Длабинска инспекција на пакети (DPI)е технологија што се користи во мрежните брокери на пакети (NPB) за проверка и анализа на содржината на мрежните пакети на грануларно ниво. Вклучува испитување на товарот, заглавијата и другите информации специфични за протоколот во пакетите за да се добијат детални увиди во мрежниот сообраќај.
DPI оди подалеку од едноставна анализа на заглавија и овозможува длабоко разбирање на податоците што течат низ мрежата. Овозможува длабинска проверка на протоколите на апликацискиот слој, како што се HTTP, FTP, SMTP, VoIP или протоколи за видео стриминг. Со испитување на вистинската содржина во пакетите, DPI може да открие и идентификува специфични апликации, протоколи или дури и специфични шеми на податоци.
Покрај хиерархиската анализа на изворните адреси, одредишните адреси, изворните порти, одредишните порти и типовите на протоколи, DPI додава и анализа на апликацискиот слој за да идентификува различни апликации и нивната содржина. Кога 1P пакет, TCP или UDP податоци течат низ системот за управување со пропусен опсег базиран на DPI технологијата, системот ја чита содржината на вчитаниот 1P пакет за да ги реорганизира информациите од апликацискиот слој во OSI Layer 7 протоколот, со цел да се добие содржината на целата апликативна програма, а потоа да се обликува сообраќајот според политиката за управување дефинирана од системот.
Како функционира DPI?
Традиционалните заштитни ѕидови (firewalls) честопати немаат процесорска моќ за да извршат темелни проверки во реално време на големи количини на сообраќај. Како што напредува технологијата, DPI може да се користи за извршување посложени проверки за проверка на заглавија и податоци. Типично, заштитните ѕидови со системи за детекција на упади често користат DPI. Во свет каде што дигиталните информации се од најголема важност, секоја дигитална информација се доставува преку интернет во мали пакети. Ова вклучува е-пошта, пораки испратени преку апликацијата, посетени веб-страници, видео разговори и друго. Покрај вистинските податоци, овие пакети вклучуваат метаподатоци што го идентификуваат изворот на сообраќајот, содржината, дестинацијата и други важни информации. Со технологијата за филтрирање пакети, податоците можат континуирано да се следат и управуваат за да се осигури дека се пренасочени на вистинското место. Но, за да се обезбеди мрежна безбедност, традиционалното филтрирање пакети е далеку од доволно. Некои од главните методи за длабинска инспекција на пакети во управувањето со мрежата се наведени подолу:
Режим на совпаѓање/Потпис
Секој пакет се проверува за совпаѓање со база на податоци за познати мрежни напади од страна на заштитен ѕид со можности за систем за детекција на упади (IDS). IDS пребарува познати злонамерни специфични шеми и го оневозможува сообраќајот кога ќе се пронајдат злонамерни шеми. Недостаток на политиката за совпаѓање на потписи е тоа што се однесува само на потписи што често се ажурираат. Покрај тоа, оваа технологија може да се заштити само од познати закани или напади.
Исклучок од протокол
Бидејќи техниката на исклучок на протокол не дозволува едноставно сите податоци што не се совпаѓаат со базата на податоци за потписи, техниката на исклучок на протокол што ја користи IDS firewall-от нема вродени недостатоци на методот за споредување на шема/потпис. Наместо тоа, таа ја усвојува стандардната политика за отфрлање. Според дефиницијата на протоколот, firewall-ите одлучуваат кој сообраќај треба да биде дозволен и ја штитат мрежата од непознати закани.
Систем за спречување на упади (IPS)
IPS решенијата можат да го блокираат преносот на штетни пакети врз основа на нивната содржина, со што ќе ги запрат сомнителните напади во реално време. Ова значи дека ако пакетот претставува познат безбедносен ризик, IPS проактивно ќе го блокира мрежниот сообраќај врз основа на дефиниран сет на правила. Еден недостаток на IPS е потребата редовно да се ажурира базата на податоци за сајбер закани со детали за нови закани и можноста за лажни позитиви. Но, оваа опасност може да се ублажи со креирање конзервативни политики и прилагодени прагови, воспоставување соодветно основно однесување за мрежните компоненти и периодично оценување на предупредувањата и пријавените настани за подобрување на следењето и алармирањето.
1- DPI (Длабока инспекција на пакети) во мрежниот брокер за пакети
„Длабокото“ ниво е споредба на анализата на пакети со обичниот, „обичен преглед на пакети“ само со следната анализа на IP пакетот од 4 слој, вклучувајќи ја изворната адреса, одредишната адреса, изворната порта, одредишната порта и типот на протокол, и DPI, освен со хиерархиска анализа, исто така се зголемува анализата на апликацискиот слој, идентификувајќи ги различните апликации и содржини, за да се реализираат главните функции:
1) Анализа на апликации -- анализа на составот на мрежниот сообраќај, анализа на перформансите и анализа на протокот
2) Анализа на корисници -- диференцијација на корисничка група, анализа на однесување, анализа на терминали, анализа на трендови итн.
3) Анализа на мрежни елементи -- анализа базирана на регионални атрибути (град, област, улица итн.) и оптоварување на базната станица
4) Контрола на сообраќајот -- P2P ограничување на брзината, QoS осигурување, пропусен опсег, оптимизација на мрежните ресурси, итн.
5) Безбедносна гаранција -- DDoS напади, бура од пренос на податоци, спречување на злонамерни вирусни напади итн.
2- Општа класификација на мрежни апликации
Денес има безброј апликации на Интернет, но вообичаените веб-апликации можат да бидат исцрпни.
Колку што знам, најдобрата компанија за препознавање апликации е Huawei, која тврди дека препознава 4.000 апликации. Анализата на протоколи е основен модул на многу компании за firewall (Huawei, ZTE, итн.), а е и многу важен модул, кој ја поддржува реализацијата на други функционални модули, прецизна идентификација на апликациите и значително ги подобрува перформансите и сигурноста на производите. При моделирање на идентификација на малициозен софтвер врз основа на карактеристиките на мрежниот сообраќај, како што правам сега, прецизната и обемна идентификација на протоколи е исто така многу важна. Со исклучување на мрежниот сообраќај на вообичаените апликации од извозниот сообраќај на компанијата, преостанатиот сообраќај ќе учествува со мал дел, што е подобро за анализа на малициозен софтвер и алармирање.
Врз основа на моето искуство, постојните најчесто користени апликации се класифицирани според нивните функции:
ПС: Според личното разбирање на класификацијата на апликацијата, имате ли добри предлози, добредојдени сте да оставите предлог за порака
1). Е-пошта
2). Видео
3). Игри
4). Класа за канцелариска ОА
5). Ажурирање на софтвер
6). Финансии (банка, Alipay)
7). Акции
8). Социјална комуникација (софтвер за инстант пораки)
9). Прелистување на веб (веројатно подобро се идентификува со URL-адреси)
10). Алатки за преземање (веб диск, P2P преземање, поврзани со BT)
Потоа, како функционира DPI (Deep Packet Inspection) во NPB:
1). Снимање пакети: NPB го снима мрежниот сообраќај од различни извори, како што се прекинувачи, рутери или приклучоци. Прима пакети што течат низ мрежата.
2). Парсирање на пакети: Заробените пакети се парсираат од NPB за да се извлечат различни слоеви на протоколот и поврзаните податоци. Овој процес на парсирање помага да се идентификуваат различните компоненти во пакетите, како што се Ethernet заглавија, IP заглавија, заглавија на транспортниот слој (на пр., TCP или UDP) и протоколи на апликацискиот слој.
3). Анализа на корисниот товар: Со DPI, NPB оди подалеку од само проверка на заглавието и се фокусира на корисниот товар, вклучувајќи ги и вистинските податоци во пакетите. Детално ја испитува содржината на корисниот товар, без оглед на користената апликација или протокол, за да извлече релевантни информации.
4). Идентификација на протокол: DPI му овозможува на NPB да ги идентификува специфичните протоколи и апликации што се користат во мрежниот сообраќај. Може да детектира и класифицира протоколи како HTTP, FTP, SMTP, DNS, VoIP или протоколи за видео стриминг.
5). Инспекција на содржината: DPI му овозможува на NPB да ја провери содржината на пакетите за специфични шеми, потписи или клучни зборови. Ова овозможува откривање на мрежни закани, како што се малициозен софтвер, вируси, обиди за упад или сомнителни активности. DPI може да се користи и за филтрирање на содржината, спроведување на мрежните политики или идентификување на прекршувања на усогласеноста со податоците.
6). Екстракција на метаподатоци: За време на DPI, NPB извлекува релевантни метаподатоци од пакетите. Ова може да вклучува информации како што се изворни и одредишни IP адреси, броеви на порти, детали за сесијата, податоци за трансакциите или други релевантни атрибути.
7). Рутирање или филтрирање на сообраќајот: Врз основа на DPI анализата, NPB може да насочи специфични пакети до одредени дестинации за понатамошна обработка, како што се безбедносни уреди, алатки за следење или аналитички платформи. Исто така, може да примени правила за филтрирање за отфрлање или пренасочување на пакети врз основа на идентификуваната содржина или шеми.
Време на објавување: 25 јуни 2023 година
