Дубока инспекција пакета (ДПИ)је технологија која се користи у брокерима мрежних пакета (НПБ) за проверу и анализу садржаја мрежних пакета на грануларном нивоу. То укључује испитивање корисног оптерећења, заглавља и других информација специфичних за протокол унутар пакета како би се стекао детаљан увид у мрежни саобраћај.
ДПИ иде даље од једноставне анализе заглавља и пружа дубоко разумевање података који теку кроз мрежу. Омогућава дубинску инспекцију протокола слоја апликације, као што су ХТТП, ФТП, СМТП, ВоИП или протоколи за стриминг видео записа. Испитујући стварни садржај унутар пакета, ДПИ може да открије и идентификује специфичне апликације, протоколе или чак специфичне обрасце података.
Поред хијерархијске анализе изворних адреса, одредишних адреса, изворних портова, одредишних портова и типова протокола, ДПИ такође додаје анализу на нивоу апликације да би идентификовао различите апликације и њихов садржај. Када 1П пакет, ТЦП или УДП подаци прођу кроз систем за управљање пропусним опсегом заснован на ДПИ технологији, систем чита садржај оптерећења 1П пакета да би реорганизовао информације слоја апликације у ОСИ Лаиер 7 протоколу, како би добио садржај целог апликативног програма, а затим обликује саобраћај у складу са политиком управљања коју дефинише систем.
Како ДПИ функционише?
Традиционалним заштитним зидовима често недостаје процесорска снага за обављање темељних провера у реалном времену великих количина саобраћаја. Како технологија напредује, ДПИ се може користити за обављање сложенијих провера за проверу заглавља и података. Типично, заштитни зидови са системима за откривање упада често користе ДПИ. У свету у коме су дигиталне информације најважније, свака дигитална информација се испоручује преко Интернета у малим пакетима. Ово укључује е-пошту, поруке послате преко апликације, посећене веб локације, видео разговоре и још много тога. Поред стварних података, ови пакети укључују метаподатке који идентификују извор саобраћаја, садржај, одредиште и друге важне информације. Са технологијом филтрирања пакета, подаци се могу континуирано надгледати и управљати како би се осигурало да се прослеђују на право место. Али да би се осигурала сигурност мреже, традиционално филтрирање пакета није довољно. Неке од главних метода дубоке инспекције пакета у управљању мрежом су наведене у наставку:
Режим подударања/потпис
Сваки пакет се проверава да ли се подудара са базом података познатих мрежних напада помоћу заштитног зида са могућностима система за откривање упада (ИДС). ИДС тражи познате злонамерне специфичне обрасце и онемогућава саобраћај када се пронађу злонамерни обрасци. Недостатак политике подударања потписа је што се примењује само на потписе који се често ажурирају. Поред тога, ова технологија може да се брани само од познатих претњи или напада.
Протоцол Екцептион
Пошто техника изузетака протокола не дозвољава једноставно све податке који се не поклапају са базом података потписа, техника изузетка протокола коју користи ИДС заштитни зид нема инхерентне недостатке методе подударања шаблона/потписа. Уместо тога, усваја подразумевану политику одбијања. Према дефиницији протокола, заштитни зидови одлучују који саобраћај треба да буде дозвољен и штите мрежу од непознатих претњи.
Систем за спречавање упада (ИПС)
ИПС решења могу блокирати пренос штетних пакета на основу њиховог садржаја, чиме заустављају сумњиве нападе у реалном времену. То значи да ако пакет представља познати безбедносни ризик, ИПС ће проактивно блокирати мрежни саобраћај на основу дефинисаног скупа правила. Један недостатак ИПС-а је потреба да се редовно ажурира база података о сајбер претњама са детаљима о новим претњама, као и могућност лажних позитивних резултата. Али ова опасност се може ублажити стварањем конзервативних политика и прилагођених прагова, успостављањем одговарајућег основног понашања за мрежне компоненте и периодичним проценом упозорења и пријављених догађаја како би се побољшало праћење и упозорење.
1- ДПИ (дубока инспекција пакета) у Нетворк Пацкет Брокеру
Поређење „дубоког“ нивоа и обичне анализе пакета, „обична инспекција пакета“ само следећа анализа слоја ИП пакета 4, укључујући изворну адресу, одредишну адресу, изворни порт, одредишни порт и тип протокола, и ДПИ осим хијерархијске анализе, такође је повећала анализу слоја апликације, идентификовала различите апликације и садржај, да би се реализовале главне функције:
1) Анализа апликације -- анализа састава мрежног саобраћаја, анализа перформанси и анализа тока
2) Анализа корисника -- диференцијација група корисника, анализа понашања, анализа терминала, анализа тренда итд.
3) Анализа елемената мреже -- анализа заснована на регионалним атрибутима (град, округ, улица, итд.) и оптерећењу базне станице
4) Контрола саобраћаја -- П2П ограничење брзине, осигурање КоС-а, осигурање пропусног опсега, оптимизација мрежних ресурса итд.
5) Осигурање безбедности -- ДДоС напади, олуја са емитовањем података, спречавање напада злонамерних вируса итд.
2- Општа класификација мрежних апликација
Данас постоји безброј апликација на Интернету, али уобичајене веб апликације могу бити исцрпне.
Колико ја знам, најбоља компанија за препознавање апликација је Хуавеи, која тврди да препознаје 4.000 апликација. Анализа протокола је основни модул многих фиревалл компанија (Хуавеи, ЗТЕ, итд.), а такође је и веома важан модул, који подржава реализацију других функционалних модула, тачну идентификацију апликација и значајно побољшава перформансе и поузданост производа. У моделирању идентификације злонамерног софтвера на основу карактеристика мрежног саобраћаја, као што ја сада радим, прецизна и опсежна идентификација протокола је такође веома важна. Изузимајући мрежни саобраћај уобичајених апликација из извозног саобраћаја компаније, преостали саобраћај ће чинити мали део, што је боље за анализу малвера и аларм.
На основу мог искуства, постојеће најчешће коришћене апликације су класификоване према њиховим функцијама:
ПС: У складу са личним разумевањем класификације апликација, имате добре предлоге да оставите предлог поруке
1). Е-маил
2). Видео
3). Игре
4). Канцеларија ОА класа
5). Ажурирање софтвера
6). Финансијски (банка, Алипаи)
7). Залихе
8). Друштвена комуникација (софтвер за ИМ)
9). Прегледање веба (вероватно боље идентификовано са УРЛ адресама)
10). Алати за преузимање (веб диск, П2П преузимање, везано за БТ)
Затим, како ДПИ (дубока инспекција пакета) функционише у НПБ-у:
1). Снимање пакета: НПБ хвата мрежни саобраћај из различитих извора, као што су свичеви, рутери или славине. Он прима пакете који теку кроз мрежу.
2). Парсинг пакета: Ухваћене пакете анализира НПБ да би издвојио различите слојеве протокола и повезане податке. Овај процес рашчлањивања помаже да се идентификују различите компоненте унутар пакета, као што су Етхернет заглавља, ИП заглавља, заглавља транспортног слоја (нпр. ТЦП или УДП) и протоколи слоја апликације.
3). Анализа корисног оптерећења: Са ДПИ, НПБ иде даље од инспекције заглавља и фокусира се на корисно оптерећење, укључујући стварне податке унутар пакета. Он детаљно испитује садржај корисног оптерећења, без обзира на апликацију или протокол који се користи, да би извукао релевантне информације.
4). Идентификација протокола: ДПИ омогућава НПБ-у да идентификује специфичне протоколе и апликације које се користе у оквиру мрежног саобраћаја. Може да открије и класификује протоколе као што су ХТТП, ФТП, СМТП, ДНС, ВоИП или протоколи за стриминг видео записа.
5). Инспекција садржаја: ДПИ омогућава НПБ-у да прегледа садржај пакета за специфичне обрасце, потписе или кључне речи. Ово омогућава откривање мрежних претњи, као што су малвер, вируси, покушаји упада или сумњиве активности. ДПИ се такође може користити за филтрирање садржаја, спровођење мрежних смерница или идентификовање кршења усклађености са подацима.
6). Екстракција метаподатака: Током ДПИ, НПБ издваја релевантне метаподатке из пакета. Ово може укључивати информације као што су изворне и одредишне ИП адресе, бројеви портова, детаљи сесије, подаци о трансакцијама или било који други релевантни атрибути.
7). Усмеравање или филтрирање саобраћаја: На основу ДПИ анализе, НПБ може да усмери специфичне пакете на одређена одредишта за даљу обраду, као што су безбедносни уређаји, алати за праћење или платформе за анализу. Такође може да примени правила филтрирања да одбаци или преусмери пакете на основу идентификованог садржаја или образаца.
Време поста: 25.06.2023
