Inspecție profundă a pachetelor (DPI)este o tehnologie utilizată în brokerii de pachete de rețea (NPB) pentru a inspecta și analiza conținutul pachetelor de rețea la nivel granular. Aceasta implică examinarea sarcinii utile, a antetelor și a altor informații specifice protocolului din pachete pentru a obține informații detaliate despre traficul de rețea.
DPI depășește simpla analiză a antetelor și oferă o înțelegere profundă a datelor care circulă printr-o rețea. Permite o inspecție aprofundată a protocoalelor de nivel de aplicație, cum ar fi HTTP, FTP, SMTP, VoIP sau protocoalele de streaming video. Prin examinarea conținutului real din pachete, DPI poate detecta și identifica aplicații specifice, protocoale sau chiar modele de date specifice.
Pe lângă analiza ierarhică a adreselor sursă, a adreselor destinație, a porturilor sursă, a porturilor destinație și a tipurilor de protocoale, DPI adaugă și o analiză la nivelul aplicației pentru a identifica diverse aplicații și conținutul acestora. Când pachetele 1P, datele TCP sau UDP circulă prin sistemul de gestionare a lățimii de bandă bazat pe tehnologia DPI, sistemul citește conținutul încărcării pachetelor 1P pentru a reorganiza informațiile la nivelul aplicației în protocolul OSI Layer 7, astfel încât să obțină conținutul întregului program de aplicație și apoi să modeleze traficul conform politicii de gestionare definite de sistem.
Cum funcționează DPI-ul?
Firewall-urile tradiționale adesea nu au puterea de procesare necesară pentru a efectua verificări amănunțite în timp real asupra volumelor mari de trafic. Pe măsură ce tehnologia avansează, DPI poate fi utilizat pentru a efectua verificări mai complexe pentru a verifica anteturile și datele. De obicei, firewall-urile cu sisteme de detectare a intruziunilor utilizează adesea DPI. Într-o lume în care informațiile digitale sunt primordiale, fiecare informație digitală este livrată prin internet în pachete mici. Acestea includ e-mailuri, mesaje trimise prin aplicație, site-uri web vizitate, conversații video și multe altele. Pe lângă datele propriu-zise, aceste pachete includ metadate care identifică sursa traficului, conținutul, destinația și alte informații importante. Cu tehnologia de filtrare a pachetelor, datele pot fi monitorizate și gestionate continuu pentru a se asigura că sunt redirecționate către locul potrivit. Dar pentru a asigura securitatea rețelei, filtrarea tradițională a pachetelor este departe de a fi suficientă. Unele dintre principalele metode de inspecție profundă a pachetelor în gestionarea rețelei sunt enumerate mai jos:
Mod/Semnătură de potrivire
Fiecare pachet este verificat pentru o potrivire cu o bază de date de atacuri de rețea cunoscute de către un firewall cu capacități de sistem de detectare a intruziunilor (IDS). IDS caută modele specifice malițioase cunoscute și dezactivează traficul atunci când sunt găsite modele malițioase. Dezavantajul politicii de potrivire a semnăturilor este că se aplică numai semnăturilor care sunt actualizate frecvent. În plus, această tehnologie poate oferi apărare doar împotriva amenințărilor sau atacurilor cunoscute.
Excepție de protocol
Întrucât tehnica excepțiilor de protocol nu permite pur și simplu toate datele care nu corespund bazei de date cu semnături, tehnica excepțiilor de protocol utilizată de firewall-ul IDS nu are defectele inerente ale metodei de potrivire a modelului/semnăturii. În schimb, adoptă politica implicită de respingere. Prin definiția protocolului, firewall-urile decid ce trafic ar trebui permis și protejează rețeaua de amenințări necunoscute.
Sistem de prevenire a intruziunilor (IPS)
Soluțiile IPS pot bloca transmiterea pachetelor dăunătoare pe baza conținutului lor, oprind astfel atacurile suspectate în timp real. Aceasta înseamnă că, dacă un pachet reprezintă un risc de securitate cunoscut, IPS va bloca proactiv traficul de rețea pe baza unui set definit de reguli. Un dezavantaj al IPS este necesitatea actualizării regulate a unei baze de date cu amenințări cibernetice cu detalii despre noile amenințări și posibilitatea unor rezultate fals pozitive. Însă acest pericol poate fi atenuat prin crearea de politici conservatoare și praguri personalizate, stabilirea unui comportament de referință adecvat pentru componentele rețelei și evaluarea periodică a avertismentelor și a evenimentelor raportate pentru a îmbunătăți monitorizarea și alertarea.
1- DPI (Inspecția Aprofundată a Pachetelor) în Network Packet Broker
„Aprofundarea” reprezintă o comparație între analiza nivelului și cea a pachetelor obișnuite, iar „inspecția pachetelor obișnuite” realizează doar analiza următoare a pachetelor IP la nivel 4, inclusiv adresa sursă, adresa destinație, portul sursă, portul destinație și tipul protocolului, precum și DPI, cu excepția analizei ierarhice, care a îmbunătățit și analiza la nivel de aplicație, identificând diverse aplicații și conținut, pentru a realiza funcțiile principale:
1) Analiza aplicației -- analiza compoziției traficului de rețea, analiza performanței și analiza fluxului
2) Analiza utilizatorilor -- diferențierea grupurilor de utilizatori, analiza comportamentului, analiza terminalelor, analiza tendințelor etc.
3) Analiza elementelor de rețea -- analiză bazată pe atribute regionale (oraș, district, stradă etc.) și încărcarea stației de bază
4) Controlul traficului -- limitarea vitezei P2P, asigurarea QoS, asigurarea lățimii de bandă, optimizarea resurselor de rețea etc.
5) Asigurarea securității -- atacuri DDoS, furtuni de transmisie de date, prevenirea atacurilor de viruși rău intenționați etc.
2- Clasificarea generală a aplicațiilor de rețea
Astăzi există nenumărate aplicații pe internet, dar aplicațiile web comune pot fi exhaustive.
Din câte știu eu, cea mai bună companie de recunoaștere a aplicațiilor este Huawei, care pretinde că recunoaște 4.000 de aplicații. Analiza protocoalelor este modulul de bază al multor companii de firewall (Huawei, ZTE etc.) și este, de asemenea, un modul foarte important, care susține realizarea altor module funcționale, identificarea precisă a aplicațiilor și îmbunătățirea considerabilă a performanței și fiabilității produselor. În modelarea identificării programelor malware pe baza caracteristicilor traficului de rețea, așa cum fac acum, identificarea precisă și extinsă a protocoalelor este, de asemenea, foarte importantă. Excluzând traficul de rețea al aplicațiilor comune din traficul de export al companiei, traficul rămas va reprezenta o mică parte, ceea ce este mai bine pentru analiza și alarmarea programelor malware.
Pe baza experienței mele, aplicațiile utilizate în mod obișnuit sunt clasificate în funcție de funcțiile lor:
PS: Conform înțelegerii personale a clasificării aplicației, dacă aveți sugestii bune, vă invităm să lăsați un mesaj pentru propuneri.
1). E-mail
2). Videoclip
3). Jocuri
4). Clasa Office OA
5). Actualizare software
6). Financiar (bancă, Alipay)
7). Acțiuni
8). Comunicare socială (software de mesagerie instant)
9). Navigare pe web (probabil mai bine identificată cu adrese URL)
10). Instrumente de descărcare (disc web, descărcare P2P, legate de BT)
Apoi, cum funcționează DPI (Deep Packet Inspection) într-un NPB:
1). Capturarea pachetelor: NPB capturează traficul de rețea din diverse surse, cum ar fi switch-uri, routere sau tap-uri. Acesta primește pachete care circulă prin rețea.
2). Analiza pachetelor: Pachetele capturate sunt analizate de NPB pentru a extrage diverse niveluri de protocol și datele asociate. Acest proces de analiză ajută la identificarea diferitelor componente din cadrul pachetelor, cum ar fi anteturile Ethernet, anteturile IP, anteturile nivelului de transport (de exemplu, TCP sau UDP) și protocoalele nivelului de aplicație.
3). Analiza sarcinii utile: Cu DPI, NPB merge dincolo de inspecția antetului și se concentrează asupra sarcinii utile, inclusiv asupra datelor efective din pachete. Examinează în profunzime conținutul sarcinii utile, indiferent de aplicația sau protocolul utilizat, pentru a extrage informații relevante.
4). Identificarea protocolului: DPI permite NPB să identifice protocoalele și aplicațiile specifice utilizate în traficul de rețea. Poate detecta și clasifica protocoale precum HTTP, FTP, SMTP, DNS, VoIP sau protocoale de streaming video.
5). Inspecția conținutului: DPI permite NPB să inspecteze conținutul pachetelor pentru anumite modele, semnături sau cuvinte cheie. Acest lucru permite detectarea amenințărilor la adresa rețelei, cum ar fi programe malware, viruși, tentative de intruziune sau activități suspecte. DPI poate fi utilizat și pentru filtrarea conținutului, aplicarea politicilor de rețea sau identificarea încălcărilor conformității datelor.
6). Extragerea metadatelor: În timpul DPI, NPB extrage metadatele relevante din pachete. Acestea pot include informații precum adresele IP sursă și destinație, numerele de port, detaliile sesiunii, datele tranzacțiilor sau orice alte atribute relevante.
7). Rutarea sau filtrarea traficului: Pe baza analizei DPI, NPB-ul poate ruta pachete specifice către destinații desemnate pentru procesare ulterioară, cum ar fi dispozitive de securitate, instrumente de monitorizare sau platforme de analiză. De asemenea, poate aplica reguli de filtrare pentru a elimina sau redirecționa pachetele pe baza conținutului sau modelelor identificate.
Data publicării: 25 iunie 2023
