Pregled globokega paketa (DPI)je tehnologija, ki se uporablja v posrednikih omrežnih paketov (NPBS) za pregled in analizo vsebine omrežnih paketov na zrnati ravni. Vključuje preučitev koristne obremenitve, glave in drugih informacij, specifičnih za protokol, v paketih, da pridobimo podroben vpogled v omrežni promet.
DPI presega preprosto analizo glave in omogoča globoko razumevanje podatkov, ki tečejo skozi omrežje. Omogoča poglobljen pregled protokolov aplikacijskih slojev, kot so HTTP, FTP, SMTP, VOIP ali video pretočni protokoli. S preučevanjem dejanske vsebine v paketih lahko DPI zazna in identificira posebne aplikacije, protokole ali celo posebne vzorce podatkov.
Poleg hierarhične analize izvornih naslovov, ciljnih naslovov, izvornih vrat, ciljnih vrat in vrst protokolov DPI dodaja tudi analizo plasti aplikacij za identifikacijo različnih aplikacij in njihove vsebine. Ko 1P paket, TCP ali UDP podatki pretakajo po sistemu upravljanja pasovne širine, ki temelji na tehnologiji DPI, sistem prebere vsebino obremenitve 1P paketov, da reorganizira informacije o aplikacijskem sloju v protokolu OSI Layer 7, da dobijo vsebino celotnega programa aplikacije, in nato oblikovanje prometa, ki ga določa sistem upravljanja.
Kako deluje DPI?
Tradicionalni požarni zidovi pogosto nimajo procesne moči za temeljite preglede v realnem času na velikih količinah prometa. Ko tehnologija napreduje, lahko DPI uporabimo za izvajanje bolj zapletenih pregledov za preverjanje glave in podatkov. Običajno požarni zidovi s sistemi za odkrivanje vdorov pogosto uporabljajo DPI. V svetu, kjer so digitalne informacije najpomembnejše, se vsak del digitalnih informacij dostavi prek interneta v majhnih paketih. To vključuje e -pošto, sporočila, poslana prek aplikacije, obiskana spletna mesta, video pogovore in še več. Ti paketi poleg dejanskih podatkov vključujejo metapodatke, ki opredeljujejo prometni vir, vsebino, cilj in druge pomembne informacije. S tehnologijo filtriranja paketov lahko podatke nenehno spremljate in upravljamo, da se zagotovi, da se posredujejo na pravo mesto. Toda za zagotovitev varnosti omrežja, tradicionalno filtriranje paketov še zdaleč ni dovolj. Spodaj so navedeni nekateri glavni načini pregleda globokih paketov v upravljanju omrežja:
Način ujemanja/podpis
Vsak paket se preveri, ali se ujema z bazo podatkov znanih omrežnih napadov s požarnim zidom z zmogljivostmi sistema za zaznavanje vdorov (IDS). ID -ji iščejo znane zlonamerne posebne vzorce in onemogočajo promet, ko najdemo zlonamerne vzorce. Pomanjkljivost pravilnika o ujemanju podpisov je, da velja samo za podpise, ki se pogosto posodabljajo. Poleg tega se ta tehnologija lahko brani le pred znanimi grožnjami ali napadi.
Izjema protokola
Ker tehnika izjeme protokola preprosto ne dovoljuje vseh podatkov, ki se ne ujemajo z bazo podatkov o podpisu, tehnika izjeme protokola, ki jo uporablja požarni zid IDS, nima prirojenih pomanjkljivosti metode ujemanja vzorca/podpisa. Namesto tega sprejema privzeto politiko zavrnitve. Po definiciji protokola se požarni zidovi odločijo, kakšen promet je treba dovoliti, in omrežje zaščiti pred neznanimi grožnjami.
Sistem za preprečevanje vdorov (IPS)
Rešitve IPS lahko blokirajo prenos škodljivih paketov na podlagi njihove vsebine in s tem ustavijo sum na napade v realnem času. To pomeni, da če paket predstavlja znano varnostno tveganje, bodo IPS proaktivno blokirali omrežni promet na podlagi določenega nabora pravil. Ena pomanjkljivost IPS je potreba po redni posodabljanju baze podatkov o kibernetski grožnji s podrobnostmi o novih grožnjah in možnosti lažnih pozitivnih rezultatov. Toda to nevarnost je mogoče ublažiti z ustvarjanjem konzervativnih politik in pragov po meri, vzpostavitvijo ustreznega izhodiščnega vedenja za omrežne komponente ter občasno ocenjevanje opozoril in poročanih dogodkov za izboljšanje spremljanja in opozarjanja.
1- DPI (pregled globokega paketa) v posredniku Network Packet
"Deep" je raven in običajna primerjava analize paketov, "navadna pregled paketov" le naslednja analiza sloja IP paketa 4, vključno z izvornim naslovom, ciljnim naslovom, izvornimi vrati, ciljnimi vrati in tipom protokola ter DPI, razen s hierarhično analizo, prav tako povečala analizo uporabe, določite različne aplikacije in uresničijo glavne funkcije:
1) Analiza aplikacij - analiza sestave omrežnega prometa, analiza uspešnosti in analiza pretoka
2) Analiza uporabnikov - diferenciacija uporabniških skupin, analiza vedenja, analiza terminala, analiza trendov itd.
3) Analiza omrežnih elementov - analiza na podlagi regionalnih atributov (mesto, okrožje, ulica itd.) In obremenitev bazne postaje
4) Nadzor prometa - omejevanje hitrosti P2P, zagotovilo QoS, zagotovilo pasovne širine, optimizacija omrežnih virov itd.
5) Varnostno zagotovilo - napadi DDOS, nemir za oddajanje podatkov, preprečevanje zlonamernih napadov virusov itd.
2- Splošna razvrstitev omrežnih aplikacij
Danes je na internetu nešteto aplikacij, vendar so skupne spletne aplikacije lahko izčrpne.
Kolikor vem, je najboljša družba za prepoznavanje aplikacij Huawei, ki trdi, da prepozna 4.000 aplikacij. Analiza protokola je osnovni modul številnih podjetij za požarni zid (Huawei, ZTE itd.) In je tudi zelo pomemben modul, ki podpira realizacijo drugih funkcionalnih modulov, natančno identifikacijo aplikacij in močno izboljšanje zmogljivosti in zanesljivosti izdelkov. Pri modeliranju identifikacije zlonamerne programske opreme, ki temelji na značilnostih omrežnega prometa, je zelo pomembna tudi natančna in obsežna identifikacija protokola. Če izključimo omrežni promet skupnih aplikacij iz izvoznega prometa podjetja, bo preostali promet predstavljal majhen delež, kar je boljše za analizo zlonamerne programske opreme in alarm.
Na podlagi mojih izkušenj so obstoječe pogosto uporabljene aplikacije razvrščene glede na njihove funkcije:
PS: Glede na osebno razumevanje klasifikacije aplikacij imate kakršne koli dobre predloge, da pustite predlog za sporočilo
1). E-pošta
2). Video
3). Igre
4). Office OA razred
5). Posodobitev programske opreme
6). Financial (banka, Alipay)
7). Zaloge
8). Socialna komunikacija (programska oprema IM)
9). Brskanje po spletu (verjetno bolje identificirano z URL -ji)
10). Orodja za prenos (spletni disk, prenos P2P, BT povezan)
Potem, kako DPI (Globok paketni pregled) deluje v NPB:
1). Zajem paketov: NPB zajame omrežni promet iz različnih virov, kot so stikala, usmerjevalniki ali pipe. Prejema pakete, ki tečejo skozi omrežje.
2). Razčlenjevanje paketov: NPB razčlenjeni paketi razčlenijo za pridobivanje različnih plasti protokola in z njimi povezane podatke. Ta postopek razčlenjevanja pomaga prepoznati različne komponente znotraj paketov, kot so Ethernet glave, glave IP, glave transportnih slojev (npr. TCP ali UDP) in protokoli aplikacijskih slojev.
3). Analiza koristne obremenitve: Z DPI NPB presega pregled glave in se osredotoča na koristno obremenitev, vključno z dejanskimi podatki znotraj paketov. Preučuje vsebino koristne obremenitve poglobljeno, ne glede na uporabljeno aplikacijo ali protokol, za pridobivanje ustreznih informacij.
4). Identifikacija protokola: DPI omogoča NPB, da identificira posebne protokole in aplikacije, ki se uporabljajo v omrežnem prometu. Lahko zazna in razvrsti protokole, kot so HTTP, FTP, SMTP, DNS, VOIP ali video pretočni protokoli.
5). Pregled vsebine: DPI omogoča NPB, da pregleda vsebino paketov glede na posebne vzorce, podpise ali ključne besede. To omogoča odkrivanje omrežnih groženj, kot so zlonamerna programska oprema, virusi, poskusi vdorov ali sumljive dejavnosti. DPI se lahko uporablja tudi za filtriranje vsebine, uveljavljanje omrežnih pravil ali prepoznavanje kršitev skladnosti s podatki.
6). Ekstrakcija metapodatkov: Med DPI NPB iz paketov izvleče ustrezne metapodatke. To lahko vključuje informacije, kot so vir in ciljni naslovi IP, številke vrat, podrobnosti seje, podatki o transakcijah ali kateri koli drugi ustrezni atributi.
7). Prometno usmerjanje ali filtriranje: Na podlagi analize DPI lahko NPB usmeri posebne pakete do določenih destinacij za nadaljnjo obdelavo, kot so varnostne naprave, orodja za spremljanje ali analitične platforme. Prav tako lahko uporabi pravila filtriranja za zavrženje ali preusmeritev paketov na podlagi identificirane vsebine ali vzorcev.
Čas objave: junij-25-2023
