他们可以看到HTTPS连接的内容吗?
是否可以使用HTTPS来确保他们看不到正在传输的内容?
并且可以使用VPN保护我免受ISP进行深入的
分组检查吗?
#1 楼
深度数据包检测(也称为完整数据包检测),仅表示它们正在分析您的所有流量,而不是仅获取连接信息,例如您要连接的IP,端口号,协议以及有关该端口的其他一些详细信息。网络连接。通常与收集NetFlow信息(主要收集上面列出的信息)形成对比。
深度数据包检查为您的提供商提供了许多有关您的连接和连接的信息。互联网使用习惯。在某些情况下,将捕获SMTP电子邮件之类的全部内容。
HTTPS会对连接进行加密,但是您的浏览器必须发出主要通过UDP发送的DNS请求,这样数据才能被收集的所有未加密链接或未加密的cookie(如果没有https都会被错误地发送)也将被收集。这些将要收集的额外信息可能非常能说明您正在查看的内容类型。
大多数人最关心的是数据聚合,通过收集这些信息,数据科学家可以创建一个指纹以供您使用Internet,然后与过去的活动或其他位置的活动相关联(当您在工作或度假时)。同样,您的服务提供商可能选择将其出售给任何数量的组织(可能包括犯罪组织),然后这些组织可能会以某种方式对您不利。在许多国家/地区,人们期望他们的通信被视为私人通信,并且收集此数据非常违反隐私期望。
另一个有趣的方面是在像美国这样的情况下,这些数据可能很快就会被出售,它也允许出售发送给美国境内人员或服务器的国际通信。同样,这可能会允许本地执法机构,军事部门,税务部门,移民部门,政界人士等每个机构都采用一种绕过长期法律的方式,这些法律阻止了他们访问此类信息或其中的重要信息子集。否则,此数据。
可以出售这些数据时,一个稍有不同的担忧是竞争情报/企业间谍活动。如果公司在总部位于一些较小地理位置(例如药品或国防承包商)的总部进行大量研究密集型工作,而出售这些数据则使任何人都可以从本地ISP购买所有流量这些研究人员中的大多数人住在家里,甚至可以直接从托管公司总部流量的ISP分析他们想要的东西。如果其他国家/地区不出售类似数据,则它为外国公司和公司提供了足够的智慧,可以尝试购买这些数据,从而获得巨大的技术优势。同样,它还允许外国政府购买ISP流量,其中包括来自美国(或其他政府)官员家园的数据。
想象公司在家里或在移动设备上监视员工的行为。
这也可能对激进主义者和举报者产生令人不寒而栗的影响。
同样,如果信用卡或PII以明文形式发送到安全性较差的远程站点,则您的ISP的数据集现在将面临潜在的PCI或PII监管问题。因此,这通过使数据的其他副本泄漏而扩大了所有类型的数据泄漏问题。
在上面我刚刚提到的示例中,还有其他数百个示例,应该很容易理解为什么这种类型的数据收集对它的重要性不同于元数据或基本连接信息。即使您的ISP从不出售这些数据,他们也会收集非常有趣的数据集。
这是一个安全问题,肯定会带来很多潜在的长期安全隐患。
评论
“在许多国家,人们期望他们的通信被认为是私密的,收集这些数据非常违反隐私的期望。”不过,似乎美国政府的某些成员对此并不满意。
– JAB
17 Mar 27 '17 at 23:42
在许多欧盟国家/地区,出售这些数据将违反人们的隐私期望和法律。其他国家并不那么关注隐私。
–戴夫
17 Mar 28 '17 at 2:08
至少在德国,深度包检查是非法的。
– Mag
17年3月28日在6:40
即使没有DNS方面,带有SNI的TLS(今天通常使用的TLS)在设置加密之前,在初始TLS交换中以明文形式传输主机名。
–用户
17 Mar 28 '17 at 12:29
@JohnU:这不太可能,您的说法严重损害了我们的利益。没有有效的攻击,就无法“查看内部” HTTPS,因为主动攻击不仅要检查内容,还要更改内容。除非经过后门程序(如果ISP诱使您安装了他们提供的软件,可能会被现代用户使用),否则现代客户端软件将不允许这样做,并且精明的用户会注意到任何此类主动攻击,从而使攻击者面临高风险。因此,出于实际目的,不,没有人会“看到”您的HTTPS。
–R .. GitHub停止帮助ICE
17 Mar 29 '17在18:11
#2 楼
Trey Blalock的答案准确地描述了什么是深度包检查(DPI)。但是,我想添加三件事来希望回答您的特定问题:有一种DPI技术可以解密您的数据,称为SSL拦截,尽管它在以下情况中更常见企业情况,并且只有在ISP(或任何其他拦截器)能够在您的计算机上安装证书的情况下才可能。因此,除非ISP有某种方法(技术人员等),否则这可能不在桌面上。
HTTPS将阻止ISP读取数据。当然,这仅适用于使用HTTPS的服务(不幸的是,并非全部服务)。此外,您还需要考虑到ISP可以读取元数据,无论连接是否经过加密。
VPN可以保护您免受ISP(而非VPN提供商)执行的DPI攻击。这要归功于VPN使用加密隧道将您连接到“出口节点”的事实。这将加密您的所有流量,并且所有元数据都将显示数据包离开您的计算机并进入VPN服务器(因此不会泄露您正在访问的实际服务器)。
评论
请注意,某些ISP(例如Deutsche Telekom)本身就是公认的证书颁发机构。
–乔纳斯·谢弗(JonasSchäfer)
17年3月28日在6:58
@JonasWielicki好点。必须考虑到这一点!
–苗哈托拉
17年3月28日在7:13
使用VPN仍然可能导致DNS泄漏,该VPN可以让您的ISP知道您正在通过其访问哪些域。
– emilhem
17年3月28日在8:16
@JonasWielicki虽然如此,但如果他们使用其CA状态进行DPI,就不会太久了。在WoSign和Symantec之间(尽管程度较小),我认为如果它们生成用于拦截SSL连接的证书,它们将不会幸免。
– Ginnungagap
17年3月28日在16:15
@JonasWielicki:尽管在理论上/技术上会受到此类滥用的威胁,但在许多辖区中这是非法的,并且违反了CA遵循的政策,以保持浏览器的信任。在任何不平凡的规模(基本上是任何非针对性的攻击或精明用户的针对性攻击),这都将很快被发现。
–R .. GitHub停止帮助ICE
17 Mar 29 '17 at 18:19
#3 楼
如Trey所述,DPI可以查看网络流量的全部内容。所有的。如果是纯文本,则他们会看到您所做的一切。要补充Miao的答案:
即使使用HTTPS,DPI仍可以看到的内容:
DNS信息,例如https://catvideos.com/tigers-他们将看到https://catvideos.com
IP地址连接。因此,即使您使用猫视频通过HTTPS访问该站点,他们也可以看到您已连接到该猫视频站点并下载了500 GB数据。他们不知道什么数据,但是他们知道DNS名称,IP地址以及该站点以及每个站点的数据量。
广告。许多/大多数广告网络都不使用HTTPS,因此数据并不总是加密的。这可能会导致“混合加密”或来自浏览器的类似警告。
其他数据:许多使用HTTPS登录的网站随后将放弃对其他所有内容的加密。
图形:许多网站不会加密徽标或各种图形或视频文件等内容。他们可能会加密您的登录名和搜索,但不会加密结果。
其他非HTTPS通信(例如UDP,邮件,SNMP,ftp,telnet,对某些软件的更新)可能不使用HTTPS等。
使用VPN,他们仍然可以看到100%数据。但是,除了与VPN提供商的连接之外,他们只会看到加密的数据。他们将知道您从VPNco.com下载了800GB,但对其中的数据一无所知。即使未通过协议加密的事物也将被加密,因为较低级别的正在加密。现在,VPNco.com将看到您的数据。
随着美国有关ISP和数据隐私的法律的(潜在)变化,加上网络中立性的(潜在)损失,ISP可能不仅能够看到100%的数据,而且还可以修改该数据,降低或阻止他们想要的网站,并可能将您的任何/所有数据出售给第三者(如Trey所述)。
由于您说过ISP,因此我不涉及MITM(就像上面#1中的苗州一样),我假设您正在谈论的是家庭系统和DSL或电缆调制解调器。
https://stackoverflow.com/questions/499591/are-https-urls-encrypted
评论
因此,最终归结为用户信任谁,ISP或VPN提供者?对于基于VPN的VPN,请说美国,当他们声明不保存日志(例如PIA)时,NSA(或CIA)不会强迫他们保存日志或关闭商店吗?
–cppanonhelp666
17-3-28在13:14
@ cppanonhelp666不要信任位于美国的VPN,因为政府将尽力提取数据。
–user142755
17 Mar 28 '17 at 20:45
您现在可以将“(潜在)更改”替换为“更改”。
– JAB
17 Mar 30 '17 at 14:55
那么,您更不信任谁? ISP,VPN,CIA / NSA等?我觉得至少在CIA / NSA的帮助下,他们正在寻找国家安全问题,而不是从其他地区观看Netflix或下载猫视频。 ISP及其出售给谁的人可能对该数据感兴趣。 YMMV。
– MikeP
17 Mar 30 '17 at 19:35
#4 楼
通过深度数据包检查,ISP可以检测到大多数VPN协议(不是VPN数据包中加密的数据,只是存在VPN流量)并将其阻止。一些公司这样做是为了确保它们可以解密所有流量(使用MITM攻击和伪造的证书也可以在SSL上具有DPI)。这样做的目的是通过阻止其他所有因素来迫使您使用“不安全的”通信渠道。请注意,从公司的角度来看,这些“不安全”的通道可能更安全,因为它们可以在那里进行数据泄漏防护。在这种情况下,非标准VPN技术(例如HTTP隧道)
请注意,使用条款可能不允许采取措施规避DPI。
编辑:某些ISP使用DPI进行流量整形。他们不会记录所有传输的数据,只是检查(例如)BitTorrent流量并为其分配较低的优先级或有限的带宽。现在,他们没有在窃取您的密码,而只是在窃取带宽....
#5 楼
如果您不信任您的ISP,那么您的首要任务就根本不应该是数据包检查,而是要建立一个值得信赖的第二通信渠道,您可以在该第二交换渠道中交换有关规避此类问题的信息。只要您仅依靠ISP作为所有信息交换的唯一渠道,他们就可以从技术上向您的VPN发送错误的登录信息,即使他们不这样做也仍然可以接管尝试进行的任何加密握手,因为它们总是在中间。
他们可能会雇用受贿的人或出于任何原因被法律要求的人。
#6 楼
以上都是正确的。再想一想:您的ISP是否给您提供了一个自签名的根证书,并且在您的浏览器中?如果这样做,他们可以打开您的HTTPS流量。评论
MiaoHatola回答的第一个要点已涵盖了这一点。
–熊佳亚诺夫
17年4月2日在19:04
#7 楼
您已经在计算机上安装了供应商安全证书,否则没有此类选项,现在有一个问题如何绕过此测试评论
这由其他答案涵盖。您在说什么“测试”?
– schroeder♦
20年6月1日在16:38
评论
立刻让我想到了这个。您怎么知道您的ISP正在执行DPI?
@SpaceDog:在某些国家/地区,法律有此要求,因此很容易知道某人的ISP正在这样做!
@SpaceDog,其一名员工匿名接受他们对某些新闻媒体进行了DPI。
是的,对VPN!他们所看到的只是您VPN端点的IP!如果您完全关心并愿意在VPN上花钱,那就去做吧,主要原因是我不会这样做