Sügav pakettide kontroll (DPI)on tehnoloogia, mida kasutatakse võrgupaketi vahendajates (NPB-des) võrgupakettide sisu detailseks kontrollimiseks ja analüüsimiseks. See hõlmab pakettides sisalduva kasuliku koormuse, päiste ja muu protokollispetsiifilise teabe uurimist, et saada üksikasjalikku teavet võrguliikluse kohta.
DPI läheb lihtsast päiseanalüüsist kaugemale ja pakub sügavat arusaama võrgus liikuvatest andmetest. See võimaldab põhjalikult uurida rakenduskihi protokolle, nagu HTTP, FTP, SMTP, VoIP või video voogedastusprotokollid. Pakettide tegelikku sisu uurides saab DPI tuvastada ja tuvastada konkreetseid rakendusi, protokolle või isegi konkreetseid andmemustreid.
Lisaks lähteaadresside, sihtaadresside, lähteportide, sihtportide ja protokollitüüpide hierarhilisele analüüsile lisab DPI ka rakenduskihi analüüsi, et tuvastada erinevaid rakendusi ja nende sisu. Kui 1P pakett, TCP või UDP andmevoog läbib DPI-tehnoloogial põhinevat ribalaiuse haldussüsteemi, loeb süsteem 1P paketi laadimise sisu, et korraldada rakenduskihi teave OSI Layer 7 protokollis ümber, et saada kogu rakendusprogrammi sisu ja seejärel kujundada liiklust vastavalt süsteemi määratletud halduspoliitikale.
Kuidas DPI töötab?
Traditsioonilistel tulemüüridel puudub sageli arvutusvõimsus, et teostada põhjalikke reaalajas kontrolle suurte liiklusmahtude korral. Tehnoloogia arenedes saab DPI-d kasutada keerukamate kontrollide tegemiseks päiste ja andmete kontrollimiseks. Tavaliselt kasutavad sissetungimise tuvastamise süsteemidega tulemüürid sageli DPI-d. Maailmas, kus digitaalne teave on ülioluline, edastatakse iga digitaalne teave interneti kaudu väikeste pakettidena. See hõlmab e-kirju, rakenduse kaudu saadetud sõnumeid, külastatud veebisaite, videovestlusi ja palju muud. Lisaks tegelikele andmetele sisaldavad need paketid metaandmeid, mis tuvastavad liikluse allika, sisu, sihtkoha ja muu olulise teabe. Paketifiltreerimise tehnoloogia abil saab andmeid pidevalt jälgida ja hallata, et tagada nende edastamine õigesse kohta. Kuid võrgu turvalisuse tagamiseks ei ole traditsiooniline pakettfiltreerimine kaugeltki piisav. Mõned peamised süvapaketikontrolli meetodid võrguhalduses on loetletud allpool:
Sobivusrežiim/allkiri
Iga paketti kontrollitakse teadaolevate võrgurünnakute andmebaasiga, kasutades sissetungimise tuvastamise süsteemi (IDS) võimekusega tulemüüri. IDS otsib teadaolevaid pahatahtlikke mustreid ja keelab liikluse, kui pahatahtlikke mustreid leitakse. Allkirjade sobitamise poliitika puuduseks on see, et see kehtib ainult allkirjade kohta, mida sageli uuendatakse. Lisaks saab see tehnoloogia kaitsta ainult teadaolevate ohtude või rünnakute eest.
Protokolli erand
Kuna protokolli erandite tehnika ei luba lihtsalt kõiki andmeid, mis ei vasta allkirjade andmebaasile, siis IDS-i tulemüüri kasutataval protokolli erandite tehnikal ei ole mustri/allkirja sobitamise meetodi loomupäraseid vigu. Selle asemel kasutab see vaikimisi tagasilükkamispoliitikat. Protokolli definitsiooni järgi otsustavad tulemüürid, millist liiklust lubada, ja kaitsevad võrku tundmatute ohtude eest.
Sissetungimise ennetamise süsteem (IPS)
IPS-lahendused suudavad kahjulike pakettide edastamist nende sisu põhjal blokeerida, peatades seeläbi kahtlustatavad rünnakud reaalajas. See tähendab, et kui pakett kujutab endast teadaolevat turvariski, blokeerib IPS ennetavalt võrguliiklust kindlaksmääratud reeglite kogumi alusel. Üks IPS-i puudus on vajadus küberohtude andmebaasi regulaarselt värskendada, lisades üksikasju uute ohtude ja valepositiivsete tulemuste kohta. Kuid seda ohtu saab leevendada konservatiivsete poliitikate ja kohandatud läviväärtuste loomisega, võrgukomponentidele sobiva baaskäitumise määramisega ning hoiatuste ja teatatud sündmuste perioodilise hindamisega, et parandada jälgimist ja teavitamist.
1. DPI (Deep Packet Inspection) võrgupaketi vahendajas
"Sügav" on taseme ja tavalise pakettide analüüsi võrdlus, "tavaline pakettide kontroll" hõlmab ainult IP-paketi 4. kihi analüüsi, sealhulgas lähteaadressi, sihtkoha aadressi, lähtepordi, sihtpordi ja protokolli tüübi ning DPI-d, välja arvatud hierarhiline analüüs, mis suurendas ka rakenduskihi analüüsi, tuvastas erinevaid rakendusi ja sisu, et realiseerida peamised funktsioonid:
1) Rakenduste analüüs – võrguliikluse koostise analüüs, jõudluse analüüs ja voo analüüs
2) Kasutajaanalüüs – kasutajarühmade eristamine, käitumise analüüs, lõpp-punkti analüüs, trendianalüüs jne.
3) Võrguelementide analüüs – analüüs, mis põhineb piirkondlikel omadustel (linn, piirkond, tänav jne) ja tugijaama koormusel
4) Liikluse juhtimine -- P2P kiiruse piiramine, QoS-i tagamine, ribalaiuse tagamine, võrguressursside optimeerimine jne.
5) Turvalisuse tagamine – DDoS-rünnakud, andmelevi torm, pahatahtlike viirusrünnakute ennetamine jne.
2. Võrgurakenduste üldine klassifikatsioon
Tänapäeval on internetis lugematu arv rakendusi, kuid tavalised veebirakendused võivad olla ammendavad.
Minu teada on parim rakenduste tuvastamise ettevõte Huawei, mis väidab end tuvastavat 4000 rakendust. Protokollianalüüs on paljude tulemüürifirmade (Huawei, ZTE jne) põhimoodul ning see on samuti väga oluline moodul, mis toetab teiste funktsionaalsete moodulite realiseerimist, täpset rakenduste tuvastamist ning parandab oluliselt toodete jõudlust ja töökindlust. Pahavara tuvastamise modelleerimisel võrguliikluse omaduste põhjal, nagu mina praegu teen, on täpne ja ulatuslik protokollituvastus samuti väga oluline. Kui ettevõtte eksporditavast liiklusest välja jätta tavaliste rakenduste võrguliiklus, moodustab ülejäänud liiklus väikese osa, mis on parem pahavara analüüsi ja häirete jaoks.
Minu kogemuse põhjal liigitatakse olemasolevad üldkasutatavad rakendused vastavalt nende funktsioonidele:
PS: Vastavalt isiklikule arusaamale rakenduste klassifikatsioonist, kui teil on häid ettepanekuid, võite jätta sõnumi ettepaneku.
1). E-post
2). Video
3). Mängud
4). Kontori OA klass
5). Tarkvarauuendus
6). Finants (pank, Alipay)
7). Aktsiad
8). Sotsiaalne suhtlus (kiirsõnumite tarkvara)
9). Veebis surfamine (tõenäoliselt paremini tuvastatav URL-ide abil)
10). Allalaadimistööriistad (veebiketas, P2P allalaadimine, BT-ga seotud)
Seejärel, kuidas DPI (Deep Packet Inspection) NPB-s töötab:
1). Pakettide püüdmine: NPB jäädvustab võrguliiklust erinevatest allikatest, näiteks kommutaatoritest, ruuteritest või kraanidest. See võtab vastu võrgus liikuvaid pakette.
2). Pakettide parsimine: NPB parsib jäädvustatud pakette, et eraldada erinevaid protokollikihte ja nendega seotud andmeid. See parsimisprotsess aitab tuvastada pakettides olevaid erinevaid komponente, näiteks Etherneti päiseid, IP-päiseid, transpordikihi päiseid (nt TCP või UDP) ja rakenduskihi protokolle.
3). Koormuse analüüs: DPI puhul läheb NPB päise kontrollist kaugemale ja keskendub kasulikule koormusele, sealhulgas pakettides sisalduvatele tegelikele andmetele. See uurib kasuliku koormuse sisu põhjalikult, olenemata kasutatavast rakendusest või protokollist, et eraldada asjakohast teavet.
4). Protokolli tuvastamine: DPI võimaldab NPB-l tuvastada võrguliikluses kasutatavaid konkreetseid protokolle ja rakendusi. See suudab tuvastada ja klassifitseerida selliseid protokolle nagu HTTP, FTP, SMTP, DNS, VoIP või video voogedastusprotokollid.
5). Sisu kontroll: DPI võimaldab NPB-l kontrollida pakettide sisu konkreetsete mustrite, signatuuride või märksõnade suhtes. See võimaldab tuvastada võrguohtusid, nagu pahavara, viirused, sissetungikatsed või kahtlased tegevused. DPI-d saab kasutada ka sisu filtreerimiseks, võrgupoliitikate jõustamiseks või andmete nõuetele vastavuse rikkumiste tuvastamiseks.
6). Metaandmete ekstraheerimine: DPI ajal ekstraheerib NPB pakettidest asjakohased metaandmed. See võib hõlmata teavet, näiteks lähte- ja sihtkoha IP-aadresse, pordi numbreid, seansi üksikasju, tehinguandmeid või muid asjakohaseid atribuute.
7). Liikluse marsruutimine või filtreerimine: DPI analüüsi põhjal saab NPB suunata konkreetsed paketid edasiseks töötlemiseks määratud sihtkohtadesse, näiteks turvaseadmetesse, jälgimisvahenditesse või analüüsiplatvormidele. Samuti saab see rakendada filtreerimisreegleid pakettide hülgamiseks või ümbersuunamiseks tuvastatud sisu või mustrite põhjal.
Postituse aeg: 25. juuni 2023
