DPI

DPI - Deep Pocket Inspection

обычно эта технология подразумевает под собой мощную железку и умную программу в ней, которые пропускают через себя интернет-трафик и анализируют его. Расшифровывать трафик они не умеют, но по косвенным признакам, вроде размера пакета и заголовков, понимают, что это.

Активный DPI - пропускает трафик буквально через себя, способен замедлять (при помощи шейпинга или полисинга) определенные типы трафика.

Пассивный DPI - смотрит зеркалируемый на него трафик, не влияя на скорость на основной линии.

Читать зашифрованное тело пакета DPI может только если подменит сертификаты.

Для блокировки ресурса «по ip» DPI не обращает внимания на dest-ip пакета, а, как правило, смотрит на его SNI (тоесть на домен). Если SNI зашифрованный - DPI просто его блокирует.

Технология, борющаяся с DPI - GoodByeDPI: DPI, из за особенностей балансировки трафика, чаще всего, не анализирует последовательности пакетов. GBDPI разбивает один логический пакет на нeсколько пакетов меньшего размера. Конечный сервер буферизирует эти недо-пакеты, пока из них не получиться целый логический пакет, а вот DPI не расознает «угрозы» в разделенных пакетиках.