议加密的事物也将被加密，因为较低级别的正在加密。现在，VPNco.com将看到您的数据。

随着美国有关ISP和数据隐私的法律的（潜在）变化，加上网络中立性的（潜在）损失，ISP可能不仅能够看到100％的数据，而且还可以修改该数据，降低或阻止他们想要的网站，并可能将您的任何/所有数据出售给第三者（如Trey所述）。

由于您说过ISP，因此我不涉及MITM（就像上面＃1中的苗州一样），我假设您正在谈论的是家庭系统和DSL或电缆调制解调器。

https://stackoverflow.com/questions/499591/are-https-urls-encrypted

#4 楼

通过深度数据包检查，ISP可以检测到大多数VPN协议（不是VPN数据包中加密的数据，只是存在VPN流量）并将其阻止。一些公司这样做是为了确保它们可以解密所有流量（使用MITM攻击和伪造的证书也可以在SSL上具有DPI）。这样做的目的是通过阻止其他所有因素来迫使您使用“不安全的”通信渠道。请注意，从公司的角度来看，这些“不安全”的通道可能更安全，因为它们可以在那里进行数据泄漏防护。

在这种情况下，非标准VPN技术（例如HTTP隧道）

请注意，使用条款可能不允许采取措施规避DPI。

编辑：某些ISP使用DPI进行流量整形。他们不会记录所有传输的数据，只是检查（例如）BitTorrent流量并为其分配较低的优先级或有限的带宽。现在，他们没有在窃取您的密码，而只是在窃取带宽....

#5 楼

如果您不信任您的ISP，那么您的首要任务就根本不应该是数据包检查，而是要建立一个值得信赖的第二通信渠道，您可以在该第二交换渠道中交换有关规避此类问题的信息。

只要您仅依靠ISP作为所有信息交换的唯一渠道，他们就可以从技术上向您的VPN发送错误的登录信息，即使他们不这样做也仍然可以接管尝试进行的任何加密握手，因为它们总是在中间。

他们可能会雇用受贿的人或出于任何原因被法律要求的人。

#6 楼

以上都是正确的。再想一想：您的ISP是否给您提供了一个自签名的根证书，并且在您的浏览器中？如果这样做，他们可以打开您的HTTPS流量。

#7 楼

您已经在计算机上安装了供应商安全证书，否则没有此类选项，现在有一个问题如何绕过此测试