Дълбока проверка на пакети (DPI)е технология, използвана в Network Packet Brokers (NPB) за проверка и анализ на съдържанието на мрежовите пакети на детайлно ниво. Това включва изследване на полезния товар, заглавките и друга специфична за протокола информация в пакетите, за да се получи подробна представа за мрежовия трафик.
DPI надхвърля простия анализ на заглавката и осигурява дълбоко разбиране на данните, протичащи през мрежата. Той позволява задълбочена проверка на протоколите на приложния слой, като HTTP, FTP, SMTP, VoIP или протоколи за поточно видео. Чрез изследване на действителното съдържание в пакетите, DPI може да открие и идентифицира конкретни приложения, протоколи или дори конкретни модели на данни.
В допълнение към йерархичния анализ на адресите на източника, адресите на местоназначението, портовете на източника, портовете на местоназначението и типовете протоколи, DPI добавя и анализ на ниво приложение за идентифициране на различни приложения и тяхното съдържание. Когато 1P пакетът, TCP или UDP данните преминават през системата за управление на честотната лента, базирана на DPI технология, системата чете съдържанието на зареждането на 1P пакет, за да реорганизира информацията на приложния слой в протокола OSI Layer 7, така че да получи съдържанието на цялата приложна програма и след това оформяне на трафика според политиката за управление, дефинирана от системата.
Как работи DPI?
Традиционните защитни стени често нямат мощността за обработка, за да извършват задълбочени проверки в реално време на големи обеми трафик. С напредването на технологиите DPI може да се използва за извършване на по-сложни проверки за проверка на заглавки и данни. Обикновено защитните стени със системи за откриване на проникване често използват DPI. В свят, в който цифровата информация е от първостепенно значение, всяка част от цифровата информация се доставя по интернет в малки пакети. Това включва имейли, съобщения, изпратени чрез приложението, посетени уебсайтове, видео разговори и др. В допълнение към действителните данни, тези пакети включват метаданни, които идентифицират източника на трафик, съдържанието, дестинацията и друга важна информация. С технологията за филтриране на пакети данните могат да бъдат непрекъснато наблюдавани и управлявани, за да се гарантира, че са препратени на правилното място. Но за да се гарантира сигурността на мрежата, традиционното филтриране на пакети далеч не е достатъчно. Някои от основните методи за дълбока проверка на пакети в управлението на мрежата са изброени по-долу:
Режим на съвпадение/Подпис
Всеки пакет се проверява за съвпадение с база данни с известни мрежови атаки от защитна стена с възможности за система за откриване на проникване (IDS). IDS търси известни специфични злонамерени модели и деактивира трафика, когато бъдат открити злонамерени модели. Недостатъкът на политиката за съпоставяне на подписи е, че тя се прилага само за подписи, които се актуализират често. Освен това тази технология може да защитава само срещу известни заплахи или атаки.
Изключение от протокола
Тъй като техниката за изключение на протокола не позволява просто всички данни, които не съответстват на базата данни със сигнатури, техниката за изключение на протокола, използвана от защитната стена на IDS, няма присъщите недостатъци на метода за съпоставяне на шаблон/сигнатура. Вместо това, той приема политиката за отхвърляне по подразбиране. По дефиниция на протокола защитните стени решават какъв трафик трябва да бъде разрешен и защитават мрежата от неизвестни заплахи.
Система за предотвратяване на проникване (IPS)
IPS решенията могат да блокират предаването на вредни пакети въз основа на тяхното съдържание, като по този начин спират предполагаеми атаки в реално време. Това означава, че ако даден пакет представлява известен риск за сигурността, IPS ще блокира проактивно мрежовия трафик въз основа на определен набор от правила. Един недостатък на IPS е необходимостта от редовно актуализиране на база данни за кибер заплахи с подробности за нови заплахи и възможността за фалшиви положителни резултати. Но тази опасност може да бъде смекчена чрез създаване на консервативни политики и персонализирани прагове, установяване на подходящо базово поведение за мрежовите компоненти и периодично оценяване на предупрежденията и докладваните събития за подобряване на наблюдението и предупрежденията.
1- DPI (Deep Packet Inspection) в Network Packet Broker
„Дълбокото“ е сравнение на ниво и обикновен анализ на пакети, „обикновена инспекция на пакети“ само следния анализ на слой IP пакет 4, включително адреса на източника, адреса на местоназначението, порта на източника, порта на местоназначението и типа на протокола и DPI, освен с йерархичния анализ, също така увеличава анализа на приложния слой, идентифицира различни приложения и съдържание, за да реализира основните функции:
1) Анализ на приложението -- анализ на състава на мрежовия трафик, анализ на производителността и анализ на потока
2) Анализ на потребителите -- диференциране на потребителски групи, анализ на поведението, анализ на терминали, анализ на тенденции и др.
3) Анализ на мрежови елементи -- анализ въз основа на регионални атрибути (град, област, улица и т.н.) и натоварване на базовата станция
4) Контрол на трафика -- P2P ограничаване на скоростта, осигуряване на QoS, осигуряване на честотната лента, оптимизиране на мрежовите ресурси и др.
5) Гарантиране на сигурността -- DDoS атаки, буря за излъчване на данни, предотвратяване на злонамерени вирусни атаки и др.
2- Обща класификация на мрежовите приложения
Днес има безброй приложения в интернет, но общите уеб приложения могат да бъдат изчерпателни.
Доколкото знам, най-добрата компания за разпознаване на приложения е Huawei, която твърди, че разпознава 4000 приложения. Анализът на протокола е основният модул на много компании за защитни стени (Huawei, ZTE и др.), а също така е много важен модул, поддържащ реализацията на други функционални модули, точна идентификация на приложения и значително подобряващ производителността и надеждността на продуктите. При моделирането на идентификацията на зловреден софтуер въз основа на характеристиките на мрежовия трафик, както правя сега, точната и обширна идентификация на протокола също е много важна. Като изключим мрежовия трафик на общите приложения от експортния трафик на компанията, оставащият трафик ще представлява малка част, което е по-добре за анализ на зловреден софтуер и аларма.
Въз основа на моя опит, съществуващите често използвани приложения са класифицирани според техните функции:
PS: Според личното разбиране на класификацията на приложението, имате добри предложения, добре дошли да оставите предложение за съобщение
1). Имейл
2). видео
3). игри
4). Офис OA клас
5). Актуализация на софтуера
6). Финансови (банка, Alipay)
7). Акции
8). Социална комуникация (софтуер за незабавни съобщения)
9). Сърфиране в мрежата (вероятно по-добре идентифицирано с URL адреси)
10). Инструменти за изтегляне (уеб диск, P2P изтегляне, свързано с BT)
След това как работи DPI (задълбочена проверка на пакети) в NPB:
1). Улавяне на пакети: NPB улавя мрежов трафик от различни източници, като комутатори, рутери или кранове. Той получава пакети, преминаващи през мрежата.
2). Разбор на пакети: Уловените пакети се анализират от NPB за извличане на различни протоколни слоеве и свързани данни. Този процес на анализиране помага за идентифицирането на различните компоненти в рамките на пакетите, като Ethernet заглавки, IP заглавки, заглавки на транспортния слой (напр. TCP или UDP) и протоколи на приложния слой.
3). Анализ на полезния товар: С DPI NPB отива отвъд проверката на заглавката и се фокусира върху полезния товар, включително действителните данни в пакетите. Той разглежда съдържанието на полезния товар в дълбочина, независимо от използваното приложение или протокол, за да извлече подходяща информация.
4). Идентификация на протокола: DPI позволява на NPB да идентифицира специфичните протоколи и приложения, използвани в мрежовия трафик. Може да открива и класифицира протоколи като HTTP, FTP, SMTP, DNS, VoIP или протоколи за поточно видео.
5). Проверка на съдържанието: DPI позволява на NPB да проверява съдържанието на пакетите за специфични модели, подписи или ключови думи. Това позволява откриването на мрежови заплахи, като злонамерен софтуер, вируси, опити за проникване или подозрителни дейности. DPI може също да се използва за филтриране на съдържание, налагане на мрежови политики или идентифициране на нарушения на съответствието на данните.
6). Извличане на метаданни: По време на DPI, NPB извлича съответните метаданни от пакетите. Това може да включва информация като IP адреси на източника и местоназначението, номера на портове, подробности за сесията, данни за транзакция или всякакви други подходящи атрибути.
7). Маршрутизиране или филтриране на трафик: Въз основа на DPI анализа, NPB може да маршрутизира конкретни пакети към определени дестинации за по-нататъшна обработка, като устройства за сигурност, инструменти за наблюдение или платформи за анализ. Може също така да прилага правила за филтриране, за да отхвърля или пренасочва пакети въз основа на идентифицираното съдържание или модели.
Време на публикуване: 25 юни 2023 г