Kontrola hlbokých paketov (Dpi)je technológia používaná v sieťových paketových maklérov (NPBS) na kontrolu a analýzu obsahu sieťových paketov na granulovanej úrovni. Zahŕňa preskúmanie užitočného zaťaženia, hlavičiek a ďalších informácií špecifických pre protokol v paketoch, aby ste získali podrobné informácie o sieťovej prevádzke.
DPI ide nad rámec jednoduchej analýzy hlavičky a poskytuje hlboké pochopenie údajov pretekajúcich sieťou. Umožňuje hĺbkovú kontrolu protokolov aplikačnej vrstvy, ako sú protokoly HTTP, FTP, SMTP, VOIP alebo video streamovanie. Preskúmaním skutočného obsahu v paketoch môže DPI detekovať a identifikovať konkrétne aplikácie, protokoly alebo dokonca špecifické vzory údajov.
Okrem hierarchickej analýzy zdrojových adries, cieľových adries, zdrojových portov, cieľových portov a typov protokolov, DPI tiež pridáva analýzu aplikačných vrstiev na identifikáciu rôznych aplikácií a ich obsahu. Keď dáta 1P paket, TCP alebo UDP tok systému správy šírky pásma založeného na technológii DPI, systém číta obsah 1p zaťaženia paketov na reorganizáciu informácií o aplikačnej vrstve v protokole Layer 7 OSI, aby sa získal obsah celého aplikačného programu a potom formovanie prenosu podľa politiky správy definovanej systémom.
Ako funguje DPI?
Tradičné brány firewall často nemajú spracovaciu silu na vykonávanie dôkladných kontrol v reálnom čase veľkého objemu premávky. Ako technologický pokrok, DPI sa môže použiť na vykonanie zložitejších kontrol na kontrolu hlavičiek a údajov. Brány firewall so systémami detekcie vniknutia zvyčajne používajú DPI. Vo svete, v ktorom sú digitálne informácie prvoradé, sa každá časť digitálnych informácií poskytuje cez internet v malých paketoch. Zahŕňa to e -mail, správy odosielané prostredníctvom aplikácie, navštívené webové stránky, videozáznamy a ďalšie. Okrem skutočných údajov tieto pakety zahŕňajú metadáta, ktoré identifikujú zdroj prenosu, obsah, cieľ a ďalšie dôležité informácie. Vďaka technológii filtrovania paketov je možné dáta neustále monitorovať a spravovať, aby sa zabezpečilo, že sú preposlané na správne miesto. Ale na zabezpečenie zabezpečenia siete je tradičné filtrovanie paketov ani zďaleka dostatočné. Niektoré z hlavných metód inšpekcie hlbokých paketov v správe siete sú uvedené nižšie:
Zodpovedajúci režim/podpis
Každý paket je skontrolovaný, či nie je zhodou s databázou známych sieťových útokov firewall s schopnostiami detekcie narušenia (IDS). IDS vyhľadáva známe škodlivé špecifické vzory a deaktivujú premávku, keď sa nájdu škodlivé vzory. Nevýhodou politiky zodpovedajúceho podpisu spočíva v tom, že sa vzťahuje iba na podpisy, ktoré sa často aktualizujú. Táto technológia sa navyše môže brániť iba proti známym hrozbám alebo útokom.
Výnimka protokolu
Pretože technika výnimky protokolu neumožňuje iba všetky údaje, ktoré sa nezhodujú s databázou podpisu, technika výnimky protokolu, ktorú používa firewall IDS, nemá vlastné nedostatky metódy porovnávania vzorov/podpisov. Namiesto toho prijíma predvolenú politiku odmietnutia. Podľa definície protokolu brány firewall rozhodujú o tom, aký prenos by mal byť povolený, a chrániť sieť pred neznámymi hrozbami.
Systém prevencie vniknutia (IPS)
Riešenia IPS môžu blokovať prenos škodlivých paketov na základe ich obsahu, čím zastavuje podozrenie na útoky v reálnom čase. To znamená, že ak paket predstavuje známe bezpečnostné riziko, IPS aktívne blokuje sieťový prenos na základe definovaného súboru pravidiel. Jednou z nevýhod IPS je potreba pravidelne aktualizovať databázu počítačových hrozieb s podrobnosťami o nových hrozbách a možnosť falošných pozitív. Toto nebezpečenstvo však možno zmierniť vytvorením konzervatívnych politík a vlastných prahov, stanovením vhodného základného správania pre komponenty siete a pravidelným hodnotením varovaní a hlásení udalostí na zlepšenie monitorovania a varovania.
1- DPI (Inšpekcia hlbokých paketov) v maklérovi siete paketov
„Deep“ je porovnanie analýzy na úrovni a obyčajné analýzy paketov, „bežná kontrola paketov“ iba nasledujúca analýza vrstvy paketov 4 IP, vrátane zdrojovej adresy, cieľovej adresy, zdrojového portu, cieľového portu a typu protokolu a DPI, s výnimkou hierarchickej analýzy, tiež zvýšila analýzu aplikačných vrstiev, identifikovala rôzne aplikácie a obsah, aby sa realizovali hlavné funkcie:
1) Analýza aplikácií - analýza zloženia sieťovej dopravy, analýza výkonnosti a analýza toku
2) Analýza používateľov - diferenciácia skupiny používateľov, analýza správania, analýza terminálu, analýza trendov atď.
3) Analýza sieťových prvkov - Analýza založená na regionálnych atribútoch (mesto, okres, ulica atď.) A Zaťaženie základňových staníc
4) Ovládanie prevádzky - obmedzenie rýchlosti P2P, zabezpečenie QoS, zabezpečenie šírky pásma, optimalizácia sieťových zdrojov atď.
5) Zabezpečenie bezpečnosti - útoky DDOS, búrka vysielania údajov, prevencia škodlivých útokov vírusov atď.
2- Všeobecná klasifikácia sieťových aplikácií
Dnes existuje nespočetné množstvo aplikácií na internete, ale bežné webové aplikácie môžu byť vyčerpávajúce.
Pokiaľ viem, najlepšou spoločnosťou na rozpoznávanie aplikácií je Huawei, ktorá tvrdí, že uznáva 4 000 aplikácií. Analýza protokolu je základným modulom mnohých firewall spoločností (Huawei, ZTE atď.) A je to tiež veľmi dôležitý modul, ktorý podporuje realizáciu iných funkčných modulov, presnú identifikáciu aplikácií a výrazne zlepšuje výkon a spoľahlivosť výrobkov. Pri modelovaní identifikácie škodlivého softvéru na základe charakteristík sieťového prenosu, ako to robím teraz, je veľmi dôležitá aj presná a rozsiahla identifikácia protokolu. Okrem sieťového prenosu bežných aplikácií z exportného prenosu spoločnosti bude zostávajúci prenos predstavovať malý podiel, ktorý je lepší pre analýzu škodlivého softvéru a alarm.
Na základe mojich skúseností sú existujúce bežne používané aplikácie klasifikované podľa svojich funkcií:
PS: Podľa osobného chápania klasifikácie aplikácií máte nejaké dobré návrhy na zanechanie návrhu správy
1). E-mail
2). Video
3). Hier
4). Trieda OA
5). Aktualizácia softvéru
6). Financial (Bank, Alipay)
7). Zásoba
8). Sociálna komunikácia (softvér IM)
9). Prehliadanie na webe (pravdepodobne lepšie identifikované s URL)
10). Nástroje na stiahnutie (webový disk, p2p na stiahnutie, bt súvisiace)
Potom, ako DPI (Inšpekcia hlbokých paketov) funguje v NPB:
1). Zachytávanie paketov: NPB zachytáva sieťový prenos z rôznych zdrojov, ako sú prepínače, smerovače alebo kohútiky. Prijíma pakety tečúce cez sieť.
2). Paketová analýza: Zachytené pakety sú analyzované NPB na extrahovanie rôznych vrstiev protokolov a súvisiace údaje. Tento proces analýzy pomáha identifikovať rôzne komponenty v paketoch, ako sú hlavičky ethernetu, hlavičky IP, hlavičky transportných vrstiev (EG, TCP alebo UDP) a protokoly aplikačnej vrstvy.
3). Analýza užitočného zaťaženia: Pri DPI NPB presahuje kontrolu hlavičky a zameriava sa na užitočné zaťaženie vrátane skutočných údajov v paketoch. Skúma hĺbkový obsah užitočného zaťaženia bez ohľadu na aplikáciu alebo protokol na extrahovanie príslušných informácií.
4). Identifikácia protokolu: DPI umožňuje NPB identifikovať konkrétne protokoly a aplikácie používané v rámci sieťového prenosu. Dokáže detekovať a klasifikovať protokoly ako HTTP, FTP, SMTP, DNS, VOIP alebo protokoly streamovania videa.
5). Inšpekcia obsahu: DPI umožňuje NPB skontrolovať obsah paketov, či neobsahujú konkrétne vzory, podpisy alebo kľúčové slová. To umožňuje detekciu sieťových hrozieb, ako sú škodlivý softvér, vírusy, pokusy o vniknutie alebo podozrivé činnosti. DPI sa dá použiť aj na filtrovanie obsahu, presadzovanie sieťových politík alebo identifikáciu porušenia dodržiavania údajov.
6). Extrakcia metadát: Počas DPI extrahuje NPB relevantné metadáta z paketov. To môže obsahovať informácie, ako sú zdrojové a cieľové adresy IP, čísla portov, podrobnosti relácie, údaje o transakciách alebo akékoľvek iné relevantné atribúty.
7). Trabilné smerovanie alebo filtrovanie: Na základe analýzy DPI môže NPB smerovať konkrétne pakety na určené destinácie pre ďalšie spracovanie, ako sú bezpečnostné zariadenia, monitorovacie nástroje alebo analytické platformy. Môže tiež použiť pravidlá filtrovania na zlikvidovanie alebo presmerovanie paketov na základe identifikovaného obsahu alebo vzorov.
Čas príspevku: jún-25-2023
