Globok pregled paketov (DPI)je tehnologija, ki se uporablja v posrednikih omrežnih paketov (NPB) za podrobni pregled in analizo vsebine omrežnih paketov. Vključuje pregled koristnega tovora, glav in drugih informacij, specifičnih za protokol, znotraj paketov, da se pridobi podroben vpogled v omrežni promet.
DPI presega preprosto analizo glave in zagotavlja poglobljeno razumevanje podatkov, ki tečejo skozi omrežje. Omogoča poglobljen pregled protokolov aplikacijske plasti, kot so HTTP, FTP, SMTP, VoIP ali protokoli za pretakanje videa. Z analizo dejanske vsebine v paketih lahko DPI zazna in prepozna določene aplikacije, protokole ali celo določene vzorce podatkov.
Poleg hierarhične analize izvornih naslovov, ciljnih naslovov, izvornih vrat, ciljnih vrat in vrst protokolov DPI dodaja tudi analizo aplikacijske plasti za prepoznavanje različnih aplikacij in njihove vsebine. Ko paket 1P, podatki TCP ali UDP tečejo skozi sistem za upravljanje pasovne širine, ki temelji na tehnologiji DPI, sistem prebere vsebino naloženega paketa 1P, da reorganizira informacije aplikacijske plasti v protokolu OSI Layer 7, da dobi vsebino celotnega aplikacijskega programa in nato oblikuje promet v skladu s politiko upravljanja, ki jo določi sistem.
Kako deluje DPI?
Tradicionalni požarni zidovi pogosto nimajo dovolj procesorske moči za temeljito preverjanje velikih količin prometa v realnem času. Z napredkom tehnologije se lahko DPI uporablja za izvajanje bolj kompleksnih preverjanj glav in podatkov. Običajno požarni zidovi s sistemi za zaznavanje vdorov pogosto uporabljajo DPI. V svetu, kjer so digitalne informacije najpomembnejše, se vsak del digitalne informacije prek interneta prenaša v majhnih paketih. To vključuje e-pošto, sporočila, poslana prek aplikacije, obiskana spletna mesta, video pogovore in drugo. Poleg dejanskih podatkov ti paketi vključujejo metapodatke, ki identificirajo vir prometa, vsebino, cilj in druge pomembne informacije. S tehnologijo filtriranja paketov je mogoče podatke nenehno spremljati in upravljati, da se zagotovi njihovo posredovanje na pravo mesto. Toda za zagotovitev varnosti omrežja tradicionalno filtriranje paketov še zdaleč ni dovolj. Spodaj so navedene nekatere glavne metode poglobljenega pregleda paketov pri upravljanju omrežja:
Način ujemanja/podpis
Vsak paket preveri požarni zid z zmogljivostmi sistema za zaznavanje vdorov (IDS) glede ujemanja z bazo podatkov znanih omrežnih napadov. IDS išče znane zlonamerne specifične vzorce in onemogoči promet, ko jih najde. Slabost politike ujemanja podpisov je, da velja le za podpise, ki se pogosto posodabljajo. Poleg tega lahko ta tehnologija ščiti le pred znanimi grožnjami ali napadi.
Izjema protokola
Ker tehnika izjem protokola ne dovoli preprosto vseh podatkov, ki se ne ujemajo z bazo podpisov, tehnika izjem protokola, ki jo uporablja požarni zid IDS, nima inherentnih pomanjkljivosti metode ujemanja vzorcev/podpisov. Namesto tega sprejme privzeto politiko zavrnitve. Po definiciji protokola požarni zidovi odločajo, kateri promet naj bo dovoljen, in ščitijo omrežje pred neznanimi grožnjami.
Sistem za preprečevanje vdorov (IPS)
Rešitve IPS lahko blokirajo prenos škodljivih paketov na podlagi njihove vsebine in s tem v realnem času ustavijo domnevne napade. To pomeni, da če paket predstavlja znano varnostno tveganje, bo IPS proaktivno blokiral omrežni promet na podlagi določenega nabora pravil. Ena od slabosti IPS je potreba po rednem posodabljanju baze podatkov o kibernetskih grožnjah s podrobnostmi o novih grožnjah in možnostjo lažno pozitivnih rezultatov. Vendar pa je to nevarnost mogoče ublažiti z ustvarjanjem konzervativnih politik in prilagojenih pragov, določitvijo ustreznega osnovnega vedenja za omrežne komponente ter rednim ocenjevanjem opozoril in prijavljenih dogodkov za izboljšanje spremljanja in opozarjanja.
1- DPI (globoka pregled paketov) v omrežnem posredniku paketov
"Globoka" analiza je primerjava ravni in analize navadnih paketov, "navadni pregled paketov" pa vključuje le analizo 4 plasti IP paketov, vključno z izvornim naslovom, ciljnim naslovom, izvornimi vrati, ciljnimi vrati in vrsto protokola ter DPI, razen hierarhične analize, ki je povečala tudi analizo aplikacijske plasti, identificirala različne aplikacije in vsebine ter uresničila glavne funkcije:
1) Analiza aplikacij -- analiza sestave omrežnega prometa, analiza zmogljivosti in analiza pretoka
2) Analiza uporabnikov -- diferenciacija uporabniških skupin, analiza vedenja, analiza terminalov, analiza trendov itd.
3) Analiza omrežnih elementov -- analiza na podlagi regionalnih atributov (mesto, okrožje, ulica itd.) in obremenitve bazne postaje
4) Nadzor prometa -- omejevanje hitrosti P2P, zagotavljanje QoS, zagotavljanje pasovne širine, optimizacija omrežnih virov itd.
5) Varnostno zagotavljanje – napadi DDoS, nevihte oddajanja podatkov, preprečevanje napadov zlonamernih virusov itd.
2- Splošna klasifikacija omrežnih aplikacij
Danes je na internetu nešteto aplikacij, vendar so lahko običajne spletne aplikacije izčrpne.
Kolikor vem, je najboljše podjetje za prepoznavanje aplikacij Huawei, ki trdi, da prepozna 4000 aplikacij. Analiza protokolov je osnovni modul mnogih podjetij, ki proizvajajo požarne zidove (Huawei, ZTE itd.), poleg tega pa je tudi zelo pomemben modul, ki podpira uresničevanje drugih funkcionalnih modulov, natančno prepoznavanje aplikacij in močno izboljšuje delovanje in zanesljivost izdelkov. Pri modeliranju prepoznavanja zlonamerne programske opreme na podlagi značilnosti omrežnega prometa, kot to počnem zdaj, je zelo pomembna tudi natančna in obsežna identifikacija protokolov. Če iz izvoznega prometa podjetja izvzamemo omrežni promet običajnih aplikacij, bo preostali promet predstavljal majhen delež, kar je boljše za analizo zlonamerne programske opreme in alarmiranje.
Na podlagi mojih izkušenj so obstoječe pogosto uporabljene aplikacije razvrščene glede na njihove funkcije:
PS: Glede na moje osebno razumevanje klasifikacije aplikacij, so vam vljudno vabljeni k dobrim predlogom, ki jih lahko pustite v sporočilu.
1). E-pošta
2). Videoposnetek
3). Igre
4). Pisarniški tečaj odprtega angažiranja
5). Posodobitev programske opreme
6). Finančno (banka, Alipay)
7). Delnice
8). Družbena komunikacija (programska oprema za neposredno sporočanje)
9). Brskanje po spletu (verjetno bolje prepoznati po URL-jih)
10). Orodja za prenos (spletni disk, prenos P2P, povezano z BT)
Kako torej deluje DPI (globoka pregled paketov) v NPB:
1). Zajem paketov: NPB zajame omrežni promet iz različnih virov, kot so stikala, usmerjevalniki ali odcepniki. Prejema pakete, ki tečejo skozi omrežje.
2). Razčlenjevanje paketov: NPB razčleni zajete pakete, da iz njih izlušči različne protokolne plasti in povezane podatke. Ta postopek razčlenjevanja pomaga prepoznati različne komponente znotraj paketov, kot so glave Ethernet, glave IP, glave transportne plasti (npr. TCP ali UDP) in protokoli aplikacijske plasti.
3). Analiza koristnega tovora: Z DPI NPB presega pregled glave in se osredotoča na koristni tovor, vključno z dejanskimi podatki v paketih. Vsebino koristnega tovora podrobno preuči, ne glede na uporabljeno aplikacijo ali protokol, da bi pridobil ustrezne informacije.
4). Identifikacija protokola: DPI omogoča NPB-ju, da prepozna specifične protokole in aplikacije, ki se uporabljajo v omrežnem prometu. Zazna in razvrsti lahko protokole, kot so HTTP, FTP, SMTP, DNS, VoIP ali protokoli za pretakanje videa.
5). Pregled vsebine: DPI omogoča NPB-ju, da pregleda vsebino paketov za določene vzorce, podpise ali ključne besede. To omogoča odkrivanje omrežnih groženj, kot so zlonamerna programska oprema, virusi, poskusi vdora ali sumljive dejavnosti. DPI se lahko uporablja tudi za filtriranje vsebine, uveljavljanje omrežnih pravilnikov ali prepoznavanje kršitev skladnosti podatkov.
6). Pridobivanje metapodatkov: Med DPI NPB iz paketov izvleče ustrezne metapodatke. To lahko vključuje informacije, kot so izvorni in ciljni IP-naslovi, številke vrat, podrobnosti seje, podatki o transakcijah ali kateri koli drugi ustrezni atributi.
7). Usmerjanje ali filtriranje prometa: Na podlagi analize DPI lahko NPB usmeri določene pakete na določene cilje za nadaljnjo obdelavo, kot so varnostne naprave, orodja za spremljanje ali platforme za analitiko. Prav tako lahko uporabi pravila filtriranja za zavrženje ali preusmeritev paketov na podlagi prepoznane vsebine ali vzorcev.
Čas objave: 25. junij 2023
