Głęboka inspekcja pakietów ((DPI)to technologia wykorzystywana w brokerach pakietów sieciowych (NPB) do szczegółowej inspekcji i analizy zawartości pakietów sieciowych. Polega ona na badaniu zawartości pakietów, nagłówków i innych informacji specyficznych dla danego protokołu, aby uzyskać szczegółowy wgląd w ruch sieciowy.
DPI wykracza poza prostą analizę nagłówków i zapewnia dogłębne zrozumienie danych przepływających przez sieć. Umożliwia dogłębną inspekcję protokołów warstwy aplikacji, takich jak HTTP, FTP, SMTP, VoIP czy protokoły strumieniowania wideo. Analizując rzeczywistą zawartość pakietów, DPI może wykrywać i identyfikować określone aplikacje, protokoły, a nawet określone wzorce danych.
Oprócz analizy hierarchicznej adresów źródłowych, adresów docelowych, portów źródłowych, portów docelowych i typów protokołów, DPI oferuje również analizę warstwy aplikacji, która pozwala na identyfikację różnych aplikacji i ich zawartości. Gdy pakiet 1P, dane TCP lub UDP przepływają przez system zarządzania pasmem oparty na technologii DPI, system odczytuje zawartość pakietu 1P, aby zreorganizować informacje warstwy aplikacji w protokole warstwy 7 modelu OSI, tak aby uzyskać zawartość całego programu aplikacyjnego, a następnie kształtować ruch zgodnie z polityką zarządzania zdefiniowaną przez system.
Jak działa DPI?
Tradycyjne zapory sieciowe często nie mają wystarczającej mocy obliczeniowej, aby przeprowadzać dokładne kontrole w czasie rzeczywistym dużych wolumenów ruchu. Wraz z postępem technologicznym, DPI może być wykorzystywane do przeprowadzania bardziej złożonych kontroli nagłówków i danych. Zazwyczaj zapory sieciowe z systemami wykrywania włamań często korzystają z DPI. W świecie, w którym informacje cyfrowe mają kluczowe znaczenie, każda informacja cyfrowa jest dostarczana przez Internet w małych pakietach. Obejmuje to wiadomości e-mail, wiadomości wysyłane za pośrednictwem aplikacji, odwiedzane strony internetowe, rozmowy wideo i wiele innych. Oprócz samych danych, pakiety te zawierają metadane identyfikujące źródło ruchu, treść, miejsce docelowe i inne ważne informacje. Dzięki technologii filtrowania pakietów dane mogą być stale monitorowane i zarządzane, aby zapewnić ich przekazywanie we właściwe miejsce. Jednak aby zapewnić bezpieczeństwo sieci, tradycyjne filtrowanie pakietów jest zdecydowanie niewystarczające. Poniżej wymieniono niektóre z głównych metod głębokiej inspekcji pakietów w zarządzaniu siecią:
Tryb dopasowania/Podpis
Każdy pakiet jest sprawdzany pod kątem zgodności z bazą danych znanych ataków sieciowych przez zaporę sieciową z funkcją systemu wykrywania włamań (IDS). IDS wyszukuje znane, specyficzne wzorce złośliwego oprogramowania i blokuje ruch w przypadku ich wykrycia. Wadą zasady dopasowywania sygnatur jest to, że dotyczy ona tylko sygnatur, które są często aktualizowane. Ponadto technologia ta może chronić jedynie przed znanymi zagrożeniami lub atakami.
Wyjątek protokołu
Ponieważ technika wyjątku protokołu nie pozwala po prostu na wszystkie dane niezgodne z bazą sygnatur, technika wyjątku protokołu stosowana przez zaporę IDS nie ma wad metody dopasowywania wzorców/sygnatur. Zamiast tego przyjmuje domyślną politykę odrzucania. Zgodnie z definicją protokołu, zapory decydują, jaki ruch powinien być dozwolony i chronią sieć przed nieznanymi zagrożeniami.
System zapobiegania włamaniom (IPS)
Rozwiązania IPS mogą blokować transmisję szkodliwych pakietów na podstawie ich zawartości, powstrzymując w ten sposób podejrzane ataki w czasie rzeczywistym. Oznacza to, że jeśli pakiet stanowi znane zagrożenie bezpieczeństwa, IPS proaktywnie zablokuje ruch sieciowy w oparciu o zdefiniowany zestaw reguł. Jedną z wad systemów IPS jest konieczność regularnej aktualizacji bazy danych cyberzagrożeń o informacje o nowych zagrożeniach oraz możliwość wystąpienia fałszywych alarmów. Zagrożenie to można jednak ograniczyć, tworząc konserwatywne polityki i niestandardowe progi, ustalając odpowiednie zachowanie bazowe dla komponentów sieciowych oraz okresowo oceniając ostrzeżenia i zgłaszane zdarzenia w celu usprawnienia monitorowania i powiadamiania.
1- DPI (głęboka inspekcja pakietów) w brokerze pakietów sieciowych
„Głęboka” analiza to porównanie poziomu i zwykłej analizy pakietów, „zwykła inspekcja pakietów” to tylko analiza warstwy 4 pakietu IP, obejmująca adres źródłowy, adres docelowy, port źródłowy, port docelowy i typ protokołu oraz DPI, z wyjątkiem analizy hierarchicznej. Rozszerzona jest również analiza warstwy aplikacji, identyfikacja różnych aplikacji i treści w celu realizacji głównych funkcji:
1) Analiza aplikacji – analiza składu ruchu sieciowego, analiza wydajności i analiza przepływu
2) Analiza użytkowników – różnicowanie grup użytkowników, analiza zachowań, analiza końcowa, analiza trendów itp.
3) Analiza elementów sieci – analiza oparta na atrybutach regionalnych (miasto, dzielnica, ulica itp.) i obciążeniu stacji bazowej
4) Kontrola ruchu — ograniczanie prędkości P2P, zapewnienie jakości usług, zapewnienie przepustowości, optymalizacja zasobów sieciowych itp.
5) Zapewnienie bezpieczeństwa – ataki DDoS, ochrona przed rozsyłaniem danych, zapobieganie atakom złośliwych wirusów itp.
2- Ogólna klasyfikacja aplikacji sieciowych
Obecnie w Internecie dostępnych jest niezliczona ilość aplikacji, jednak lista typowych aplikacji sieciowych może być wyczerpująca.
O ile wiem, najlepszą firmą zajmującą się rozpoznawaniem aplikacji jest Huawei, która deklaruje rozpoznanie 4000 aplikacji. Analiza protokołów to podstawowy moduł wielu firm produkujących zapory sieciowe (Huawei, ZTE itp.), a także bardzo ważny moduł, wspierający realizację innych modułów funkcjonalnych, dokładną identyfikację aplikacji i znacznie poprawiający wydajność i niezawodność produktów. W modelowaniu identyfikacji złośliwego oprogramowania na podstawie charakterystyki ruchu sieciowego, co robię obecnie, dokładna i kompleksowa identyfikacja protokołów jest również bardzo ważna. Wyłączając ruch sieciowy popularnych aplikacji z ruchu eksportowego firmy, pozostały ruch będzie stanowił niewielką część, co jest lepsze dla analizy złośliwego oprogramowania i alarmowania.
Na podstawie mojego doświadczenia, istniejące powszechnie używane aplikacje można sklasyfikować według ich funkcji:
PS: Zgodnie z osobistym zrozumieniem klasyfikacji aplikacji, jeśli masz jakieś dobre sugestie, możesz zostawić wiadomość z propozycją
1) E-mail
2). Wideo
3). Gry
4). Klasa OA w biurze
5). Aktualizacja oprogramowania
6). Finanse (bank, Alipay)
7). Akcje
8). Komunikacja społeczna (oprogramowanie komunikatorów internetowych)
9) Przeglądanie stron internetowych (prawdopodobnie lepiej identyfikowane za pomocą adresów URL)
10). Narzędzia do pobierania (dysk internetowy, pobieranie P2P, związane z BT)
Jak działa DPI (Deep Packet Inspection) w NPB:
1). Przechwytywanie pakietów: NPB przechwytuje ruch sieciowy z różnych źródeł, takich jak przełączniki, routery czy odczepy. Odbiera pakiety przepływające przez sieć.
2) Analiza pakietów: Przechwycone pakiety są analizowane przez NPB w celu wyodrębnienia różnych warstw protokołów i powiązanych danych. Ten proces analizy pomaga zidentyfikować różne komponenty w pakietach, takie jak nagłówki Ethernet, nagłówki IP, nagłówki warstwy transportowej (np. TCP lub UDP) oraz protokoły warstwy aplikacji.
3). Analiza ładunku: Dzięki DPI, NPB wykracza poza inspekcję nagłówków i koncentruje się na ładunku, w tym na rzeczywistych danych w pakietach. Dogłębnie analizuje zawartość ładunku, niezależnie od używanej aplikacji lub protokołu, aby wyodrębnić istotne informacje.
4). Identyfikacja protokołów: DPI umożliwia NPB identyfikację konkretnych protokołów i aplikacji używanych w ruchu sieciowym. Może wykrywać i klasyfikować protokoły takie jak HTTP, FTP, SMTP, DNS, VoIP czy protokoły strumieniowania wideo.
5). Inspekcja zawartości: DPI umożliwia NPB inspekcję zawartości pakietów pod kątem określonych wzorców, sygnatur lub słów kluczowych. Umożliwia to wykrywanie zagrożeń sieciowych, takich jak złośliwe oprogramowanie, wirusy, próby włamań i podejrzane działania. DPI może być również wykorzystywane do filtrowania zawartości, egzekwowania zasad sieciowych lub identyfikowania naruszeń zgodności danych.
6). Ekstrakcja metadanych: Podczas DPI NPB wyodrębnia z pakietów istotne metadane. Mogą one obejmować takie informacje, jak źródłowy i docelowy adres IP, numery portów, szczegóły sesji, dane transakcji lub inne istotne atrybuty.
7). Routing lub filtrowanie ruchu: Na podstawie analizy DPI, NPB może kierować określone pakiety do wyznaczonych miejsc docelowych w celu dalszego przetwarzania, takich jak urządzenia zabezpieczające, narzędzia monitorujące lub platformy analityczne. Może również stosować reguły filtrowania, aby odrzucać lub przekierowywać pakiety na podstawie zidentyfikowanej zawartości lub wzorców.
Czas publikacji: 25 czerwca 2023 r.
