1. Детекция торрентов
Для этого операторы связи, как правило, используют одно из решений DPI (Deep Packet Inspection) - железку, которая способна залезть в уровень L7 модели OSI и понять, что же это такое.
Нешифрованные протоколы (HTTP, FTP), и DPI видит и разбирает без проблем.
В случае же торрентов и некоторых стриминг-сервисов приходится использовать эвристику: косвенные признаки, худо-бедно свойственные детектируемому сервису.
Кроме обычных протокола (TCP/UDP), ip-адресов и номеров портов в ход идут:
- типичные последовательности байтов
- численные и временные характеристики трафика (в духе "сначала три пакета по 70 байт, потом пауза 100-350 мс, потом передача со скоростью 100-200 кбит/с")
2. HTTPS
В уровне TLS, начиная с версии 1.1, в последнее время используемого в HTTPS для шифрования, существует расширение SNI (Server Name Indication), в полях которого в открытом виде передаётся доменное имя сайта.
Собственно, там имя сайта оператор подсмотреть и может, хотя полного URL и содержимого страниц, не имея закрытого ключа сайта, он так и не узнает.
