Dziļā pakešu pārbaude (DPI)ir tehnoloģija, ko izmanto tīkla pakešu brokeros (NPB), lai detalizēti pārbaudītu un analizētu tīkla pakešu saturu. Tā ietver paketēs esošās lietderīgās slodzes, galvenes un citas protokolam specifiskas informācijas pārbaudi, lai iegūtu detalizētu ieskatu tīkla datplūsmā.
DPI sniedzas tālāk par vienkāršu galvenes analīzi un sniedz dziļu izpratni par datiem, kas plūst tīklā. Tas ļauj padziļināti pārbaudīt lietojumprogrammu slāņa protokolus, piemēram, HTTP, FTP, SMTP, VoIP vai video straumēšanas protokolus. Pārbaudot faktisko saturu paketēs, DPI var noteikt un identificēt konkrētas lietojumprogrammas, protokolus vai pat konkrētus datu modeļus.
Papildus avota adrešu, galamērķa adrešu, avota portu, galamērķa portu un protokolu tipu hierarhiskai analīzei DPI pievieno arī lietojumprogrammu slāņa analīzi, lai identificētu dažādas lietojumprogrammas un to saturu. Kad 1P pakete, TCP vai UDP dati plūst caur joslas platuma pārvaldības sistēmu, kuras pamatā ir DPI tehnoloģija, sistēma nolasa 1P paketes ielādes saturu, lai reorganizētu lietojumprogrammu slāņa informāciju OSI 7. slāņa protokolā, lai iegūtu visas lietojumprogrammas saturu un pēc tam veidotu datplūsmu atbilstoši sistēmas definētajai pārvaldības politikai.
Kā darbojas DPI?
Tradicionālajiem ugunsmūriem bieži vien trūkst apstrādes jaudas, lai veiktu rūpīgas reāllaika pārbaudes lieliem datplūsmas apjomiem. Tehnoloģijām attīstoties, DPI var izmantot, lai veiktu sarežģītākas pārbaudes, lai pārbaudītu galvenes un datus. Parasti ugunsmūri ar ielaušanās atklāšanas sistēmām bieži izmanto DPI. Pasaulē, kurā digitālā informācija ir ārkārtīgi svarīga, katra digitālās informācijas vienība tiek piegādāta internetā mazās paketēs. Tas ietver e-pastus, ziņojumus, kas nosūtīti, izmantojot lietotni, apmeklētās vietnes, video sarunas un daudz ko citu. Papildus faktiskajiem datiem šajās paketēs ir iekļauti metadati, kas identificē datplūsmas avotu, saturu, galamērķi un citu svarīgu informāciju. Izmantojot pakešu filtrēšanas tehnoloģiju, datus var nepārtraukti uzraudzīt un pārvaldīt, lai nodrošinātu, ka tie tiek pārsūtīti uz pareizo vietu. Taču, lai nodrošinātu tīkla drošību, tradicionālā pakešu filtrēšana nebūt nav pietiekama. Tālāk ir uzskaitītas dažas no galvenajām dziļās pakešu pārbaudes metodēm tīkla pārvaldībā:
Atbilstības režīms/paraksts
Katru paketi pārbauda, lai atrastu atbilstību zināmu tīkla uzbrukumu datubāzē, izmantojot ugunsmūri ar ielaušanās atklāšanas sistēmas (IDS) iespējām. IDS meklē zināmus ļaunprātīgus specifiskus modeļus un atspējo datplūsmu, ja tie tiek atrasti. Parakstu saskaņošanas politikas trūkums ir tāds, ka tā attiecas tikai uz parakstiem, kas tiek bieži atjaunināti. Turklāt šī tehnoloģija var aizsargāties tikai pret zināmiem draudiem vai uzbrukumiem.
Protokola izņēmums
Tā kā protokola izņēmumu metode ne tikai atļauj visus datus, kas neatbilst parakstu datubāzei, IDS ugunsmūra izmantotajai protokola izņēmumu metodei nepiemīt rakstu/paraksta saskaņošanas metodes trūkumi. Tā vietā tā izmanto noklusējuma noraidīšanas politiku. Saskaņā ar protokola definīciju ugunsmūri izlemj, kāda datplūsma ir jāatļauj, un aizsargā tīklu no nezināmiem draudiem.
Ielaušanās novēršanas sistēma (IPS)
IPS risinājumi var bloķēt kaitīgu pakešu pārraidi, pamatojoties uz to saturu, tādējādi reāllaikā apturot aizdomīgus uzbrukumus. Tas nozīmē, ka, ja pakete rada zināmu drošības risku, IPS proaktīvi bloķēs tīkla trafiku, pamatojoties uz definētu noteikumu kopumu. Viens no IPS trūkumiem ir nepieciešamība regulāri atjaunināt kiberdraudu datubāzi ar informāciju par jauniem draudiem un viltus pozitīvu rezultātu iespējamību. Taču šīs briesmas var mazināt, izveidojot konservatīvas politikas un pielāgotus sliekšņus, nosakot atbilstošu tīkla komponentu pamata uzvedību un periodiski izvērtējot brīdinājumus un ziņotos notikumus, lai uzlabotu uzraudzību un brīdināšanu.
1. DPI (dziļā pakešu pārbaude) tīkla pakešu brokerī
"Dziļā" ir līmeņa un parastās pakešu analīzes salīdzinājums, "parastā pakešu pārbaude" ietver tikai šādu IP pakešu 4 slāņa analīzi, tostarp avota adresi, mērķa adresi, avota portu, mērķa portu un protokola veidu, kā arī DPI, izņemot hierarhisko analīzi, kas arī palielināja lietojumprogrammu slāņa analīzi, identificēja dažādas lietojumprogrammas un saturu, lai realizētu galvenās funkcijas:
1) Lietojumprogrammu analīze — tīkla datplūsmas sastāva analīze, veiktspējas analīze un plūsmas analīze
2) Lietotāju analīze — lietotāju grupu diferenciācija, uzvedības analīze, termināļu analīze, tendenču analīze utt.
3) Tīkla elementu analīze — analīze, kuras pamatā ir reģionālie atribūti (pilsēta, rajons, iela utt.) un bāzes stacijas slodze
4) Satiksmes kontrole — P2P ātruma ierobežošana, QoS nodrošināšana, joslas platuma nodrošināšana, tīkla resursu optimizācija utt.
5) Drošības nodrošināšana — DDoS uzbrukumi, datu apraides vētra, ļaunprātīgu vīrusu uzbrukumu novēršana utt.
2. Tīkla lietojumprogrammu vispārīgā klasifikācija
Mūsdienās internetā ir neskaitāmas lietojumprogrammas, taču parastās tīmekļa lietojumprogrammas var būt izsmeļošas.
Cik man zināms, labākais lietotņu atpazīšanas uzņēmums ir Huawei, kas apgalvo, ka atpazīst 4000 lietotņu. Protokolu analīze ir daudzu ugunsmūru uzņēmumu (Huawei, ZTE u.c.) pamatmodulis, un tas ir arī ļoti svarīgs modulis, kas atbalsta citu funkcionālo moduļu realizāciju, precīzu lietojumprogrammu identifikāciju un ievērojami uzlabo produktu veiktspēju un uzticamību. Modelējot ļaunprogrammatūras identifikāciju, pamatojoties uz tīkla datplūsmas raksturlielumiem, kā es to daru pašlaik, ļoti svarīga ir arī precīza un plaša protokolu identifikācija. Izslēdzot izplatītāko lietojumprogrammu tīkla datplūsmu no uzņēmuma eksporta datplūsmas, atlikušā datplūsma veidos nelielu daļu, kas ir labāk piemērots ļaunprogrammatūras analīzei un trauksmes signalizācijai.
Balstoties uz manu pieredzi, esošās bieži izmantotās lietojumprogrammas tiek klasificētas atbilstoši to funkcijām:
PS: Saskaņā ar personīgo izpratni par lietojumprogrammu klasifikāciju, ja jums ir kādi labi ieteikumi, laipni lūdzam atstāt ziņojuma priekšlikumu
1). E-pasts
2). Video
3). Spēles
4). Biroja OA klase
5). Programmatūras atjauninājums
6). Finanšu pakalpojumi (banka, Alipay)
7). Akcijas
8). Sociālā komunikācija (tūlītējās ziņojumapmaiņas programmatūra)
9). Tīmekļa pārlūkošana (iespējams, labāk identificējama ar URL)
10). Lejupielādes rīki (tīmekļa disks, P2P lejupielāde, saistīti ar BT)
Tad kā NPB darbojas DPI (dziļā pakešu pārbaude):
1). Pakešu uztveršana: NPB uztver tīkla trafiku no dažādiem avotiem, piemēram, komutatoriem, maršrutētājiem vai pieslēgvietām. Tas saņem paketes, kas plūst caur tīklu.
2). Pakešu parsēšana: NPB parsē uztvertās paketes, lai iegūtu dažādus protokola slāņus un saistītos datus. Šis parsēšanas process palīdz identificēt dažādas paketēs esošās sastāvdaļas, piemēram, Ethernet galvenes, IP galvenes, transporta slāņa galvenes (piemēram, TCP vai UDP) un lietojumprogrammu slāņa protokolus.
3). Derīgās slodzes analīze: Izmantojot DPI, NPB ne tikai pārbauda galvenes datus, bet arī koncentrējas uz lietderīgo slodzi, tostarp faktiskajiem datiem paketēs. Tā padziļināti pārbauda lietderīgās slodzes saturu neatkarīgi no izmantotās lietojumprogrammas vai protokola, lai iegūtu atbilstošu informāciju.
4). Protokola identifikācija: DPI ļauj NPB identificēt konkrētus protokolus un lietojumprogrammas, kas tiek izmantotas tīkla datplūsmā. Tā var noteikt un klasificēt tādus protokolus kā HTTP, FTP, SMTP, DNS, VoIP vai video straumēšanas protokolus.
5). Satura pārbaude: DPI ļauj NPB pārbaudīt pakešu saturu, meklējot konkrētus modeļus, parakstus vai atslēgvārdus. Tas ļauj atklāt tīkla apdraudējumus, piemēram, ļaunprogrammatūru, vīrusus, ielaušanās mēģinājumus vai aizdomīgas darbības. DPI var izmantot arī satura filtrēšanai, tīkla politikas ieviešanai vai datu atbilstības pārkāpumu identificēšanai.
6). Metadatu ieguve: DPI laikā NPB no paketēm iegūst attiecīgos metadatus. Tas var ietvert tādu informāciju kā avota un mērķa IP adreses, portu numurus, sesijas informāciju, darījumu datus vai citus atbilstošus atribūtus.
7). Datplūsmas maršrutēšana vai filtrēšana: Pamatojoties uz DPI analīzi, NPB var novirzīt konkrētas paketes uz noteiktiem galamērķiem tālākai apstrādei, piemēram, drošības ierīcēm, uzraudzības rīkiem vai analītikas platformām. Tā var arī piemērot filtrēšanas noteikumus, lai atmestu vai novirzītu paketes, pamatojoties uz identificēto saturu vai modeļiem.
Publicēšanas laiks: 2023. gada 25. jūnijs
