Дубинска инспекција пакета (DPI)је технологија која се користи у мрежним пакетним брокерима (NPB) за детаљну инспекцију и анализу садржаја мрежних пакета. Она подразумева испитивање корисног терета, заглавља и других информација специфичних за протокол унутар пакета како би се добио детаљан увид у мрежни саобраћај.
DPI иде даље од једноставне анализе заглавља и пружа дубинско разумевање података који теку кроз мрежу. Омогућава детаљну инспекцију протокола апликацијског слоја, као што су HTTP, FTP, SMTP, VoIP или протоколи за стримовање видеа. Испитивањем стварног садржаја унутар пакета, DPI може да детектује и идентификује одређене апликације, протоколе или чак одређене обрасце података.
Поред хијерархијске анализе изворних адреса, одредишних адреса, изворних портова, одредишних портова и типова протокола, DPI такође додаје анализу апликацијског слоја како би идентификовао различите апликације и њихов садржај. Када 1P пакет, TCP или UDP подаци пролазе кроз систем за управљање пропусним опсегом заснован на DPI технологији, систем чита садржај учитаних 1P пакета како би реорганизовао информације апликацијског слоја у OSI Layer 7 протоколу, како би добио садржај целог апликацијског програма, а затим обликовао саобраћај у складу са политиком управљања коју је дефинисао систем.
Како функционише ДПИ?
Традиционалним заштитним зидовима често недостаје процесорска снага за обављање темељних провера великих количина саобраћаја у реалном времену. Како технологија напредује, DPI се може користити за обављање сложенијих провера заглавља и података. Типично, заштитни зидови са системима за детекцију упада често користе DPI. У свету где су дигиталне информације најважније, сваки део дигиталних информација се испоручује преко интернета у малим пакетима. То укључује е-пошту, поруке послате путем апликације, посећене веб странице, видео разговоре и још много тога. Поред стварних података, ови пакети укључују метаподатке који идентификују извор саобраћаја, садржај, одредиште и друге важне информације. Помоћу технологије филтрирања пакета, подаци се могу континуирано пратити и управљати њима како би се осигурало да се прослеђују на право место. Али да би се осигурала безбедност мреже, традиционално филтрирање пакета није довољно. Неке од главних метода дубинске инспекције пакета у управљању мрежом наведене су у наставку:
Режим подударања/потпис
Сваки пакет се проверава на подударање са базом података познатих мрежних напада помоћу заштитног зида са могућностима система за детекцију упада (IDS). IDS тражи познате злонамерне специфичне обрасце и онемогућава саобраћај када се пронађу злонамерни обрасци. Мана политике подударања потписа је што се примењује само на потписе који се често ажурирају. Поред тога, ова технологија може да се брани само од познатих претњи или напада.
Изузетак протокола
Пошто техника изузећа протокола не дозвољава једноставно све податке који се не подударају са базом података потписа, техника изузећа протокола коју користи IDS заштитни зид нема инхерентне недостатке методе подударања образаца/потписа. Уместо тога, усваја подразумевану политику одбијања. По дефиницији протокола, заштитни зидови одлучују који саобраћај треба дозволити и штите мрежу од непознатих претњи.
Систем за спречавање упада (IPS)
ИПС решења могу блокирати пренос штетних пакета на основу њиховог садржаја, чиме се заустављају сумњиви напади у реалном времену. То значи да ако пакет представља познати безбедносни ризик, ИПС ће проактивно блокирати мрежни саобраћај на основу дефинисаног скупа правила. Један недостатак ИПС-а је потреба за редовним ажурирањем базе података о сајбер претњама са детаљима о новим претњама и могућношћу лажно позитивних резултата. Али ова опасност се може ублажити креирањем конзервативних политика и прилагођених прагова, успостављањем одговарајућег основног понашања за мрежне компоненте и периодичним процењивањем упозорења и пријављених догађаја како би се побољшало праћење и упозоравање.
1- DPI (дубинска инспекција пакета) у мрежном брокеру пакета
„Дубина“ је поређење нивоа и обичне анализе пакета, „обична инспекција пакета“ само следи следећу анализу 4 слоја IP пакета, укључујући изворну адресу, одредишну адресу, изворни порт, одредишни порт и тип протокола, и DPI, осим са хијерархијском анализом, такође је повећана анализа апликацијског слоја, идентификујући различите апликације и садржај, да би се реализовале главне функције:
1) Анализа апликације -- анализа састава мрежног саобраћаја, анализа перформанси и анализа протока
2) Анализа корисника -- диференцијација корисничких група, анализа понашања, анализа терминала, анализа трендова итд.
3) Анализа мрежних елемената -- анализа заснована на регионалним атрибутима (град, округ, улица итд.) и оптерећењу базне станице
4) Контрола саобраћаја -- ограничавање брзине P2P, осигурање QoS-а, осигурање пропусног опсега, оптимизација мрежних ресурса итд.
5) Безбедносна гаранција -- DDoS напади, олуја емитовања података, спречавање напада злонамерних вируса итд.
2- Општа класификација мрежних апликација
Данас на интернету постоји безброј апликација, али уобичајене веб апликације могу бити исцрпне.
Колико ја знам, најбоља компанија за препознавање апликација је Huawei, која тврди да препознаје 4.000 апликација. Анализа протокола је основни модул многих компанија за заштитне зидове (Huawei, ZTE, итд.), а такође је и веома важан модул, који подржава реализацију других функционалних модула, тачну идентификацију апликација и значајно побољшава перформансе и поузданост производа. Приликом моделирања идентификације злонамерног софтвера на основу карактеристика мрежног саобраћаја, као што сада радим, тачна и опсежна идентификација протокола је такође веома важна. Искључујући мрежни саобраћај уобичајених апликација из извозног саобраћаја компаније, преостали саобраћај ће чинити мали део, што је боље за анализу злонамерног софтвера и алармирање.
На основу мог искуства, постојеће често коришћене апликације су класификоване према својим функцијама:
П.С.: Према личном разумевању класификације апликације, ако имате добре предлоге, добродошли сте да оставите поруку са предлогом.
1). Е-пошта
2). Видео
3). Игре
4). Час канцеларијског ОА
5). Ажурирање софтвера
6). Финансије (банка, Alipay)
7). Акције
8). Друштвена комуникација (софтвер за поруке порука)
9). Прегледање веба (вероватно боље идентификовано помоћу URL-ова)
10). Алати за преузимање (веб диск, P2P преузимање, везано за БТ)
Како онда DPI (дубинска инспекција пакета) функционише у NPB-у:
1). Снимање пакета: NPB снима мрежни саобраћај из различитих извора, као што су прекидачи, рутери или одводници. Прима пакете који теку кроз мрежу.
2). Парсирање пакета: NPB анализира заробљене пакете како би извукао различите слојеве протокола и повезане податке. Овај процес парсирања помаже у идентификацији различитих компоненти унутар пакета, као што су Ethernet заглавља, IP заглавља, заглавља транспортног слоја (нпр. TCP или UDP) и протоколи апликацијског слоја.
3). Анализа корисног терета: Са DPI, NPB иде даље од инспекције заглавља и фокусира се на корисни терет, укључујући стварне податке унутар пакета. Он детаљно испитује садржај корисног терета, без обзира на коришћену апликацију или протокол, како би извукао релевантне информације.
4). Идентификација протокола: DPI омогућава NPB-у да идентификује специфичне протоколе и апликације које се користе у мрежном саобраћају. Може да детектује и класификује протоколе као што су HTTP, FTP, SMTP, DNS, VoIP или протоколи за стримовање видеа.
5). Инспекција садржаја: DPI омогућава NPB-у да инспектира садржај пакета у потрази за одређеним обрасцима, потписима или кључним речима. Ово омогућава откривање мрежних претњи, као што су злонамерни софтвер, вируси, покушаји упада или сумњиве активности. DPI се такође може користити за филтрирање садржаја, спровођење мрежних политика или идентификовање кршења прописа о усклађености података.
6). Екстракција метаподатака: Током DPI-ја, NPB издваја релевантне метаподатке из пакета. То може да укључује информације као што су изворне и одредишне IP адресе, бројеви портова, детаљи сесије, подаци о трансакцијама или било који други релевантни атрибути.
7). Усмеравање или филтрирање саобраћаја: На основу DPI анализе, NPB може усмерити одређене пакете ка одређеним одредиштима за даљу обраду, као што су безбедносни уређаји, алати за праћење или аналитичке платформе. Такође може применити правила филтрирања за одбацивање или преусмеравање пакета на основу идентификованог садржаја или образаца.
Време објаве: 25. јун 2023.
