Duboka inspekcija paketa (DPI)je tehnologija koja se koristi u brokerima mrežnih paketa (NPB) za inspekciju i analizu sadržaja mrežnih paketa na granularnom nivou. To uključuje ispitivanje korisnog opterećenja, zaglavlja i drugih informacija specifičnih za protokol unutar paketa kako bi se stekao detaljan uvid u mrežni promet.
DPI ide dalje od jednostavne analize zaglavlja i pruža duboko razumijevanje podataka koji teku kroz mrežu. Omogućava dubinsku inspekciju protokola aplikacijskog sloja, kao što su HTTP, FTP, SMTP, VoIP ili protokoli za video strimovanje. Ispitujući stvarni sadržaj unutar paketa, DPI može otkriti i identificirati specifične aplikacije, protokole ili čak specifične obrasce podataka.
Pored hijerarhijske analize izvornih adresa, odredišnih adresa, izvornih portova, odredišnih portova i tipova protokola, DPI takođe dodaje analizu sloja aplikacije da identifikuje različite aplikacije i njihov sadržaj. Kada 1P paket, TCP ili UDP podaci prolaze kroz sistem upravljanja propusnim opsegom zasnovan na DPI tehnologiji, sistem čita sadržaj učitavanja 1P paketa kako bi reorganizirao informacije sloja aplikacije u OSI Layer 7 protokolu, kako bi dobio sadržaj cijeli aplikativni program, a zatim i oblikovanje prometa prema politici upravljanja definiranom od strane sistema.
Kako funkcioniše DPI?
Tradicionalnim zaštitnim zidovima često nedostaje procesorska snaga za obavljanje temeljitih provjera velikih količina saobraćaja u realnom vremenu. Kako tehnologija napreduje, DPI se može koristiti za obavljanje složenijih provjera za provjeru zaglavlja i podataka. Tipično, zaštitni zidovi sa sistemima za otkrivanje upada često koriste DPI. U svijetu u kojem su digitalne informacije najvažnije, svaka digitalna informacija se isporučuje putem interneta u malim paketima. To uključuje e-poštu, poruke poslane putem aplikacije, posjećene web stranice, video razgovore i još mnogo toga. Pored stvarnih podataka, ovi paketi uključuju metapodatke koji identifikuju izvor saobraćaja, sadržaj, odredište i druge važne informacije. Sa tehnologijom filtriranja paketa, podaci se mogu kontinuirano pratiti i upravljati kako bi se osiguralo da su proslijeđeni na pravo mjesto. Ali da bi se osigurala sigurnost mreže, tradicionalno filtriranje paketa nije dovoljno. Neke od glavnih metoda dubinske inspekcije paketa u upravljanju mrežom su navedene u nastavku:
Način podudaranja/Potpis
Svaki paket se provjerava da li se podudara s bazom podataka poznatih mrežnih napada od strane firewall-a sa mogućnostima sistema za otkrivanje upada (IDS). IDS traži poznate zlonamjerne specifične obrasce i onemogućuje promet kada se pronađu zlonamjerni obrasci. Nedostatak politike podudaranja potpisa je što se primjenjuje samo na potpise koji se često ažuriraju. Osim toga, ova tehnologija se može braniti samo od poznatih prijetnji ili napada.
Protocol Exception
Pošto tehnika izuzetaka protokola ne dozvoljava jednostavno sve podatke koji se ne poklapaju sa bazom podataka potpisa, tehnika izuzetka protokola koju koristi IDS zaštitni zid nema inherentne nedostatke metode podudaranja šablona/potpisa. Umjesto toga, usvaja standardnu politiku odbijanja. Prema definiciji protokola, zaštitni zidovi odlučuju koji promet treba biti dozvoljen i štite mrežu od nepoznatih prijetnji.
Sistem za sprečavanje upada (IPS)
IPS rješenja mogu blokirati prijenos štetnih paketa na osnovu njihovog sadržaja, čime se u realnom vremenu zaustavljaju sumnjivi napadi. To znači da ako paket predstavlja poznati sigurnosni rizik, IPS će proaktivno blokirati mrežni promet na osnovu definiranog skupa pravila. Jedan nedostatak IPS-a je potreba za redovnim ažuriranjem baze podataka o cyber prijetnjama s detaljima o novim prijetnjama i mogućnošću lažnih pozitivnih rezultata. Ali ova opasnost se može ublažiti stvaranjem konzervativnih politika i prilagođenih pragova, uspostavljanjem odgovarajućeg osnovnog ponašanja za mrežne komponente i periodičnim procjenom upozorenja i prijavljenih događaja kako bi se poboljšao nadzor i upozorenje.
1- DPI (deep Packet Inspection) u Network Packet Brokeru
Poređenje "dubokog" nivoa i obične analize paketa, "obična inspekcija paketa" samo sljedeća analiza sloja IP paketa 4, uključujući izvornu adresu, odredišnu adresu, izvorni port, odredišni port i tip protokola, i DPI osim sa hijerarhijskim analiza, također je povećala analizu sloja aplikacije, identificirala različite aplikacije i sadržaj, kako bi se ostvarile glavne funkcije:
1) Analiza aplikacije -- analiza sastava mrežnog saobraćaja, analiza performansi i analiza toka
2) Analiza korisnika -- diferencijacija grupa korisnika, analiza ponašanja, analiza terminala, analiza trenda, itd.
3) Analiza elemenata mreže -- analiza zasnovana na regionalnim atributima (grad, okrug, ulica, itd.) i opterećenju bazne stanice
4) Kontrola saobraćaja -- P2P ograničenje brzine, osiguranje QoS-a, osiguranje propusnosti, optimizacija mrežnih resursa, itd.
5) Sigurnosno osiguranje -- DDoS napadi, oluja emitiranja podataka, sprječavanje zlonamjernih virusnih napada itd.
2- Opća klasifikacija mrežnih aplikacija
Danas postoji bezbroj aplikacija na Internetu, ali uobičajene web aplikacije mogu biti iscrpne.
Koliko ja znam, najbolja kompanija za prepoznavanje aplikacija je Huawei, koja tvrdi da prepoznaje 4.000 aplikacija. Analiza protokola je osnovni modul mnogih firewall kompanija (Huawei, ZTE, itd.), a takođe je i veoma važan modul, koji podržava realizaciju ostalih funkcionalnih modula, tačnu identifikaciju aplikacija i značajno poboljšava performanse i pouzdanost proizvoda. U modeliranju identifikacije zlonamjernog softvera na osnovu karakteristika mrežnog saobraćaja, kao što ja sada radim, precizna i opsežna identifikacija protokola je također vrlo važna. Izuzimajući mrežni promet uobičajenih aplikacija iz izvoznog saobraćaja kompanije, preostali promet će činiti mali udio, što je bolje za analizu zlonamjernog softvera i alarm.
Na osnovu mog iskustva, postojeće najčešće korištene aplikacije klasificirane su prema njihovim funkcijama:
PS: Prema ličnom razumijevanju klasifikacije aplikacija, imate dobre prijedloge da ostavite prijedlog poruke
1). E-mail
2). Video
3). Igre
4). Uredska OA klasa
5). Ažuriranje softvera
6). Finansijski (banka, Alipay)
7). dionice
8). Društvena komunikacija (IM softver)
9). Pretraživanje weba (vjerovatno bolje identificirati s URL-ovima)
10). Alati za preuzimanje (web disk, P2P preuzimanje, vezano za BT)
Zatim, kako DPI (duboka inspekcija paketa) radi u NPB-u:
1). Snimanje paketa: NPB hvata mrežni promet iz različitih izvora, kao što su svičevi, ruteri ili slavine. Prima pakete koji teku kroz mrežu.
2). Parsing paketa: Uhvaćene pakete analizira NPB kako bi izdvojio različite slojeve protokola i povezane podatke. Ovaj proces raščlanjivanja pomaže u identifikaciji različitih komponenti unutar paketa, kao što su Ethernet zaglavlja, IP zaglavlja, zaglavlja transportnog sloja (npr. TCP ili UDP) i protokoli sloja aplikacije.
3). Analiza korisnog opterećenja: Sa DPI, NPB ide dalje od inspekcije zaglavlja i fokusira se na korisno opterećenje, uključujući stvarne podatke unutar paketa. On detaljno ispituje sadržaj korisnog opterećenja, bez obzira na aplikaciju ili protokol koji se koristi, kako bi izvukao relevantne informacije.
4). Identifikacija protokola: DPI omogućava NPB-u da identifikuje specifične protokole i aplikacije koje se koriste u okviru mrežnog saobraćaja. Može otkriti i klasificirati protokole kao što su HTTP, FTP, SMTP, DNS, VoIP ili protokoli za video streaming.
5). Inspekcija sadržaja: DPI omogućava NPB-u da pregleda sadržaj paketa za specifične obrasce, potpise ili ključne riječi. Ovo omogućava otkrivanje mrežnih prijetnji, kao što su zlonamjerni softver, virusi, pokušaji upada ili sumnjive aktivnosti. DPI se također može koristiti za filtriranje sadržaja, provođenje mrežnih politika ili utvrđivanje kršenja usklađenosti podataka.
6). Ekstrakcija metapodataka: Tokom DPI, NPB izdvaja relevantne metapodatke iz paketa. Ovo može uključivati informacije kao što su izvorne i odredišne IP adrese, brojevi portova, detalji sesije, podaci o transakcijama ili bilo koji drugi relevantni atributi.
7). Usmjeravanje ili filtriranje saobraćaja: Na osnovu DPI analize, NPB može usmjeriti specifične pakete na određena odredišta za dalju obradu, kao što su sigurnosni uređaji, alati za praćenje ili analitičke platforme. Također može primijeniti pravila filtriranja za odbacivanje ili preusmjeravanje paketa na osnovu identificiranog sadržaja ili obrazaca.
Vrijeme objave: Jun-25-2023