Dubinska inspekcija paketa (DPI)je tehnologija koja se koristi u Network Packet Brokers (NPB) za detaljan pregled i analizu sadržaja mrežnih paketa. Uključuje ispitivanje korisnog tereta, zaglavlja i drugih informacija specifičnih za protokol unutar paketa kako bi se dobio detaljan uvid u mrežni promet.
DPI ide dalje od jednostavne analize zaglavlja i pruža duboko razumijevanje podataka koji teku kroz mrežu. Omogućava dubinsku inspekciju protokola aplikacijskog sloja, kao što su HTTP, FTP, SMTP, VoIP ili protokoli za streaming videa. Ispitivanjem stvarnog sadržaja unutar paketa, DPI može otkriti i identificirati specifične aplikacije, protokole ili čak specifične obrasce podataka.
Pored hijerarhijske analize izvornih adresa, odredišnih adresa, izvornih portova, odredišnih portova i tipova protokola, DPI također dodaje analizu aplikacijskog sloja kako bi identificirao različite aplikacije i njihov sadržaj. Kada 1P paket, TCP ili UDP podaci teku kroz sistem upravljanja propusnim opsegom zasnovan na DPI tehnologiji, sistem čita sadržaj učitavanja 1P paketa kako bi reorganizirao informacije aplikacijskog sloja u OSI Layer 7 protokolu, kako bi dobio sadržaj cijelog aplikacijskog programa, a zatim oblikovao promet prema politici upravljanja koju je definirao sistem.
Kako DPI funkcioniše?
Tradicionalnim zaštitnim zidovima (firewalls) često nedostaje procesorska snaga za izvođenje temeljitih provjera velikih količina prometa u stvarnom vremenu. Kako tehnologija napreduje, DPI se može koristiti za izvođenje složenijih provjera zaglavlja i podataka. Tipično, zaštitni zidovi sa sistemima za detekciju upada često koriste DPI. U svijetu u kojem su digitalne informacije najvažnije, svaki dio digitalnih informacija se dostavlja putem interneta u malim paketima. To uključuje e-poštu, poruke poslane putem aplikacije, posjećene web stranice, video razgovore i još mnogo toga. Pored stvarnih podataka, ovi paketi uključuju metapodatke koji identificiraju izvor prometa, sadržaj, odredište i druge važne informacije. Pomoću tehnologije filtriranja paketa, podaci se mogu kontinuirano pratiti i upravljati kako bi se osiguralo da se prosljeđuju na pravo mjesto. Ali da bi se osigurala sigurnost mreže, tradicionalno filtriranje paketa nije dovoljno. Neke od glavnih metoda dubinske inspekcije paketa u upravljanju mrežom navedene su u nastavku:
Način podudaranja/Potpis
Svaki paket se provjerava na podudaranje s bazom podataka poznatih mrežnih napada pomoću zaštitnog zida (firewall) sa mogućnostima sistema za detekciju upada (IDS). IDS traži poznate zlonamjerne specifične obrasce i onemogućava promet kada se pronađu zlonamjerni obrasci. Nedostatak politike podudaranja potpisa je što se primjenjuje samo na potpise koji se često ažuriraju. Osim toga, ova tehnologija može braniti samo od poznatih prijetnji ili napada.
Izuzetak protokola
Budući da tehnika izuzeća protokola ne dozvoljava jednostavno sve podatke koji se ne podudaraju s bazom podataka potpisa, tehnika izuzeća protokola koju koristi IDS zaštitni zid nema inherentne nedostatke metode podudaranja uzoraka/potpisa. Umjesto toga, usvaja zadanu politiku odbacivanja. Po definiciji protokola, zaštitni zidovi odlučuju koji promet treba dozvoliti i štite mrežu od nepoznatih prijetnji.
Sistem za sprječavanje upada (IPS)
IPS rješenja mogu blokirati prijenos štetnih paketa na osnovu njihovog sadržaja, čime se u realnom vremenu zaustavljaju sumnjivi napadi. To znači da ako paket predstavlja poznati sigurnosni rizik, IPS će proaktivno blokirati mrežni promet na osnovu definiranog skupa pravila. Jedan nedostatak IPS-a je potreba za redovnim ažuriranjem baze podataka o sajber prijetnjama s detaljima o novim prijetnjama i mogućnošću lažno pozitivnih rezultata. Ali ova opasnost se može ublažiti kreiranjem konzervativnih politika i prilagođenih pragova, uspostavljanjem odgovarajućeg osnovnog ponašanja za mrežne komponente i periodičnim procjenjivanjem upozorenja i prijavljenih događaja kako bi se poboljšalo praćenje i upozoravanje.
1- DPI (duboka inspekcija paketa) u Network Packet Brokeru
"Dubina" analiza je poređenje nivoa i obične analize paketa, dok "obična inspekcija paketa" uključuje samo analizu IP paketa na 4 sloja, uključujući izvornu adresu, odredišnu adresu, izvorni port, odredišni port i tip protokola, te DPI, osim hijerarhijske analize, također je proširena analiza aplikacijskog sloja, identificirajući različite aplikacije i sadržaj, kako bi se ostvarile glavne funkcije:
1) Analiza aplikacije -- analiza sastava mrežnog prometa, analiza performansi i analiza protoka
2) Analiza korisnika -- diferencijacija korisničkih grupa, analiza ponašanja, analiza terminala, analiza trendova itd.
3) Analiza mrežnih elemenata -- analiza zasnovana na regionalnim atributima (grad, okrug, ulica, itd.) i opterećenju bazne stanice
4) Kontrola prometa -- ograničavanje brzine P2P-a, osiguranje QoS-a, osiguranje propusnosti, optimizacija mrežnih resursa itd.
5) Sigurnosna garancija -- DDoS napadi, oluja emitiranja podataka, sprječavanje napada zlonamjernih virusa itd.
2- Opšta klasifikacija mrežnih aplikacija
Danas na internetu postoji bezbroj aplikacija, ali uobičajene web aplikacije mogu biti iscrpne.
Koliko ja znam, najbolja kompanija za prepoznavanje aplikacija je Huawei, koja tvrdi da prepoznaje 4.000 aplikacija. Analiza protokola je osnovni modul mnogih kompanija za firewall (Huawei, ZTE, itd.), a ujedno je i vrlo važan modul koji podržava realizaciju drugih funkcionalnih modula, tačnu identifikaciju aplikacija i značajno poboljšava performanse i pouzdanost proizvoda. Prilikom modeliranja identifikacije zlonamjernog softvera na osnovu karakteristika mrežnog prometa, kao što ja sada radim, tačna i opsežna identifikacija protokola je također vrlo važna. Isključujući mrežni promet uobičajenih aplikacija iz izvoznog prometa kompanije, preostali promet će činiti mali udio, što je bolje za analizu zlonamjernog softvera i alarmiranje.
Na osnovu mog iskustva, postojeće često korištene aplikacije su klasifikovane prema svojim funkcijama:
PS: Prema ličnom razumijevanju klasifikacije aplikacije, ako imate bilo kakve dobre prijedloge, slobodno ostavite poruku s prijedlogom.
1). E-pošta
2). Video
3). Igre
4). Čas kancelarijskog OA
5). Ažuriranje softvera
6). Financije (banka, Alipay)
7). Dionice
8). Društvena komunikacija (softver za instant poruke)
9). Pregledavanje weba (vjerovatno bolje identificirano URL-ovima)
10). Alati za preuzimanje (web disk, P2P preuzimanje, vezano za BT)
Dakle, kako DPI (Deep Packet Inspection) funkcioniše u NPB-u:
1). Hvatanje paketa: NPB hvata mrežni promet iz različitih izvora, kao što su prekidači, ruteri ili tapovi. Prima pakete koji teku kroz mrežu.
2). Parsiranje paketa: NPB parsira uhvaćene pakete kako bi izdvojio različite slojeve protokola i povezane podatke. Ovaj proces parsiranja pomaže u identifikaciji različitih komponenti unutar paketa, kao što su Ethernet zaglavlja, IP zaglavlja, zaglavlja transportnog sloja (npr. TCP ili UDP) i protokoli aplikacijskog sloja.
3). Analiza korisnog tereta: Pomoću DPI-ja, NPB ide dalje od inspekcije zaglavlja i fokusira se na korisni teret, uključujući stvarne podatke unutar paketa. Detaljno ispituje sadržaj korisnog tereta, bez obzira na korištenu aplikaciju ili protokol, kako bi izvukao relevantne informacije.
4). Identifikacija protokola: DPI omogućava NPB-u da identifikuje specifične protokole i aplikacije koje se koriste unutar mrežnog saobraćaja. Može detektovati i klasifikovati protokole poput HTTP, FTP, SMTP, DNS, VoIP ili protokola za video streaming.
5). Inspekcija sadržaja: DPI omogućava NPB-u da pregleda sadržaj paketa u potrazi za određenim obrascima, potpisima ili ključnim riječima. Ovo omogućava otkrivanje mrežnih prijetnji, kao što su zlonamjerni softver, virusi, pokušaji upada ili sumnjive aktivnosti. DPI se također može koristiti za filtriranje sadržaja, provođenje mrežnih politika ili identificiranje kršenja usklađenosti podataka.
6). Ekstrakcija metapodataka: Tokom DPI-ja, NPB izdvaja relevantne metapodatke iz paketa. To može uključivati informacije kao što su izvorne i odredišne IP adrese, brojevi portova, detalji sesije, podaci o transakcijama ili bilo koji drugi relevantni atributi.
7). Usmeravanje ili filtriranje saobraćaja: Na osnovu DPI analize, NPB može usmeriti određene pakete ka određenim odredištima za dalju obradu, kao što su sigurnosni uređaji, alati za praćenje ili platforme za analitiku. Takođe može primeniti pravila filtriranja za odbacivanje ili preusmeravanje paketa na osnovu identifikovanog sadržaja ili obrazaca.
Vrijeme objave: 25. juni 2023.
