Inspecție profundă a pachetelor (DPI)este o tehnologie utilizată în brokerii de pachete de rețea (NPBS) pentru a inspecta și analiza conținutul pachetelor de rețea la nivel granular. Aceasta implică examinarea sarcinii utile, anteturilor și a altor informații specifice protocolului în pachete pentru a obține informații detaliate despre traficul de rețea.
DPI depășește o analiză simplă a antetului și oferă o înțelegere profundă a datelor care curg printr -o rețea. Permite inspecția aprofundată a protocoalelor de strat de aplicație, cum ar fi protocoalele de streaming HTTP, FTP, SMTP, VoIP sau video. Prin examinarea conținutului real din pachete, DPI poate detecta și identifica aplicații specifice, protocoale sau chiar modele de date specifice.
În plus față de analiza ierarhică a adreselor sursă, a adreselor de destinație, a porturilor sursă, a porturilor de destinație și a tipurilor de protocol, DPI adaugă, de asemenea, o analiză a stratului de aplicație pentru a identifica diverse aplicații și conținutul acestora. Când pachetul 1P, TCP sau UDP se derulează prin intermediul sistemului de gestionare a lățimii de bandă bazat pe tehnologia DPI, sistemul citește conținutul încărcăturii de pachete 1P pentru a reorganiza informațiile despre stratul de aplicație din protocolul OSI Layer 7, astfel încât să obțină conținutul întregului program de aplicații și apoi să contureze traficul în funcție de politica de gestionare definită de sistem.
Cum funcționează DPI?
Firewall-urile tradiționale nu au adesea puterea de procesare pentru a efectua verificări minuțioase în timp real asupra volumelor mari de trafic. Pe măsură ce tehnologia avansează, DPI poate fi utilizat pentru a efectua verificări mai complexe pentru a verifica anteturile și datele. De obicei, firewall -urile cu sisteme de detectare a intruziunilor folosesc adesea DPI. Într -o lume în care informațiile digitale sunt esențiale, fiecare informație digitală este livrată pe internet în pachete mici. Aceasta include e -mail, mesaje trimise prin aplicație, site -uri web vizitate, conversații video și multe altele. În plus față de datele reale, aceste pachete includ metadate care identifică sursa de trafic, conținutul, destinația și alte informații importante. Cu tehnologia de filtrare a pachetelor, datele pot fi monitorizate și gestionate continuu pentru a se asigura că sunt transmise la locul potrivit. Dar pentru a asigura securitatea rețelei, filtrarea tradițională a pachetelor este departe de a fi suficient. Unele dintre principalele metode de inspecție a pachetelor profunde în gestionarea rețelei sunt enumerate mai jos:
Mod de potrivire/semnătură
Fiecare pachet este verificat pentru o potrivire cu o bază de date cu atacuri de rețea cunoscute de către un firewall cu capacități de sistem de detectare a intruziunilor (IDS). Căutări de ID -uri pentru modele specifice rău intenționate și dezactivează traficul atunci când se găsesc modele rău intenționate. Dezavantajul politicii de potrivire a semnăturii este că aceasta se aplică numai semnăturilor care sunt actualizate frecvent. În plus, această tehnologie nu poate apăra decât împotriva amenințărilor sau atacurilor cunoscute.
Excepție de protocol
Deoarece tehnica de excepție a protocolului nu permite pur și simplu toate datele care nu se potrivesc cu baza de date de semnătură, tehnica de excepție a protocolului utilizat de Firewall -ul IDS nu are defectele inerente ale metodei de potrivire a modelului/semnăturii. În schimb, adoptă politica de respingere implicită. Prin definiția protocolului, firewall -urile decid ce trafic ar trebui să fie permis și să protejeze rețeaua de amenințări necunoscute.
Sistem de prevenire a intruziunilor (IPS)
Soluțiile IPS pot bloca transmiterea pachetelor dăunătoare pe baza conținutului lor, oprind astfel atacuri suspectate în timp real. Aceasta înseamnă că, dacă un pachet reprezintă un risc de securitate cunoscut, IPS va bloca proactiv traficul de rețea pe baza unui set definit de reguli. Un dezavantaj al IPS este nevoia de a actualiza în mod regulat o bază de date de amenințări cibernetice cu detalii despre noi amenințări și posibilitatea unor false pozitive. Dar acest pericol poate fi atenuat prin crearea de politici conservatoare și praguri personalizate, stabilirea unui comportament de bază adecvat pentru componentele rețelei și evaluarea periodică a avertismentelor și a raportat evenimente pentru îmbunătățirea monitorizării și alertării.
1- DPI (Inspecție de pachete profunde) în brokerul de pachete de rețea
„Deep” este o comparație de analiză a pachetelor la nivel și obișnuită, „inspecție obișnuită a pachetelor” doar următoarea analiză a stratului IP Packet 4, incluzând adresa sursă, adresa de destinație, portul sursă, portul de destinație și tipul de protocol și DPI, cu excepția analizei ierarhice, a crescut, de asemenea, analiza stratului de aplicație, identificarea diferitelor aplicații și conținut, pentru a realiza funcțiile principale:
1) Analiza aplicațiilor - Analiza compoziției traficului de rețea, analiza performanței și analiza fluxului
2) Analiza utilizatorului - Diferențierea grupului de utilizatori, analiza comportamentului, analiza terminalului, analiza tendințelor etc.
3) Analiza elementelor de rețea - Analiza bazată pe atribute regionale (oraș, district, stradă etc.) și încărcare a stației de bază
4) Controlul traficului - Limitarea vitezei P2P, asigurarea QoS, asigurarea lățimii de bandă, optimizarea resurselor de rețea etc.
5) Asigurarea securității - atacuri DDOS, furtună de difuzare a datelor, prevenirea atacurilor de virus rău intenționate etc.
2- Clasificarea generală a aplicațiilor de rețea
Astăzi există nenumărate aplicații pe internet, dar aplicațiile web comune pot fi exhaustive.
Din câte știu, cea mai bună companie de recunoaștere a aplicațiilor este Huawei, care susține că recunoaște 4.000 de aplicații. Analiza protocolului este modulul de bază al multor companii de firewall (Huawei, ZTE etc.) și este, de asemenea, un modul foarte important, care susține realizarea altor module funcționale, identificarea exactă a aplicației și îmbunătățirea considerabilă a performanței și fiabilității produselor. În modelarea identificării malware bazate pe caracteristicile traficului de rețea, așa cum fac acum, este foarte importantă identificarea exactă și extinsă a protocolului. Excluzând traficul de rețea al aplicațiilor comune din traficul de export al companiei, traficul rămas va reprezenta o proporție mică, ceea ce este mai bun pentru analiza și alarma malware.
Pe baza experienței mele, aplicațiile utilizate în mod obișnuit sunt clasificate în funcție de funcțiile lor:
PS: Conform înțelegerii personale a clasificării aplicației, aveți sugestii bune binevenite să lăsați o propunere de mesaje
1). E-mail
2). Video
3). Jocuri
4). Clasa OA OFIC
5). Actualizare software
6). Financial (Bank, Alipay)
7). Stocuri
8). Comunicare socială (software IM)
9). Navigare pe web (probabil mai bine identificată cu adresele URL)
10). Descărcați instrumente (disc web, descărcare P2P, BT înrudit)
Apoi, modul în care DPI (Inspecția pachetelor profunde) funcționează într -un NPB:
1). Captarea pachetelor: NPB surprinde traficul de rețea din diverse surse, cum ar fi întrerupătoare, routere sau robinete. Primește pachete care curg prin rețea.
2). PACHET PARSING: Pachetele capturate sunt analizate de NPB pentru a extrage diverse straturi de protocol și date asociate. Acest proces de analiză ajută la identificarea diferitelor componente din pachete, cum ar fi anteturile Ethernet, anteturile IP, anteturile stratului de transport (de exemplu, TCP sau UDP) și protocoalele stratului de aplicații.
3). Analiza sarcinii utile: cu DPI, NPB depășește inspecția antetului și se concentrează pe sarcina utilă, inclusiv datele reale din pachete. Acesta examinează în profunzime conținutul de sarcină utilă, indiferent de aplicația sau protocolul utilizat, pentru a extrage informații relevante.
4). Identificarea protocolului: DPI permite NPB să identifice protocoalele și aplicațiile specifice utilizate în traficul de rețea. Poate detecta și clasifica protocoale precum HTTP, FTP, SMTP, DNS, VoIP sau protocoale de streaming video.
5). Inspecție a conținutului: DPI permite NPB să inspecteze conținutul pachetelor pentru modele, semnături sau cuvinte cheie specifice. Acest lucru permite detectarea amenințărilor în rețea, cum ar fi malware, viruși, încercări de intruziune sau activități suspecte. DPI poate fi, de asemenea, utilizat pentru filtrarea conținutului, aplicarea politicilor de rețea sau identificarea încălcărilor de conformitate a datelor.
6). Extracția metadatelor: în timpul DPI, NPB extrage metadate relevante din pachete. Aceasta poate include informații precum adrese IP sursă și destinație, numere de port, detalii despre sesiune, date de tranzacții sau orice alte atribute relevante.
7). Rutarea sau filtrarea traficului: Pe baza analizei DPI, NPB poate direcționa pachete specifice către destinații desemnate pentru procesare ulterioară, cum ar fi aparate de securitate, instrumente de monitorizare sau platforme de analiză. De asemenea, poate aplica reguli de filtrare pentru a elimina sau redirecționa pachetele pe baza conținutului sau modelelor identificate.
Timpul post: 25-2023 iunie
