Duboka inspekcija paketa (DPI)je tehnologija koja se koristi u mrežnim paketnim brokerima (NPB) za pregled i analizu sadržaja mrežnih paketa na granularnoj razini. Uključuje ispitivanje nosivosti, zaglavlja i drugih informacija specifičnih za protokol unutar paketa kako bi se dobio detaljan uvid u mrežni promet.
DPI nadilazi jednostavnu analizu zaglavlja i pruža duboko razumijevanje podataka koji teku kroz mrežu. Omogućuje dubinski pregled protokola aplikacijskog sloja, kao što su HTTP, FTP, SMTP, VoIP ili protokoli za strujanje videa. Ispitivanjem stvarnog sadržaja unutar paketa, DPI može detektirati i identificirati određene aplikacije, protokole ili čak određene obrasce podataka.
Uz hijerarhijsku analizu izvorišnih adresa, odredišnih adresa, izvorišnih portova, odredišnih portova i tipova protokola, DPI također dodaje analizu aplikacijskog sloja za prepoznavanje različitih aplikacija i njihovih sadržaja. Kada 1P paket, TCP ili UDP podaci teku kroz sustav upravljanja propusnošću koji se temelji na DPI tehnologiji, sustav čita sadržaj učitavanja 1P paketa kako bi reorganizirao informacije aplikacijskog sloja u OSI Layer 7 protokolu, kako bi se dobio sadržaj cijelog aplikacijskog programa, a zatim oblikuje promet u skladu s politikom upravljanja definiranom od strane sustava.
Kako radi DPI?
Tradicionalnim vatrozidima često nedostaje procesorska snaga za obavljanje temeljitih provjera velikih količina prometa u stvarnom vremenu. Kako tehnologija napreduje, DPI se može koristiti za izvođenje složenijih provjera za provjeru zaglavlja i podataka. Tipično, vatrozidi sa sustavima za otkrivanje upada često koriste DPI. U svijetu u kojem su digitalne informacije najvažnije, svaka digitalna informacija isporučuje se putem interneta u malim paketima. To uključuje e-poštu, poruke poslane putem aplikacije, posjećena web-mjesta, video razgovore i još mnogo toga. Osim stvarnih podataka, ovi paketi uključuju metapodatke koji identificiraju izvor prometa, sadržaj, odredište i druge važne informacije. S tehnologijom filtriranja paketa podaci se mogu kontinuirano nadzirati i njima se može upravljati kako bi se osiguralo da su proslijeđeni na pravo mjesto. Ali da bi se osigurala sigurnost mreže, tradicionalno filtriranje paketa nije dovoljno. Neke od glavnih metoda duboke inspekcije paketa u upravljanju mrežom navedene su u nastavku:
Način podudaranja/potpis
Vatrozid sa sustavom za otkrivanje upada (IDS) provjerava podudaranje svakog paketa s bazom podataka poznatih mrežnih napada. IDS traži poznate zlonamjerne uzorke i onemogućuje promet kada se pronađu zlonamjerni uzorci. Nedostatak politike podudaranja potpisa je da se primjenjuje samo na potpise koji se često ažuriraju. Osim toga, ova tehnologija može braniti samo od poznatih prijetnji ili napada.
Iznimka protokola
Budući da tehnika iznimke protokola ne dopušta jednostavno sve podatke koji se ne podudaraju s bazom podataka potpisa, tehnika iznimke protokola koju koristi IDS vatrozid nema inherentne nedostatke metode podudaranja uzorka/potpisa. Umjesto toga, usvaja zadanu politiku odbijanja. Prema definiciji protokola, vatrozidi odlučuju koji će promet biti dopušten i štite mrežu od nepoznatih prijetnji.
Sustav za sprječavanje upada (IPS)
IPS rješenja mogu blokirati prijenos štetnih paketa na temelju njihovog sadržaja, čime se u stvarnom vremenu zaustavljaju sumnjivi napadi. To znači da ako paket predstavlja poznati sigurnosni rizik, IPS će proaktivno blokirati mrežni promet na temelju definiranog skupa pravila. Jedan nedostatak IPS-a je potreba za redovitim ažuriranjem baze podataka kibernetičkih prijetnji s pojedinostima o novim prijetnjama i mogućnosti lažno pozitivnih rezultata. Ali ova se opasnost može ublažiti stvaranjem konzervativnih politika i prilagođenih pragova, uspostavljanjem odgovarajućeg osnovnog ponašanja za mrežne komponente i periodičnim vrednovanjem upozorenja i prijavljenih događaja kako bi se poboljšalo praćenje i upozoravanje.
1- DPI (Deep Packet Inspection) u Network Packet Brokeru
"Duboka" je razina i obična usporedba analize paketa, "obična inspekcija paketa" samo sljedeća analiza sloja IP paketa 4, uključujući izvornu adresu, odredišnu adresu, izvorni port, odredišni port i vrstu protokola i DPI osim hijerarhijske analize, također je povećala analizu aplikacijskog sloja, identificirala različite aplikacije i sadržaj, kako bi se ostvarile glavne funkcije:
1) Analiza aplikacije -- analiza sastava mrežnog prometa, analiza performansi i analiza protoka
2) Analiza korisnika -- diferencijacija korisničkih grupa, analiza ponašanja, analiza terminala, analiza trendova itd.
3) Analiza mrežnih elemenata -- analiza temeljena na regionalnim atributima (grad, okrug, ulica, itd.) i opterećenju bazne stanice
4) Kontrola prometa -- P2P ograničenje brzine, osiguranje QoS-a, osiguranje propusnosti, optimizacija mrežnih resursa itd.
5) Osiguranje sigurnosti -- DDoS napadi, oluja emitiranja podataka, sprječavanje napada zlonamjernih virusa itd.
2- Opća klasifikacija mrežnih aplikacija
Danas postoji bezbroj aplikacija na internetu, ali uobičajene web aplikacije mogu biti iscrpne.
Koliko ja znam, najbolja tvrtka za prepoznavanje aplikacija je Huawei, koja tvrdi da prepoznaje 4000 aplikacija. Analiza protokola je osnovni modul mnogih vatrozidnih tvrtki (Huawei, ZTE, itd.), a također je vrlo važan modul, podržava realizaciju drugih funkcionalnih modula, točnu identifikaciju aplikacija i uvelike poboljšava performanse i pouzdanost proizvoda. U modeliranju identifikacije zlonamjernog softvera na temelju karakteristika mrežnog prometa, kao što sada radim, točna i opsežna identifikacija protokola također je vrlo važna. Isključujući mrežni promet uobičajenih aplikacija iz izvoznog prometa tvrtke, preostali promet činit će mali udio, što je bolje za analizu zlonamjernog softvera i alarmiranje.
Na temelju mog iskustva, postojeće najčešće korištene aplikacije klasificirane su prema njihovim funkcijama:
PS: Prema osobnom razumijevanju klasifikacije aplikacija, imate bilo kakve dobre prijedloge, dobrodošli da ostavite prijedlog poruke
1). E-mail
2). Video
3). Igre
4). Ured OA klase
5). Ažuriranje softvera
6). Financijski (banka, Alipay)
7). Dionice
8). Društvena komunikacija (IM softver)
9). Pregledavanje weba (vjerojatno se bolje identificira s URL-ovima)
10). Alati za preuzimanje (web disk, P2P preuzimanje, povezano s BT-om)
Zatim, kako DPI (duboka inspekcija paketa) radi u NPB-u:
1). Hvatanje paketa: NPB hvata mrežni promet iz različitih izvora, kao što su preklopnici, usmjerivači ili slavine. Prima pakete koji teku kroz mrežu.
2). Raščlanjivanje paketa: NPB analizira snimljene pakete kako bi izdvojio različite slojeve protokola i povezane podatke. Ovaj proces raščlambe pomaže identificirati različite komponente unutar paketa, kao što su Ethernet zaglavlja, IP zaglavlja, zaglavlja prijenosnog sloja (npr. TCP ili UDP) i protokoli aplikacijskog sloja.
3). Analiza korisnog opterećenja: S DPI-jem, NPB nadilazi pregled zaglavlja i fokusira se na korisni teret, uključujući stvarne podatke unutar paketa. Detaljno ispituje korisni sadržaj, bez obzira na aplikaciju ili protokol koji se koristi, kako bi izvukao relevantne informacije.
4). Identifikacija protokola: DPI omogućuje NPB-u da identificira specifične protokole i aplikacije koje se koriste unutar mrežnog prometa. Može detektirati i klasificirati protokole kao što su HTTP, FTP, SMTP, DNS, VoIP ili protokole za strujanje videa.
5). Provjera sadržaja: DPI omogućuje NPB-u da pregleda sadržaj paketa za određene uzorke, potpise ili ključne riječi. To omogućuje otkrivanje mrežnih prijetnji, poput zlonamjernog softvera, virusa, pokušaja upada ili sumnjivih aktivnosti. DPI se također može koristiti za filtriranje sadržaja, provođenje mrežnih pravila ili prepoznavanje kršenja usklađenosti podataka.
6). Ekstrakcija metapodataka: tijekom DPI-ja, NPB izvlači relevantne metapodatke iz paketa. To može uključivati informacije kao što su izvorna i odredišna IP adresa, brojevi priključaka, pojedinosti o sesiji, podaci o transakciji ili bilo koji drugi relevantni atributi.
7). Usmjeravanje ili filtriranje prometa: Na temelju DPI analize, NPB može usmjeriti određene pakete na određena odredišta za daljnju obradu, kao što su sigurnosni uređaji, alati za nadzor ili analitičke platforme. Također može primijeniti pravila filtriranja za odbacivanje ili preusmjeravanje paketa na temelju identificiranog sadržaja ili uzoraka.
Vrijeme objave: 25. lipnja 2023
