Длабока инспекција на пакети (DPI)е технологија што се користи во мрежни пакети брокери (NPB) за проверка и анализа на содржината на мрежните пакети на грануларно ниво. Тоа вклучува испитување на товарот, заглавијата и другите информации специфични за протоколот во пакетите за да се добие детален увид во мрежниот сообраќај.
DPI ја надминува едноставната анализа на заглавието и обезбедува длабоко разбирање на податоците што течат низ мрежата. Овозможува длабинска проверка на протоколите на апликативниот слој, како што се протоколите HTTP, FTP, SMTP, VoIP или видео стриминг. Со испитување на вистинската содржина во пакетите, DPI може да открие и идентификува специфични апликации, протоколи или дури и специфични обрасци на податоци.
Покрај хиерархиската анализа на изворните адреси, адресите на дестинацијата, изворните порти, дестиналните порти и типовите на протоколи, DPI додава и анализа на слојот на апликации за да идентификува различни апликации и нивната содржина. Кога пакетот 1P, TCP или UDP тече низ системот за управување со пропусниот опсег заснован на технологијата DPI, системот ја чита содржината на оптоварувањето на пакетот 1P за да ги реорганизира информациите за апликацискиот слој во протоколот OSI Layer 7, за да ја добие содржината на целата апликативна програма, а потоа обликување на сообраќајот според политиката за управување дефинирана од системот.
Како функционира DPI?
Традиционалните огнени ѕидови често немаат процесорска моќ за да извршат темелни проверки во реално време на голем обем на сообраќај. Како што напредува технологијата, DPI може да се користи за извршување на посложени проверки за проверка на заглавијата и податоците. Вообичаено, заштитните ѕидови со системи за откривање на упад често користат DPI. Во свет каде дигиталните информации се најважни, секоја дигитална информација се доставува преку Интернет во мали пакети. Ова вклучува е-пошта, пораки испратени преку апликацијата, посетени веб-локации, видео разговори и многу повеќе. Покрај вистинските податоци, овие пакети вклучуваат метаподатоци кои го идентификуваат изворот на сообраќајот, содржината, дестинацијата и други важни информации. Со технологијата за филтрирање пакети, податоците може континуирано да се следат и да се управуваат за да се осигура дека се препратени на вистинското место. Но, за да се обезбеди безбедност на мрежата, традиционалното филтрирање на пакети е далеку од доволно. Некои од главните методи за длабока проверка на пакети во управувањето со мрежата се наведени подолу:
Режим на совпаѓање/потпис
Секој пакет се проверува за совпаѓање со базата на податоци за познати мрежни напади од заштитен ѕид со можности за систем за откривање на упад (IDS). IDS бара познати малициозни специфични обрасци и го оневозможува сообраќајот кога ќе се најдат малициозни обрасци. Недостаток на политиката за совпаѓање на потписите е што таа се однесува само на потписи кои често се ажурираат. Покрај тоа, оваа технологија може да се брани само од познати закани или напади.
Исклучок од протокол
Бидејќи техниката за исклучок на протоколот не ги дозволува едноставно сите податоци што не се совпаѓаат со базата на податоци за потпис, техниката за исклучок на протокол што ја користи заштитниот ѕид IDS ги нема вродените недостатоци на методот за совпаѓање шаблон/потпис. Наместо тоа, ја прифаќа стандардната политика за отфрлање. Според протоколарната дефиниција, заштитните ѕидови одлучуваат каков сообраќај треба да биде дозволен и ја штитат мрежата од непознати закани.
Систем за спречување на упад (IPS)
IPS решенијата можат да го блокираат преносот на штетни пакети врз основа на нивната содржина, а со тоа да ги запрат сомнителните напади во реално време. Ова значи дека ако пакетот претставува познат безбедносен ризик, IPS проактивно ќе го блокира мрежниот сообраќај врз основа на дефиниран сет на правила. Еден недостаток на IPS е потребата од редовно ажурирање на базата на податоци за сајбер закани со детали за нови закани и можноста за лажни позитиви. Но, оваа опасност може да се ублажи со креирање на конзервативни политики и прилагодени прагови, воспоставување соодветно основно однесување за мрежните компоненти и периодично оценување на предупредувањата и пријавените настани за подобрување на следењето и предупредувањата.
1- DPI (Длабока проверка на пакети) во мрежен брокер за пакети
„Длабоката“ е споредба на нивоа и обична анализа на пакети, „обична инспекција на пакети“ само следнава анализа на слојот IP пакет 4, вклучувајќи ја изворната адреса, адресата на дестинацијата, изворната порта, дестинацијата порта и типот на протоколот и DPI, освен со хиерархиската анализа, исто така, ја зголеми анализата на апликативниот слој, идентификувајте ги различните апликации и содржини, за да ги реализирате главните функции:
1) Анализа на апликации - анализа на составот на мрежниот сообраќај, анализа на перформансите и анализа на протокот
2) Корисничка анализа -- диференцијација на корисничка група, анализа на однесување, анализа на терминали, анализа на трендови итн.
3) Анализа на мрежни елементи -- анализа базирана на регионални атрибути (град, област, улица, итн.) и оптоварување на базната станица
4) Контрола на сообраќај -- ограничување на брзината на P2P, осигурување QoS, осигурување на пропусниот опсег, оптимизација на мрежни ресурси итн.
5) Гаранција за безбедност -- DDoS напади, бура од емитување податоци, спречување на напади од малициозни вируси итн.
2- Општа класификација на мрежни апликации
Денес има безброј апликации на Интернет, но вообичаените веб-апликации можат да бидат исцрпни.
Колку што знам, најдобра компанија за препознавање апликации е Huawei, која тврди дека препознава 4.000 апликации. Анализата на протоколот е основен модул на многу компании за заштитен ѕид (Huawei, ZTE, итн.), а исто така е многу важен модул, кој поддржува реализација на други функционални модули, точна идентификација на апликациите и значително ги подобрува перформансите и доверливоста на производите. Во моделирањето на идентификација на малициозен софтвер врз основа на карактеристиките на мрежниот сообраќај, како што правам сега, точната и обемна идентификација на протоколот е исто така многу важна. Со исклучување на мрежниот сообраќај на вообичаените апликации од извозниот сообраќај на компанијата, преостанатиот сообраќај ќе претставува мал дел, што е подобро за анализа на малициозен софтвер и аларм.
Врз основа на моето искуство, постоечките најчесто користени апликации се класифицирани според нивните функции:
П.С.: Според личното разбирање на класификацијата на апликацијата, добредојдени се добри предлози за да оставите предлог порака
1). Е-пошта
2). Видео
3). Игри
4). Канцеларија ОП класа
5). Ажурирање на софтверот
6). Финансиски (банка, Alipay)
7). Акции
8). Социјална комуникација (IM софтвер)
9). Прелистување на веб (веројатно подобро идентификувано со URL-адреси)
10). Алатки за преземање (веб-диск, преземање P2P, поврзани со BT)
Потоа, како работи DPI (Deep Packet Inspection) во NPB:
1). Снимање пакети: NPB го снима мрежниот сообраќај од различни извори, како што се прекинувачи, рутери или допири. Тој прима пакети што течат низ мрежата.
2). Парсирање на пакети: заробените пакети се анализираат од NPB за да се извлечат различни слоеви на протокол и поврзани податоци. Овој процес на парсирање помага да се идентификуваат различните компоненти во пакетите, како што се заглавија на етернет, заглавија на IP, заглавија на транспортните слоеви (на пример, TCP или UDP) и протоколи на апликациски слој.
3). Анализа на носивост: Со DPI, NPB оди подалеку од проверката на заглавието и се фокусира на товарот, вклучувајќи ги и вистинските податоци во пакетите. Тој длабински ја испитува содржината на носивоста, без оглед на апликацијата или протоколот што се користи, за да извлече релевантни информации.
4). Идентификација на протокол: DPI му овозможува на NPB да ги идентификува специфичните протоколи и апликации што се користат во мрежниот сообраќај. Може да открие и класифицира протоколи како HTTP, FTP, SMTP, DNS, VoIP или протоколи за видео стриминг.
5). Инспекција на содржината: DPI му дозволува на NPB да ја проверува содржината на пакетите за одредени обрасци, потписи или клучни зборови. Ова овозможува откривање на мрежни закани, како што се малициозен софтвер, вируси, обиди за упад или сомнителни активности. DPI може да се користи и за филтрирање на содржината, за спроведување мрежни политики или за идентификување на прекршувања на усогласеноста со податоците.
6). Екстракција на метаподатоци: за време на DPI, NPB извлекува релевантни метаподатоци од пакетите. Ова може да вклучува информации како што се IP-адресите на изворот и одредиштето, броевите на портите, деталите за сесијата, податоците за трансакциите или кои било други релевантни атрибути.
7). Рутирање или филтрирање на сообраќај: Врз основа на анализата на DPI, NPB може да насочува одредени пакети до одредени дестинации за понатамошна обработка, како што се безбедносни апарати, алатки за следење или аналитички платформи. Исто така, може да примени правила за филтрирање за отфрлање или пренасочување на пакети врз основа на идентификуваната содржина или обрасци.
Време на објавување: 25 јуни 2023 година