Głęboka inspekcja pakietów (DPI)to technologia stosowana w brokerach pakietów sieciowych (NPB) do sprawdzania i analizowania zawartości pakietów sieciowych na poziomie szczegółowym. Obejmuje badanie ładunku, nagłówków i innych informacji specyficznych dla protokołu w pakietach w celu uzyskania szczegółowego wglądu w ruch sieciowy.
DPI wykracza poza prostą analizę nagłówków i zapewnia głębokie zrozumienie danych przepływających przez sieć. Pozwala na dogłębną kontrolę protokołów warstwy aplikacji, takich jak HTTP, FTP, SMTP, VoIP czy protokoły strumieniowego przesyłania wideo. Badając rzeczywistą zawartość pakietów, DPI może wykryć i zidentyfikować określone aplikacje, protokoły, a nawet określone wzorce danych.
Oprócz analizy hierarchicznej adresów źródłowych, adresów docelowych, portów źródłowych, portów docelowych i typów protokołów, DPI dodaje również analizę warstwy aplikacji w celu identyfikacji różnych aplikacji i ich zawartości. Gdy pakiet 1P, dane TCP lub UDP przepływają przez system zarządzania przepustowością oparty na technologii DPI, system odczytuje zawartość ładunku pakietu 1P w celu reorganizacji informacji warstwy aplikacji w protokole OSI Layer 7, tak aby uzyskać zawartość całego programu aplikacji, a następnie kształtowanie ruchu zgodnie z polityką zarządzania zdefiniowaną przez system.
Jak działa DPI?
Tradycyjnym zaporom sieciowym często brakuje mocy obliczeniowej umożliwiającej dokładne sprawdzanie w czasie rzeczywistym dużych ilości ruchu. W miarę postępu technologii DPI można używać do wykonywania bardziej złożonych kontroli w celu sprawdzenia nagłówków i danych. Zazwyczaj zapory ogniowe z systemami wykrywania włamań często korzystają z DPI. W świecie, w którym informacja cyfrowa jest najważniejsza, każda informacja cyfrowa jest dostarczana przez Internet w małych pakietach. Obejmuje to e-maile, wiadomości wysyłane za pośrednictwem aplikacji, odwiedzane strony internetowe, rozmowy wideo i nie tylko. Oprócz rzeczywistych danych pakiety te zawierają metadane identyfikujące źródło ruchu, treść, miejsce docelowe i inne ważne informacje. Dzięki technologii filtrowania pakietów dane można stale monitorować i zarządzać nimi, aby mieć pewność, że zostaną przesłane we właściwe miejsce. Jednak aby zapewnić bezpieczeństwo sieci, tradycyjne filtrowanie pakietów nie wystarczy. Poniżej wymieniono niektóre z głównych metod głębokiej inspekcji pakietów w zarządzaniu siecią:
Tryb dopasowywania/podpis
Każdy pakiet jest sprawdzany pod kątem zgodności z bazą danych znanych ataków sieciowych przez zaporę sieciową z systemem wykrywania włamań (IDS). IDS wyszukuje znane szkodliwe wzorce i blokuje ruch w przypadku wykrycia szkodliwych wzorców. Wadą polityki dopasowywania podpisów jest to, że dotyczy ona tylko często aktualizowanych podpisów. Ponadto technologia ta może chronić jedynie przed znanymi zagrożeniami lub atakami.
Wyjątek protokołu
Ponieważ technika wyjątków protokołu nie pozwala po prostu na wszystkie dane, które nie pasują do bazy danych sygnatur, technika wyjątków protokołu używana przez zaporę IDS nie ma nieodłącznych wad metody dopasowywania wzorców/podpisów. Zamiast tego przyjmuje domyślną politykę odrzucania. Zgodnie z definicją protokołu zapory ogniowe decydują, jaki ruch powinien być dozwolony i chronią sieć przed nieznanymi zagrożeniami.
System zapobiegania włamaniom (IPS)
Rozwiązania IPS potrafią blokować transmisję szkodliwych pakietów na podstawie ich zawartości, powstrzymując w ten sposób podejrzane ataki w czasie rzeczywistym. Oznacza to, że jeśli pakiet stanowi znane zagrożenie bezpieczeństwa, IPS będzie aktywnie blokować ruch sieciowy w oparciu o zdefiniowany zestaw reguł. Wadą IPS jest konieczność regularnej aktualizacji bazy danych zagrożeń cybernetycznych o szczegółowe informacje na temat nowych zagrożeń i możliwości uzyskania fałszywych alarmów. Jednak to niebezpieczeństwo można złagodzić, tworząc konserwatywne zasady i niestandardowe progi, ustanawiając odpowiednie podstawowe zachowanie komponentów sieciowych oraz okresowo oceniając ostrzeżenia i zgłaszane zdarzenia w celu usprawnienia monitorowania i ostrzegania.
1- DPI (głęboka inspekcja pakietów) w brokerze pakietów sieciowych
„Głęboka” to porównanie poziomu i zwykłej analizy pakietów, „zwykła inspekcja pakietów” to tylko następująca analiza czwartej warstwy pakietu IP, w tym adresu źródłowego, adresu docelowego, portu źródłowego, portu docelowego i typu protokołu oraz DPI, z wyjątkiem hierarchicznego analiza, zwiększyła także analizę warstwy aplikacji, zidentyfikowała różne aplikacje i treści, aby zrealizować główne funkcje:
1) Analiza aplikacji — analiza składu ruchu sieciowego, analiza wydajności i analiza przepływu
2) Analiza użytkowników – różnicowanie grup użytkowników, analiza zachowań, analiza terminali, analiza trendów itp.
3) Analiza elementów sieci – analiza oparta na atrybutach regionalnych (miasto, dzielnica, ulica itp.) i obciążeniu stacji bazowej
4) Kontrola ruchu — ograniczenie prędkości P2P, zapewnienie QoS, zapewnienie przepustowości, optymalizacja zasobów sieciowych itp.
5) Zapewnienie bezpieczeństwa — ataki DDoS, burza transmisji danych, zapobieganie złośliwym atakom wirusów itp.
2- Ogólna klasyfikacja zastosowań sieciowych
Obecnie w Internecie dostępnych jest niezliczona ilość aplikacji, ale lista popularnych aplikacji internetowych może być wyczerpująca.
O ile wiem, najlepszą firmą zajmującą się rozpoznawaniem aplikacji jest Huawei, która twierdzi, że rozpoznaje 4000 aplikacji. Analiza protokołów jest podstawowym modułem wielu firm zajmujących się firewallami (Huawei, ZTE itp.), a także jest modułem bardzo ważnym, wspierającym realizację innych modułów funkcjonalnych, dokładną identyfikację aplikacji oraz znacznie poprawiającym wydajność i niezawodność produktów. W modelowaniu identyfikacji złośliwego oprogramowania w oparciu o charakterystykę ruchu sieciowego, tak jak to robię obecnie, bardzo ważna jest również dokładna i rozbudowana identyfikacja protokołów. Wyłączając ruch sieciowy popularnych aplikacji z ruchu eksportowego firmy, pozostały ruch będzie stanowił niewielką część, co jest lepsze do analizy złośliwego oprogramowania i alarmowania.
Z mojego doświadczenia wynika, że istniejące powszechnie używane aplikacje są klasyfikowane według ich funkcji:
PS: Zgodnie z osobistym zrozumieniem klasyfikacji aplikacji, masz jakieś dobre sugestie, możesz zostawić propozycję wiadomości
1). E-mail
2). Wideo
3). Zawody sportowe
4). Klasa Office OA
5). Aktualizacja oprogramowania
6). Finansowe (bank, Alipay)
7). Dyby
8). Komunikacja społeczna (oprogramowanie IM)
9). Przeglądanie stron internetowych (prawdopodobnie lepiej identyfikowane za pomocą adresów URL)
10). Narzędzia do pobierania (dysk sieciowy, pobieranie P2P, związane z BT)
Następnie, jak działa DPI (Deep Packet Inspection) w NPB:
1). Przechwytywanie pakietów: NPB przechwytuje ruch sieciowy z różnych źródeł, takich jak przełączniki, routery lub krany. Odbiera pakiety przepływające przez sieć.
2). Analiza pakietów: Przechwycone pakiety są analizowane przez procesor NPB w celu wyodrębnienia różnych warstw protokołu i powiązanych danych. Ten proces analizowania pomaga zidentyfikować różne składniki pakietów, takie jak nagłówki Ethernet, nagłówki IP, nagłówki warstwy transportowej (np. TCP lub UDP) i protokoły warstwy aplikacji.
3). Analiza ładunku: Dzięki DPI NPB wykracza poza kontrolę nagłówka i koncentruje się na ładunku, w tym na rzeczywistych danych zawartych w pakietach. Dokładnie bada zawartość ładunku, niezależnie od używanej aplikacji lub protokołu, w celu wyodrębnienia odpowiednich informacji.
4). Identyfikacja protokołu: DPI umożliwia bankowi NPB identyfikację określonych protokołów i aplikacji używanych w ruchu sieciowym. Może wykrywać i klasyfikować protokoły, takie jak HTTP, FTP, SMTP, DNS, VoIP lub protokoły przesyłania strumieniowego wideo.
5). Kontrola zawartości: DPI umożliwia bankowi NPB sprawdzanie zawartości pakietów pod kątem określonych wzorców, podpisów lub słów kluczowych. Umożliwia to wykrywanie zagrożeń sieciowych, takich jak złośliwe oprogramowanie, wirusy, próby włamań lub podejrzane działania. DPI można również używać do filtrowania treści, egzekwowania zasad sieciowych lub identyfikowania naruszeń zgodności danych.
6). Ekstrakcja metadanych: Podczas DPI funkcja NPB wyodrębnia odpowiednie metadane z pakietów. Może to obejmować takie informacje, jak źródłowy i docelowy adres IP, numery portów, szczegóły sesji, dane transakcji lub inne istotne atrybuty.
7). Routing lub filtrowanie ruchu: Na podstawie analizy DPI sieć NPB może kierować określone pakiety do wyznaczonych miejsc docelowych w celu dalszego przetwarzania, takich jak urządzenia zabezpieczające, narzędzia monitorujące lub platformy analityczne. Może także stosować reguły filtrowania w celu odrzucania lub przekierowywania pakietów w oparciu o zidentyfikowaną treść lub wzorce.
Czas publikacji: 25 czerwca 2023 r