Dubinska inspekcija paketa (DPI)je tehnologija koja se koristi u Network Packet Brokers (NPB) za pregled i analizu sadržaja mrežnih paketa na granularnoj razini. Uključuje ispitivanje korisnog tereta, zaglavlja i drugih informacija specifičnih za protokol unutar paketa kako bi se dobio detaljan uvid u mrežni promet.
DPI nadilazi jednostavnu analizu zaglavlja i pruža dubinsko razumijevanje podataka koji teku kroz mrežu. Omogućuje dubinsku inspekciju protokola aplikacijskog sloja, kao što su HTTP, FTP, SMTP, VoIP ili protokoli za streaming videa. Ispitivanjem stvarnog sadržaja unutar paketa, DPI može otkriti i identificirati određene aplikacije, protokole ili čak specifične obrasce podataka.
Uz hijerarhijsku analizu izvornih adresa, odredišnih adresa, izvornih portova, odredišnih portova i vrsta protokola, DPI također dodaje analizu aplikacijskog sloja kako bi identificirao različite aplikacije i njihov sadržaj. Kada 1P paket, TCP ili UDP podaci teku kroz sustav upravljanja propusnošću temeljen na DPI tehnologiji, sustav čita sadržaj učitavanja 1P paketa kako bi reorganizirao informacije aplikacijskog sloja u OSI Layer 7 protokolu, kako bi dobio sadržaj cijelog aplikacijskog programa, a zatim oblikovao promet prema politici upravljanja koju je definirao sustav.
Kako DPI funkcionira?
Tradicionalnim vatrozidima često nedostaje procesorska snaga za temeljite provjere velikih količina prometa u stvarnom vremenu. Kako tehnologija napreduje, DPI se može koristiti za izvođenje složenijih provjera zaglavlja i podataka. Obično vatrozidovi sa sustavima za otkrivanje upada često koriste DPI. U svijetu u kojem su digitalne informacije najvažnije, svaki dio digitalnih informacija isporučuje se putem interneta u malim paketima. To uključuje e-poštu, poruke poslane putem aplikacije, posjećene web stranice, video razgovore i još mnogo toga. Osim stvarnih podataka, ovi paketi uključuju metapodatke koji identificiraju izvor prometa, sadržaj, odredište i druge važne informacije. Pomoću tehnologije filtriranja paketa, podaci se mogu kontinuirano pratiti i upravljati kako bi se osiguralo da se prosljeđuju na pravo mjesto. Ali kako bi se osigurala sigurnost mreže, tradicionalno filtriranje paketa nije dovoljno. Neke od glavnih metoda dubinske inspekcije paketa u upravljanju mrežom navedene su u nastavku:
Način podudaranja/potpis
Svaki paket provjerava se na podudaranje s bazom podataka poznatih mrežnih napada pomoću vatrozida s mogućnostima sustava za otkrivanje upada (IDS). IDS traži poznate zlonamjerne specifične uzorke i onemogućuje promet kada se pronađu zlonamjerni uzorci. Nedostatak politike podudaranja potpisa je taj što se primjenjuje samo na potpise koji se često ažuriraju. Osim toga, ova tehnologija može se braniti samo od poznatih prijetnji ili napada.
Iznimka protokola
Budući da tehnika iznimke protokola ne dopušta jednostavno sve podatke koji se ne podudaraju s bazom podataka potpisa, tehnika iznimke protokola koju koristi IDS vatrozid nema inherentne nedostatke metode podudaranja uzorka/potpisa. Umjesto toga, usvaja zadanu politiku odbacivanja. Prema definiciji protokola, vatrozidovi odlučuju koji promet treba dopustiti i štite mrežu od nepoznatih prijetnji.
Sustav za sprječavanje upada (IPS)
IPS rješenja mogu blokirati prijenos štetnih paketa na temelju njihovog sadržaja, čime se u stvarnom vremenu zaustavljaju sumnjivi napadi. To znači da ako paket predstavlja poznati sigurnosni rizik, IPS će proaktivno blokirati mrežni promet na temelju definiranog skupa pravila. Jedan nedostatak IPS-a je potreba za redovitim ažuriranjem baze podataka o kibernetičkim prijetnjama s detaljima o novim prijetnjama i mogućnošću lažno pozitivnih rezultata. No, ova se opasnost može ublažiti stvaranjem konzervativnih politika i prilagođenih pragova, uspostavljanjem odgovarajućeg osnovnog ponašanja za mrežne komponente i periodičnim vrednovanjem upozorenja i prijavljenih događaja kako bi se poboljšalo praćenje i upozoravanje.
1- DPI (duboka inspekcija paketa) u Network Packet Brokeru
"Dubinska" analiza je usporedba razine i obične analize paketa, "obična inspekcija paketa" samo sljedeća analiza IP paketa 4 sloja, uključujući izvornu adresu, odredišnu adresu, izvorni port, odredišni port i vrstu protokola, te DPI, osim hijerarhijske analize, također je povećala analizu aplikacijskog sloja, identificirajući različite aplikacije i sadržaj, kako bi se ostvarile glavne funkcije:
1) Analiza aplikacije -- analiza sastava mrežnog prometa, analiza performansi i analiza protoka
2) Analiza korisnika -- diferencijacija korisničkih grupa, analiza ponašanja, analiza terminala, analiza trendova itd.
3) Analiza mrežnih elemenata -- analiza temeljena na regionalnim atributima (grad, okrug, ulica itd.) i opterećenju bazne stanice
4) Kontrola prometa -- ograničavanje brzine P2P-a, osiguranje QoS-a, osiguranje propusnosti, optimizacija mrežnih resursa itd.
5) Sigurnosna zaštita -- DDoS napadi, oluja emitiranja podataka, sprječavanje napada zlonamjernih virusa itd.
2. Opća klasifikacija mrežnih aplikacija
Danas na internetu postoji bezbroj aplikacija, ali popis uobičajenih web aplikacija može biti iscrpljujuć.
Koliko ja znam, najbolja tvrtka za prepoznavanje aplikacija je Huawei, koji tvrdi da prepoznaje 4000 aplikacija. Analiza protokola je osnovni modul mnogih tvrtki za vatrozide (Huawei, ZTE, itd.), a ujedno je i vrlo važan modul koji podržava realizaciju drugih funkcionalnih modula, točnu identifikaciju aplikacija i uvelike poboljšava performanse i pouzdanost proizvoda. Pri modeliranju identifikacije zlonamjernog softvera na temelju karakteristika mrežnog prometa, kao što sada radim, točna i opsežna identifikacija protokola također je vrlo važna. Isključujući mrežni promet uobičajenih aplikacija iz izvoznog prometa tvrtke, preostali promet će činiti mali udio, što je bolje za analizu zlonamjernog softvera i alarmiranje.
Na temelju mog iskustva, postojeće često korištene aplikacije klasificiraju se prema svojim funkcijama:
PS: Prema osobnom razumijevanju klasifikacije aplikacije, ako imate bilo kakve dobre prijedloge, slobodno ostavite poruku s prijedlogom.
1). E-pošta
2). Videozapis
3). Igre
4). Uredski OA tečaj
5). Ažuriranje softvera
6). Financije (banka, Alipay)
7). Dionice
8). Društvena komunikacija (softver za IM)
9). Pregledavanje weba (vjerojatno bolje identificirano URL-ovima)
10). Alati za preuzimanje (web disk, P2P preuzimanje, vezano uz BT)
Dakle, kako DPI (Deep Packet Inspection) funkcionira u NPB-u:
1). Hvatanje paketa: NPB hvata mrežni promet iz različitih izvora, kao što su sklopke, usmjerivači ili odvojci. Prima pakete koji teku kroz mrežu.
2). Raščlanjivanje paketa: NPB analizira snimljene pakete kako bi izdvojio različite slojeve protokola i povezane podatke. Ovaj proces parsiranja pomaže u identificiranju različitih komponenti unutar paketa, kao što su Ethernet zaglavlja, IP zaglavlja, zaglavlja transportnog sloja (npr. TCP ili UDP) i protokoli aplikacijskog sloja.
3). Analiza korisnog tereta: S DPI-jem, NPB ide dalje od pregleda zaglavlja i fokusira se na korisni teret, uključujući stvarne podatke unutar paketa. Detaljno ispituje sadržaj korisnog tereta, bez obzira na korištenu aplikaciju ili protokol, kako bi izvukao relevantne informacije.
4). Identifikacija protokola: DPI omogućuje NPB-u identifikaciju specifičnih protokola i aplikacija koje se koriste unutar mrežnog prometa. Može detektirati i klasificirati protokole poput HTTP, FTP, SMTP, DNS, VoIP ili protokola za streaming videa.
5). Inspekcija sadržaja: DPI omogućuje NPB-u da pregleda sadržaj paketa u potrazi za određenim uzorcima, potpisima ili ključnim riječima. To omogućuje otkrivanje mrežnih prijetnji, kao što su zlonamjerni softver, virusi, pokušaji upada ili sumnjive aktivnosti. DPI se također može koristiti za filtriranje sadržaja, provođenje mrežnih pravila ili identificiranje kršenja usklađenosti podataka.
6). Ekstrakcija metapodataka: Tijekom DPI-ja, NPB izdvaja relevantne metapodatke iz paketa. To može uključivati informacije kao što su izvorne i odredišne IP adrese, brojevi portova, detalji sesije, podaci o transakcijama ili bilo koji drugi relevantni atributi.
7). Usmjeravanje ili filtriranje prometa: Na temelju DPI analize, NPB može usmjeriti određene pakete na određena odredišta za daljnju obradu, kao što su sigurnosni uređaji, alati za nadzor ili analitičke platforme. Također može primijeniti pravila filtriranja za odbacivanje ili preusmjeravanje paketa na temelju identificiranog sadržaja ili obrazaca.
Vrijeme objave: 25. lipnja 2023.
