國考資訊處理工作室(高考二級資訊處理/高考三級資訊處理/調查局三等/關務人員三等/地方特考三等)

111年身心障礙人員三等資通網路

答：

(一)

1.是一種電腦網路封包過濾技術，用來檢查通過檢測點封包的資料部分 (也可能包含其標頭)，以搜尋不符合規範的協定、病毒、垃圾郵件、入侵，或以預定準則來決定封包是否可通過或需被路由到其他不同目的地，或是為了收集統計資料。

2.辨識技術：

  (1)封包深層檢查技術 (Deep Packet Inspection, DPI) 將網路上的數據封包逐一分為個別的應用串流，並且透過辨識技術對應用串流中的特定數據封包進行檢測，以確定應用串流所對應的應用或者用戶的動作。

  (2)針對不同的協議類型，辨識技術可以劃分為基於特徵字元的辨識技術、應用層網路閘道辨識技術，以及行為模式辨識別技術三類。這三類辨識技術分別適用於不同類型的協議，它們之間無法相互取代。

  (3)共同運用這三種辨識別技術，網路業者就可以更有效率且彈性地辨識網路上的各種應用。

3.可以依據包含由封包資料部分摘取出之資訊的特徵資料庫，識別並分類訊務 (classify traffic)，從而允許比僅依據標頭資訊分類有更精確的控制。

4.在許多情況下，終端 (End points) 可以使用加密及混淆技術 (obfuscation techniques) 來規避深度封包檢測。

5.允許進一步的網路管理、使用者服務，以及安全功能，也可以用於進行網際網路資料探勘、竊聽，以及網際網路審查。

(二)

1.此一結合讓深度封包檢測可以檢測到某些 IDS、IPS 或狀態防火牆都無法發覺的攻擊。

2.狀態防火牆能看到封包流的開始與結束，但是不能發現超過特定應用範圍的事件。

3.IDS 能檢測入侵，但是幾乎沒有阻擋此類攻擊的能力。

4.在擷取所有狀態檢測型防火牆的優點後，可以迅速的進行網路層級的分析以決定封包的存取控制權，然後針對已接收的流量進行更深一層 TCP 或 UDP 流量的完整封包內容檢視，以瞭解更多應用層級的資訊。

5.雖然完整的 TCP 連線不是最終的要求，但是完整的 TCP 連線一般而言卻最能提供有效率的深層封包檢測。

6.針對特定的應用層資料流而言，當搜尋一組來源或目的地 IP 位址、連接埠、應用程式、封包標頭、封包內容、內含文字以及執行的指令時，可以持續的建立訊息或請求，所以有更多的封包內容可以被檢視。

7.DPI 可以偵測正常網路流量中的惡意活動，並且在發生任何損害前自動阻擋違規流量，藉此防禦入侵。

8.DPI 能用來快速阻擋來自病毒與蠕蟲的攻擊。更具體地說，它可以有效防止緩衝區溢位攻擊、DDoS 攻擊、複雜入侵，以及少部分置於單一封包內的蠕蟲。

(三)

1.一個被分類的封包 (A classified packet) 可能被重新導向 (redirected)、標記/標籤 (marked/tagged) [見 QoS]、封鎖 (blocked)、速限 (rate limited)，並且回報給網路中的報告程式 (reporting agent)。

2.在此方式下，不同分類的 HTTP 錯誤會被識別 (identified)，並且被傳送分析 (forwarded for analysis)。

3.許多具有深度封包檢測的裝置會識別封包流 (而非逐個封包的分析)，允許依據累積的流量資訊進行控制。

※參考資料：

1.https://zh.wikipedia.org/zh-tw/%E6%B7%B1%E5%BA%A6%E5%8C%85%E6%A 3%80%E6%B5%8B

2.https://en.wikipedia.org/wiki/Deep_packet_inspection#Background

3.http://www.eettaiwan.com/emag/1306_17_DC.html

4.http://mypaper.pchome.com.tw/kidz/post/1240365380

5.http://asteiner-cybersecurityissues.blogspot.tw/2011/09/deep-packet-inspection-advantages-and.html

6.http://searchtelecom.techtarget.com/tip/Deep-packet-inspection-Controversial-but-valuable-traffic-management-tool