Hĺbková kontrola paketov (DPI)je technológia používaná v sieťových sprostredkovateľoch paketov (NPB) na kontrolu a analýzu obsahu sieťových paketov na granulárnej úrovni. Zahŕňa skúmanie užitočného zaťaženia, hlavičiek a ďalších informácií špecifických pre protokol v rámci paketov s cieľom získať podrobný prehľad o sieťovej prevádzke.
DPI ide nad rámec jednoduchej analýzy hlavičiek a poskytuje hlboké pochopenie dát prúdiacich sieťou. Umožňuje hĺbkovú kontrolu protokolov aplikačnej vrstvy, ako sú HTTP, FTP, SMTP, VoIP alebo protokoly streamovania videa. Preskúmaním skutočného obsahu v paketoch dokáže DPI detekovať a identifikovať konkrétne aplikácie, protokoly alebo dokonca špecifické dátové vzory.
Okrem hierarchickej analýzy zdrojových adries, cieľových adries, zdrojových portov, cieľových portov a typov protokolov DPI pridáva aj analýzu aplikačnej vrstvy na identifikáciu rôznych aplikácií a ich obsahu. Keď paket 1P, dáta TCP alebo UDP pretekajú systémom správy šírky pásma založeným na technológii DPI, systém načíta obsah načítaného paketu 1P, aby reorganizoval informácie aplikačnej vrstvy v protokole OSI Layer 7, aby získal obsah celého aplikačného programu a následne upravoval prevádzku podľa politiky správy definovanej systémom.
Ako funguje DPI?
Tradičným firewallom často chýba výpočtový výkon na vykonávanie dôkladných kontrol veľkých objemov prevádzky v reálnom čase. S pokrokom technológií sa DPI môže použiť na vykonávanie zložitejších kontrol hlavičiek a údajov. Firewally so systémami detekcie narušenia zvyčajne používajú DPI. Vo svete, kde sú digitálne informácie prvoradé, sa každá digitálna informácia prenáša cez internet v malých paketoch. Patria sem e-maily, správy odoslané prostredníctvom aplikácie, navštívené webové stránky, videohovory a ďalšie. Okrem skutočných údajov tieto pakety obsahujú metadáta, ktoré identifikujú zdroj prevádzky, obsah, cieľ a ďalšie dôležité informácie. Vďaka technológii filtrovania paketov je možné údaje nepretržite monitorovať a spravovať, aby sa zabezpečilo ich presmerovanie na správne miesto. Na zaistenie bezpečnosti siete však tradičné filtrovanie paketov zďaleka nestačí. Niektoré z hlavných metód hĺbkovej kontroly paketov v správe siete sú uvedené nižšie:
Režim zhody/podpis
Každý paket je skontrolovaný firewallom s funkciami systému detekcie narušenia (IDS) na zhodu s databázou známych sieťových útokov. IDS vyhľadáva známe škodlivé špecifické vzory a pri ich nájdení zablokuje prevádzku. Nevýhodou politiky porovnávania podpisov je, že sa vzťahuje iba na podpisy, ktoré sa často aktualizujú. Okrem toho táto technológia dokáže chrániť iba pred známymi hrozbami alebo útokmi.
Výnimka protokolu
Keďže technika výnimky protokolu jednoducho nepovoľuje všetky údaje, ktoré sa nezhodujú s databázou podpisov, technika výnimky protokolu používaná firewallom IDS nemá inherentné nedostatky metódy porovnávania vzorov/podpisov. Namiesto toho prijíma predvolenú politiku odmietnutia. Podľa definície protokolu firewally rozhodujú o tom, aká prevádzka by mala byť povolená, a chránia sieť pred neznámymi hrozbami.
Systém prevencie narušenia (IPS)
Riešenia IPS dokážu blokovať prenos škodlivých paketov na základe ich obsahu, čím v reálnom čase zastavia podozrivé útoky. To znamená, že ak paket predstavuje známe bezpečnostné riziko, IPS proaktívne zablokuje sieťovú prevádzku na základe definovaného súboru pravidiel. Jednou z nevýhod IPS je potreba pravidelne aktualizovať databázu kybernetických hrozieb s podrobnosťami o nových hrozbách a možnosťou falošných poplachov. Toto nebezpečenstvo sa však dá zmierniť vytvorením konzervatívnych politík a vlastných prahových hodnôt, stanovením vhodného základného správania pre sieťové komponenty a pravidelným vyhodnocovaním varovaní a hlásených udalostí s cieľom zlepšiť monitorovanie a upozorňovanie.
1. DPI (hlboká inšpekcia paketov) v Network Packet Broker
„Hĺbková“ analýza je porovnanie úrovne a bežnej analýzy paketov. „Bežná kontrola paketov“ zahŕňa iba analýzu 4 vrstiev IP paketov vrátane zdrojovej adresy, cieľovej adresy, zdrojového portu, cieľového portu a typu protokolu a DPI, s výnimkou hierarchickej analýzy. Zvýšená analýza aplikačnej vrstvy identifikuje rôzne aplikácie a obsah a realizuje hlavné funkcie:
1) Analýza aplikácií -- analýza zloženia sieťovej prevádzky, analýza výkonu a analýza toku
2) Analýza používateľov -- diferenciácia skupín používateľov, analýza správania, analýza terminálov, analýza trendov atď.
3) Analýza sieťových prvkov -- analýza založená na regionálnych atribútoch (mesto, okres, ulica atď.) a zaťažení základňovej stanice
4) Riadenie prevádzky -- obmedzenie rýchlosti P2P, zabezpečenie QoS, zabezpečenie šírky pásma, optimalizácia sieťových zdrojov atď.
5) Zabezpečenie bezpečnosti -- DDoS útoky, dátové búrky, prevencia útokov škodlivých vírusov atď.
2. Všeobecná klasifikácia sieťových aplikácií
Dnes existuje na internete nespočetné množstvo aplikácií, ale zoznam bežných webových aplikácií môže byť vyčerpávajúci.
Pokiaľ viem, najlepšou spoločnosťou v oblasti rozpoznávania aplikácií je Huawei, ktorá tvrdí, že dokáže rozpoznať 4 000 aplikácií. Analýza protokolov je základným modulom mnohých firewallových spoločností (Huawei, ZTE atď.) a je tiež veľmi dôležitým modulom, ktorý podporuje realizáciu ďalších funkčných modulov, presnú identifikáciu aplikácií a výrazne zlepšuje výkon a spoľahlivosť produktov. Pri modelovaní identifikácie škodlivého softvéru na základe charakteristík sieťovej prevádzky, ako to robím teraz, je veľmi dôležitá aj presná a rozsiahla identifikácia protokolov. Ak z exportovanej prevádzky spoločnosti vylúčime sieťovú prevádzku bežných aplikácií, zvyšná prevádzka bude tvoriť malú časť, čo je lepšie pre analýzu škodlivého softvéru a alarmy.
Na základe mojich skúseností sú existujúce bežne používané aplikácie klasifikované podľa ich funkcií:
PS: Podľa môjho osobného chápania klasifikácie aplikácií, ak máte nejaké dobré návrhy, vítame ich a zanechajte nám ich.
1). E-mail
2). Video
3). Hry
4). Trieda kancelárskej práce OA
5). Aktualizácia softvéru
6). Finančné (banka, Alipay)
7). Akcie
8). Sociálna komunikácia (softvér na okamžité správy)
9). Prehliadanie webu (pravdepodobne lepšie identifikovateľné pomocou URL adries)
10). Nástroje na sťahovanie (webový disk, sťahovanie P2P, súvisiace s BT)
Ako teda funguje DPI (hlboká inšpekcia paketov) v NPB:
1). Zachytávanie paketov: NPB zachytáva sieťovú prevádzku z rôznych zdrojov, ako sú prepínače, smerovače alebo odpojovače. Prijíma pakety prúdiace sieťou.
2). Analýza paketov: Zachytené pakety analyzuje NPB, aby extrahoval rôzne vrstvy protokolu a súvisiace údaje. Tento proces analýzy pomáha identifikovať rôzne komponenty v paketoch, ako sú ethernetové hlavičky, IP hlavičky, hlavičky transportnej vrstvy (napr. TCP alebo UDP) a protokoly aplikačnej vrstvy.
3). Analýza užitočného zaťaženia: Pomocou DPI NPB ide nad rámec kontroly hlavičiek a zameriava sa na užitočné zaťaženie vrátane skutočných údajov v paketoch. Hĺbkovo skúma obsah užitočného zaťaženia bez ohľadu na použitú aplikáciu alebo protokol, aby extrahoval relevantné informácie.
4). Identifikácia protokolu: DPI umožňuje NPB identifikovať špecifické protokoly a aplikácie používané v sieťovej prevádzke. Dokáže detekovať a klasifikovať protokoly ako HTTP, FTP, SMTP, DNS, VoIP alebo protokoly pre streamovanie videa.
5). Kontrola obsahu: DPI umožňuje NPB kontrolovať obsah paketov a hľadať v ňom špecifické vzory, podpisy alebo kľúčové slová. To umožňuje detekciu sieťových hrozieb, ako sú malware, vírusy, pokusy o vniknutie alebo podozrivé aktivity. DPI sa dá použiť aj na filtrovanie obsahu, presadzovanie sieťových politík alebo identifikáciu porušení súladu s predpismi o údajoch.
6). Extrakcia metadát: Počas DPI NPB extrahuje relevantné metadáta z paketov. Tieto môžu zahŕňať informácie, ako sú zdrojové a cieľové IP adresy, čísla portov, podrobnosti o relácii, údaje o transakciách alebo akékoľvek iné relevantné atribúty.
7). Smerovanie alebo filtrovanie prevádzky: Na základe analýzy DPI môže NPB smerovať konkrétne pakety do určených cieľov na ďalšie spracovanie, ako sú bezpečnostné zariadenia, monitorovacie nástroje alebo analytické platformy. Môže tiež použiť pravidlá filtrovania na zahodenie alebo presmerovanie paketov na základe identifikovaného obsahu alebo vzorov.
Čas uverejnenia: 25. júna 2023
