Dipende dal tipo di DPI di cui stai parlando. Se si tratta di DPI puramente passivi (cioè guardando solo i pacchetti), non sarete in grado di rilevarli. Se invece è DPI che può modificare i dati, potresti essere in grado di rilevarli in base al tipo di accesso e conoscenza che possiedi.
Alcuni esempi tipici su come i dispositivi DPI attivi cambiano il traffico, ovvero cosa puoi cercare:
- Se trasferisci dati specifici (come malware noto) il trasferimento fallirà perché l'IDS ha rilevato e bloccato il possibile attacco. Si potrebbe usare, ad esempio, l'innocente virus di test EICAR .
- DPI che utilizza l'intercettazione SSL può essere rilevato perché il certificato è emesso da una CA diversa.
- Alcuni dispositivi DPI eliminano STARTTLS dal traffico SMTP in modo che il traffico non venga crittografato e possa essere analizzato. Tale modifica al traffico può essere osservata dal lato del cliente.
- Alcuni dispositivi modificano l'intestazione "Accept-Encoding" di una richiesta HTTP per eliminare schemi di compressione non supportati. Questo può essere osservato sul lato server o talvolta anche sul lato client perché il contenuto non viene trasferito compresso.