Дълбока проверка на пакети (ДПИ)е технология, използвана в мрежовите пакетни брокери (NPB) за проверка и анализ на съдържанието на мрежовите пакети на гранулирано ниво. Тя включва изследване на полезния товар, заглавките и друга специфична за протокола информация в пакетите, за да се получи подробна информация за мрежовия трафик.
DPI надхвърля обикновения анализ на заглавките и предоставя задълбочено разбиране на данните, преминаващи през мрежата. Той позволява задълбочена проверка на протоколите на приложното ниво, като HTTP, FTP, SMTP, VoIP или протоколи за видео стрийминг. Чрез изследване на действителното съдържание в пакетите, DPI може да открива и идентифицира специфични приложения, протоколи или дори специфични модели на данни.
В допълнение към йерархичния анализ на адресите на източника, адресите на местоназначението, портовете на източника, портовете на местоназначението и типовете протоколи, DPI добавя и анализ на приложното ниво, за да идентифицира различни приложения и тяхното съдържание. Когато 1P пакетът, TCP или UDP данните преминават през система за управление на честотната лента, базирана на DPI технология, системата чете съдържанието на заредените 1P пакети, за да реорганизира информацията на приложното ниво в протокола OSI Layer 7, така че да получи съдържанието на цялата приложна програма и след това да оформи трафика според политиката за управление, определена от системата.
Как работи DPI?
Традиционните защитни стени често нямат процесорна мощност, за да извършват щателни проверки в реално време на големи обеми трафик. С напредването на технологиите, DPI може да се използва за извършване на по-сложни проверки за проверка на заглавки и данни. Обикновено защитните стени със системи за откриване на проникване често използват DPI. В свят, където дигиталната информация е от първостепенно значение, всяка част от дигиталната информация се доставя през интернет в малки пакети. Това включва имейли, съобщения, изпратени чрез приложението, посетени уебсайтове, видео разговори и други. В допълнение към действителните данни, тези пакети включват метаданни, които идентифицират източника на трафик, съдържанието, местоназначението и друга важна информация. С технологията за филтриране на пакети, данните могат да бъдат непрекъснато наблюдавани и управлявани, за да се гарантира, че се препращат на правилното място. Но за да се гарантира мрежовата сигурност, традиционното филтриране на пакети далеч не е достатъчно. Някои от основните методи за задълбочена проверка на пакети в управлението на мрежата са изброени по-долу:
Режим на съвпадение/подпис
Всеки пакет се проверява за съвпадение с база данни с известни мрежови атаки от защитна стена с възможности за система за откриване на прониквания (IDS). IDS търси известни злонамерени специфични модели и деактивира трафика, когато бъдат открити злонамерени модели. Недостатъкът на политиката за съвпадение на сигнатури е, че тя се прилага само за сигнатури, които се актуализират често. Освен това, тази технология може да защитава само от известни заплахи или атаки.
Изключение на протокола
Тъй като техниката за изключване на протокола не просто позволява всички данни, които не съответстват на базата данни с подписи, тя, използвана от защитната стена на IDS, няма присъщите недостатъци на метода за съвпадение на шаблони/подписи. Вместо това, тя приема политиката за отхвърляне по подразбиране. По дефиниция на протокола, защитните стени решават какъв трафик трябва да бъде разрешен и защитават мрежата от неизвестни заплахи.
Система за предотвратяване на прониквания (IPS)
IPS решенията могат да блокират предаването на вредни пакети въз основа на тяхното съдържание, като по този начин спират предполагаеми атаки в реално време. Това означава, че ако даден пакет представлява известен риск за сигурността, IPS ще блокира проактивно мрежовия трафик въз основа на определен набор от правила. Един недостатък на IPS е необходимостта от редовно актуализиране на базата данни за киберзаплахи с подробности за нови заплахи и възможността за фалшиви положителни резултати. Но тази опасност може да бъде смекчена чрез създаване на консервативни политики и персонализирани прагове, установяване на подходящо базово поведение за мрежовите компоненти и периодична оценка на предупрежденията и докладваните събития за подобряване на мониторинга и алармирането.
1- DPI (Deep Packet Inspection) в Network Packet Broker
„Дълбокият“ анализ е сравнение на ниво и обикновен анализ на пакети. „Обикновена проверка на пакети“ включва само анализ на IP пакети на 4 слоя, включително адреса на източника, адреса на местоназначение, порта на източника, порта на местоназначение и типа на протокола, както и DPI, с изключение на йерархичния анализ. Анализът на приложното ниво също се увеличава, идентифицирайки различните приложения и съдържание, за да се реализират основните функции:
1) Анализ на приложенията -- анализ на състава на мрежовия трафик, анализ на производителността и анализ на потока
2) Анализ на потребителите -- диференциация на потребителските групи, анализ на поведението, анализ на терминалите, анализ на тенденциите и др.
3) Анализ на мрежовите елементи -- анализ, базиран на регионални атрибути (град, район, улица и др.) и натоварване на базовата станция
4) Контрол на трафика -- ограничаване на скоростта на P2P, осигуряване на QoS, осигуряване на честотна лента, оптимизация на мрежовите ресурси и др.
5) Осигуряване на сигурност -- DDoS атаки, информационна буря, предотвратяване на злонамерени вирусни атаки и др.
2- Обща класификация на мрежовите приложения
Днес в интернет има безброй приложения, но често срещаните уеб приложения могат да бъдат изчерпателни.
Доколкото знам, най-добрата компания за разпознаване на приложения е Huawei, която твърди, че разпознава 4000 приложения. Анализът на протоколите е основният модул на много компании за защитни стени (Huawei, ZTE и др.) и е също така много важен модул, който подпомага реализацията на други функционални модули, точното идентифициране на приложенията и значително подобрява производителността и надеждността на продуктите. При моделирането на идентифицирането на зловреден софтуер въз основа на характеристиките на мрежовия трафик, както правя сега, точната и обширна идентификация на протоколите също е много важна. Изключвайки мрежовия трафик на често срещаните приложения от експортния трафик на компанията, останалият трафик ще представлява малка част, което е по-добре за анализ на зловреден софтуер и аларми.
Въз основа на моя опит, съществуващите често използвани приложения са класифицирани според техните функции:
PS: Според личното ми разбиране за класификацията на приложението, ако имате добри предложения, добре дошли да оставите съобщение с предложение.
1). Имейл
2). Видео
3). Игри
4). Клас по офис OA
5). Актуализация на софтуера
6). Финанси (банка, Alipay)
7). Акции
8). Социална комуникация (софтуер за IM)
9). Разглеждане на уеб (вероятно по-добре идентифицирано с URL адреси)
10). Инструменти за изтегляне (уеб диск, P2P изтегляне, свързани с BT)
След това, как работи DPI (Deep Packet Inspection) в NPB:
1). Заснемане на пакети: NPB улавя мрежовия трафик от различни източници, като например комутатори, рутери или разпределителни устройства. Той получава пакети, преминаващи през мрежата.
2). Разбор на пакети: Заловените пакети се анализират от NPB, за да се извлекат различни протоколни слоеве и свързаните с тях данни. Този процес на разбор помага за идентифициране на различните компоненти в пакетите, като например Ethernet заглавки, IP заглавки, заглавки на транспортния слой (напр. TCP или UDP) и протоколи на приложния слой.
3). Анализ на полезния товар: С DPI, NPB надхвърля проверката на заглавките и се фокусира върху полезния товар, включително действителните данни в пакетите. Той разглежда съдържанието на полезния товар в дълбочина, независимо от използваното приложение или протокол, за да извлече съответната информация.
4). Идентификация на протоколи: DPI позволява на NPB да идентифицира специфичните протоколи и приложения, използвани в мрежовия трафик. Той може да открива и класифицира протоколи като HTTP, FTP, SMTP, DNS, VoIP или протоколи за видео стрийминг.
5). Проверка на съдържанието: DPI позволява на NPB да проверява съдържанието на пакетите за специфични модели, сигнатури или ключови думи. Това позволява откриването на мрежови заплахи, като злонамерен софтуер, вируси, опити за проникване или подозрителни дейности. DPI може да се използва и за филтриране на съдържание, прилагане на мрежови политики или идентифициране на нарушения на съответствието на данните.
6). Извличане на метаданни: По време на DPI, NPB извлича съответните метаданни от пакетите. Това може да включва информация като IP адреси на източника и получателя, номера на портове, подробности за сесията, данни за транзакциите или други важни атрибути.
7). Маршрутизиране или филтриране на трафика: Въз основа на DPI анализа, NPB може да маршрутизира специфични пакети към определени дестинации за по-нататъшна обработка, като например устройства за сигурност, инструменти за мониторинг или аналитични платформи. Той може също така да прилага правила за филтриране, за да отхвърля или пренасочва пакети въз основа на идентифицираното съдържание или модели.
Време на публикуване: 25 юни 2023 г.
