Sügav pakettkontroll (Dpi)on tehnoloogia, mida kasutatakse võrgupaketimaaklerites (NPBS), et kontrollida ja analüüsida võrgupakettide sisu granuleeritud tasemel. See hõlmab kandenduse, päiste ja muu protokollipõhise teabe uurimist pakettide piires, et saada üksikasjalikku teavet võrguliikluse kohta.
DPI ületab lihtsa päiseanalüüsi ja annab sügava ülevaate võrgu kaudu voolavatest andmetest. See võimaldab põhjalikku kontrollida rakenduskihi protokolle, näiteks HTTP, FTP, SMTP, VOIP või video voogesituse protokolle. Uurides pakettide tegelikku sisu, saab DPI tuvastada ja tuvastada konkreetseid rakendusi, protokolle või isegi konkreetseid andmemustreid.
Lisaks lähteaadresside, sihtkoha aadresside, lähtesadamate, sihtsadamate ja protokollitüüpide hierarhilisele analüüsile lisab DPI ka rakenduste kihi analüüsi, et tuvastada erinevaid rakendusi ja nende sisu. Kui 1P pakett, TCP või UDP andmed voolavad läbi ribalaiuse haldussüsteemi, mis põhineb DPI -tehnoloogial, loeb süsteem 1P pakettkoormuse sisu OSI kihi 7 protokollis rakenduse kihi teave ümberkorraldamiseks, et saada kogu rakendusprogrammi sisu ja kujundada liiklus vastavalt halduspoliitikale.
Kuidas DPI töötab?
Traditsioonilistel tulemüüridel puudub sageli töötlemisjõud, et viia läbi põhjalike liikluskogude põhjalik kontroll. Tehnoloogia edenedes saab DPI -d kasutada keerukamate kontrollide läbiviimiseks päiste ja andmete kontrollimiseks. Tavaliselt kasutavad sissetungimise tuvastamise süsteemide tulemüürid sageli DPI -d. Maailmas, kus digitaalne teave on ülitähtis, edastatakse iga digitaalse teabe kaudu Interneti kaudu väikestes pakettides. See hõlmab e -kirju, rakenduse kaudu saadetud sõnumeid, külastatud veebisaite, videovestlusi ja palju muud. Lisaks tegelikele andmetele hõlmavad need paketid metaandmeid, mis identifitseerivad liikluse allika, sisu, sihtkoha ja muud olulist teavet. Pakettide filtreerimistehnoloogia abil saab andmeid pidevalt jälgida ja hallata, et see edastatakse õigesse kohta. Kuid võrgu turvalisuse tagamiseks pole traditsiooniline pakettide filtreerimine kaugeltki piisavalt. Allpool on toodud mõned peamised pakettkontrolli meetodid võrguhalduses:
Sobitusrežiim/allkiri
Iga paketi kontrollitakse vastet tuntud võrgurünnakute andmebaasi suhtes sissetungimise tuvastamise süsteemi (IDS) võimalustega. IDS -i otsingud teadaolevate pahatahtlike konkreetsete mustrite kohta ja keelab liikluse, kui leitakse pahatahtlikke mustreid. Allkirjade sobitamise poliitika puuduseks on see, et see kehtib ainult allkirjade kohta, mida värskendatakse sageli. Lisaks saab see tehnoloogia kaitsta ainult teadaolevate ohtude või rünnakute eest.
Protokolli erand
Kuna protokolli erandi tehnika ei luba lihtsalt kõiki andmeid, mis ei vasta allkirja andmebaasile, ei ole IDS -i tulemüüri kasutatud protokollide erandi meetodil mustri/allkirja sobitamise meetodi loomupärased puudused. Selle asemel võtab ta vastu vaikimisi tagasilükkamispoliitika. Protokolli määratluse järgi otsustavad tulemüürid, milline liiklus tuleks lubada, ja kaitsta võrku tundmatute ohtude eest.
Sissetungimise ennetamise süsteem (IPS)
IPS -lahendused võivad blokeerida kahjulike pakettide edastamise nende sisu põhjal, peatades seeläbi kahtlustatavad rünnakud reaalajas. See tähendab, et kui pakett tähistab teadaolevat turvariski, blokeerib IPS ennetavalt võrguliikluse, mis põhineb määratletud reeglite kogumil. IPS -i üks puudus on vajadus värskendada küberohu andmebaasi regulaarselt uute ohtude üksikasjade ja valepositiivsete võimalustega. Kuid seda ohtu saab leevendada konservatiivsete poliitikate ja kohandatud künniste loomisega, luua võrgukomponentide jaoks sobiv lähtetaseme käitumine ning perioodiliselt hinnates hoiatusi ja teatatud sündmusi jälgimise ja hoiatuse parandamiseks.
1- DPI (sügav pakettkontroll) võrgupaketimaakleris
"Sügav" on taseme ja tavalise paketianalüüsi võrdlus, "tavaline pakettkontroll" ainult järgmine IP -pakett 4 kihi analüüs, sealhulgas lähteaadress, sihtkoha aadress, lähteaadress, sihtpordi ja protokolli tüüp ning DPI, välja arvatud hierarhilise analüüsi korral, suurendas ka rakenduste kihi analüüsi, tuvastage erinevad rakendused ja sisu, et realiseerida põhifunktsioonid, realiseerida:
1) Rakenduste analüüs - võrguliikluse koostise analüüs, jõudluse analüüs ja voo analüüs
2) Kasutaja analüüs - kasutajarühmade diferentseerimine, käitumise analüüs, terminali analüüs, trendianalüüs jne.
3) Võrguelementide analüüs - piirkondlikel atribuutidel põhinev analüüs (linn, piirkond, tänav jne) ja tugijaama koormus
4) Liikluse juhtimine - P2P kiiruse piiramine, QoS -i tagamine, ribalaiuse tagamine, võrgu ressursside optimeerimine jne.
5) Turvalisus - DDOS -i rünnakud, andmete edastamise torm, pahatahtlike viiruserünnakute ennetamine jne.
2- võrgurakenduste üldine klassifikatsioon
Tänapäeval on Internetis lugematu arv rakendusi, kuid levinud veebirakendused võivad olla ammendavad.
Minu teada on parim rakenduse tunnustusettevõte Huawei, kes väidab, et tunnustab 4000 rakendust. Protokollianalüüs on paljude tulemüürifirmade (Huawei, ZTE jne) põhimoodul ning see on ka väga oluline moodul, mis toetab muude funktsionaalsete moodulite realiseerimist, täpset rakenduste tuvastamist ning toodete jõudlust ja usaldusväärsust oluliselt. Võrguliikluse omadustel põhinevate pahavara tuvastamise modelleerimisel on väga oluline ka täpne ja ulatuslik protokolli tuvastamine. Välja arvatud ühiste rakenduste võrguliiklus ettevõtte ekspordiliiklusest, moodustab järelejäänud liiklus väike osa, mis on parem pahavara analüüsimiseks ja häireks.
Minu kogemuste põhjal klassifitseeritakse olemasolevad tavaliselt kasutatavad rakendused vastavalt nende funktsioonidele:
PS: vastavalt rakenduste klassifitseerimise isiklikule mõistmisele on teil heade ettepanekute jaoks hea soovitusi lahkuda
1). E-kiri
2). Video
3). Mängud
4). Office OA klass
5). Tarkvarauuendus
6). Finants (Bank, Alipay)
7). Varud
8). Sotsiaalne suhtlus (IM -tarkvara)
9). Veebi sirvimine (ilmselt paremini tuvastatud URL -idega)
10). Laadige tööriistad alla (veebist, P2P allalaadimine, BT -ga seotud)
Seejärel, kuidas DPI (sügav pakettkontroll) töötab NPB -s:
1). Paketi jäädvustamine: NPB hõivab võrguliikluse erinevatest allikatest, näiteks lülititest, ruuteritest või kraanidest. See võtab vastu võrku voolavaid pakette.
2). Pakkide parsimine: NPB parsitakse kinni püütud pakette mitmesuguste protokolli kihtide ja nendega seotud andmete eraldamiseks. See parsimisprotsess aitab tuvastada pakettide erinevaid komponente, näiteks Etherneti päised, IP -päised, transpordikihi päised (nt TCP või UDP) ja rakenduskihi protokollid.
3). Kasuliku koormuse analüüs: DPI -ga ületab NPB päise ülevaatuse ja keskendub kanderaamatule, sealhulgas pakkide tegelikele andmetele. See uurib kandevõime sisu põhjalikult, sõltumata kasutatavast rakendusest või protokollist, asjakohase teabe eraldamiseks.
4). Protokolli identifitseerimine: DPI võimaldab NPB -l tuvastada konkreetseid protokolle ja rakendusi, mida võrguliikluses kasutatavad. See suudab tuvastada ja klassifitseerida selliseid protokolle nagu HTTP, FTP, SMTP, DNS, VoIP või video voogesituse protokollid.
5). Sisukontroll: DPI võimaldab NPB -l kontrollida konkreetsete mustrite, allkirjade või märksõnade pakettide sisu. See võimaldab tuvastada võrguohte, nagu pahavara, viirused, sissetungimiskatsed või kahtlased tegevused. DPI -d saab kasutada ka sisu filtreerimiseks, võrgupoliitikate jõustamiseks või andmete järgimise rikkumiste tuvastamiseks.
6). Metaandmete ekstraheerimine: DPI ajal ekstraheerib NPB pakettidest vastavad metaandmed. See võib sisaldada selliseid teavet nagu lähte- ja sihtkoha IP -aadressid, pordi numbrid, seansi üksikasjad, tehinguandmed või muud asjakohased atribuudid.
7). Liikluse marsruutimine või filtreerimine: DPI analüüsi põhjal saab NPB suunata konkreetseid pakette määratud sihtkohtadesse edasiseks töötlemiseks, näiteks turvaseadmed, seirevahendid või analüüsiplatvormid. Samuti saab see rakendada filtreerimisreegleid, et pakettide äravõtmiseks või suunamiseks tuvastatud sisu või mustrite põhjal ära suunata.
Postiaeg: 25. juuni 20123
