Võrgupaketimaakleri rakenduse identifitseerimine DPI-l – sügav paketikontroll

Pakendi sügav kontroll (DPI)on võrgupakettide vahendajates (NPB) kasutatav tehnoloogia võrgupakettide sisu granulaarsel tasemel kontrollimiseks ja analüüsimiseks. See hõlmab pakettide kasuliku koormuse, päiste ja muu protokollispetsiifilise teabe uurimist, et saada üksikasjalikku teavet võrguliikluse kohta.

DPI läheb kaugemale lihtsast päiseanalüüsist ja annab sügava ülevaate võrgu kaudu voolavatest andmetest. See võimaldab rakenduskihi protokolle, nagu HTTP, FTP, SMTP, VoIP või video voogedastusprotokolle, põhjalikult kontrollida. Uurides pakettide tegelikku sisu, suudab DPI tuvastada ja tuvastada konkreetseid rakendusi, protokolle või isegi konkreetseid andmemustreid.

Lisaks lähteaadresside, sihtaadresside, lähteportide, sihtportide ja protokollitüüpide hierarhilisele analüüsile lisab DPI ka rakenduskihi analüüsi erinevate rakenduste ja nende sisu tuvastamiseks. Kui 1P-pakett, TCP või UDP andmevoog läbi DPI-tehnoloogial põhineva ribalaiuse haldussüsteemi, loeb süsteem 1P-paketi laadimise sisu, et korraldada ümber rakenduskihi teave OSI kihi 7 protokollis, et saada kogu rakendusprogrammi ja seejärel liikluse kujundamist vastavalt süsteemi määratletud halduspoliitikale.

Kuidas DPI töötab?

Traditsioonilistel tulemüüridel puudub sageli töötlemisvõimsus suurte liiklusmahtude põhjalikuks reaalajas kontrollimiseks. Tehnoloogia arenedes saab DPI-d kasutada keerukamate kontrollide tegemiseks päiste ja andmete kontrollimiseks. Tavaliselt kasutavad sissetungituvastussüsteemidega tulemüürid sageli DPI-d. Maailmas, kus digitaalne teave on esmatähtis, edastatakse iga digitaalne teave Interneti kaudu väikeste pakettidena. See hõlmab meile, rakenduse kaudu saadetud sõnumeid, külastatud veebisaite, videovestlusi ja palju muud. Lisaks tegelikele andmetele sisaldavad need paketid metaandmeid, mis tuvastavad liikluse allika, sisu, sihtkoha ja muu olulise teabe. Pakettide filtreerimise tehnoloogia abil saab andmeid pidevalt jälgida ja hallata, et tagada nende edastamine õigesse kohta. Kuid võrgu turvalisuse tagamiseks ei piisa traditsioonilisest pakettide filtreerimisest. Allpool on loetletud mõned võrguhalduse sügava pakettide kontrollimise peamised meetodid.

Sobivusrežiim/allkiri

Sissetungituvastussüsteemi (IDS) tulemüür kontrollib iga paketi vastavust teadaolevate võrgurünnakute andmebaasiga. IDS otsib teadaolevaid konkreetseid pahatahtlikke mustreid ja keelab liikluse, kui leitakse pahatahtlikke mustreid. Allkirjade sobitamise poliitika puuduseks on see, et see kehtib ainult sageli uuendatavatele allkirjadele. Lisaks saab see tehnoloogia kaitsta ainult teadaolevate ohtude või rünnakute eest.

DPI

Protokolli erand

Kuna protokolli erandi tehnika ei luba lihtsalt kõiki andmeid, mis allkirjade andmebaasiga ei kattu, ei ole IDS-i tulemüüri kasutataval protokolli erandi tehnikal mustri/allkirja sobitamise meetodile omaseid vigu. Selle asemel võtab see kasutusele tagasilükkamise vaikepoliitika. Protokolli määratluse järgi otsustavad tulemüürid, milline liiklus peaks olema lubatud, ja kaitsevad võrku tundmatute ohtude eest.

Sissetungi ennetamise süsteem (IPS)

IPS-lahendused võivad blokeerida kahjulike pakettide edastamise nende sisu põhjal, peatades seeläbi kahtlustatavad rünnakud reaalajas. See tähendab, et kui pakett kujutab endast teadaolevat turvariski, blokeerib IPS ennetavalt võrguliikluse kindlaksmääratud reeglistiku alusel. IPS-i üks puudus on vajadus küberohtude andmebaasi regulaarselt värskendada uute ohtude üksikasjadega ja valepositiivsete tulemuste võimalus. Kuid seda ohtu saab leevendada konservatiivsete poliitikate ja kohandatud lävede loomisega, võrgukomponentide jaoks sobiva baaskäitumise loomisega ning hoiatuste ja teatatud sündmuste perioodilise hindamisega, et tõhustada jälgimist ja hoiatusi.

1- DPI (Deep Packet Inspection) võrgupakettide vahendajas

"Sügav" on tase ja tavaline pakettanalüüsi võrdlus, "tavaline paketikontroll" ainult järgmine IP-paketi 4 kihi analüüs, sealhulgas lähteaadress, sihtkoha aadress, allika port, sihtport ja protokolli tüüp ning DPI, välja arvatud hierarhiline analüüs, suurendas ka rakenduskihi analüüsi, tuvastab erinevad rakendused ja sisu, et realiseerida peamised funktsioonid:

1) Rakenduse analüüs – võrguliikluse koostise analüüs, jõudluse analüüs ja vooanalüüs

2) Kasutaja analüüs -- kasutajarühmade eristamine, käitumise analüüs, terminali analüüs, trendianalüüs jne.

3) Network Element Analysis -- analüüs, mis põhineb piirkondlikel atribuutidel (linn, piirkond, tänav jne) ja tugijaama koormusel

4) Liikluskontroll -- P2P kiiruse piiramine, QoS-i tagamine, ribalaiuse tagamine, võrguressursside optimeerimine jne.

5) Turvalisuse tagamine -- DDoS rünnakud, andmeedastuse torm, pahatahtlike viiruste rünnakute vältimine jne.

2- Võrgurakenduste üldine klassifikatsioon

Tänapäeval on Internetis lugematu arv rakendusi, kuid levinud veebirakendused võivad olla ammendavad.

Minu teada on parim rakenduste tuvastamise ettevõte Huawei, mis väidab, et tunneb ära 4000 rakendust. Protokollianalüüs on paljude tulemüüriettevõtete (Huawei, ZTE jt) põhimoodul ning see on ka väga oluline moodul, mis toetab teiste funktsionaalsete moodulite realiseerimist, rakenduse täpset tuvastamist ning parandab oluliselt toodete jõudlust ja töökindlust. Võrguliikluse karakteristikutel põhineva pahavara tuvastamise modelleerimisel, nagu ma praegu, on väga oluline ka täpne ja ulatuslik protokollituvastus. Jättes ettevõtte ekspordiliiklusest välja levinud rakenduste võrguliikluse, moodustab ülejäänud liiklus väikese osa, mis sobib paremini pahavara analüüsiks ja häireks.

Minu kogemuse põhjal liigitatakse olemasolevad laialt kasutatavad rakendused nende funktsioonide järgi:

PS: Vastavalt isiklikule arusaamisele rakenduste klassifikatsioonist on teil häid ettepanekuid sõnumiettepaneku jätmiseks

1). E-post

2). Video

3). Mängud

4). Office OA klass

5). Tarkvara uuendus

6). Rahandus (pank, Alipay)

7). Aktsiad

8). Sotsiaalne suhtlus (IM-tarkvara)

9). Veebisirvimine (tõenäoliselt paremini tuvastatav URL-idega)

10). Allalaadimistööriistad (veebiketas, P2P allalaadimine, BT-ga seotud)

20191210153150_32811

Seejärel, kuidas DPI (Deep Packet Inspection) NPB-s töötab:

1). Paketihõive: NPB hõivab võrguliiklust erinevatest allikatest, näiteks lülititest, ruuteritest või kraanidest. See võtab vastu võrgu kaudu voolavaid pakette.

2). Pakettide sõelumine: NPB parsib püütud paketid, et eraldada erinevad protokollikihid ja nendega seotud andmed. See parsimisprotsess aitab tuvastada pakettide erinevaid komponente, nagu Etherneti päised, IP-päised, transpordikihi päised (nt TCP või UDP) ja rakenduskihi protokollid.

3). Kasuliku koormuse analüüs: DPI-ga läheb NPB kaugemale päise kontrollimisest ja keskendub kasulikule koormusele, sealhulgas pakettide tegelikele andmetele. See uurib kasuliku koormuse sisu põhjalikult, olenemata kasutatavast rakendusest või protokollist, et saada asjakohast teavet.

4). Protokolli identifitseerimine: DPI võimaldab NPB-l tuvastada võrguliikluses kasutatavad konkreetsed protokollid ja rakendused. See suudab tuvastada ja klassifitseerida protokolle, nagu HTTP, FTP, SMTP, DNS, VoIP või video voogesituse protokollid.

5). Sisu kontroll: DPI võimaldab NPB-l kontrollida pakettide sisu konkreetsete mustrite, allkirjade või märksõnade osas. See võimaldab tuvastada võrguohte, nagu pahavara, viirused, sissetungikatsed või kahtlased tegevused. DPI-d saab kasutada ka sisu filtreerimiseks, võrgupoliitika jõustamiseks või andmete vastavuse rikkumiste tuvastamiseks.

6). Metaandmete ekstraheerimine: DPI ajal eraldab NPB pakettidest asjakohased metaandmed. See võib hõlmata teavet, nagu allika ja sihtkoha IP-aadressid, pordi numbrid, seansi üksikasjad, tehinguandmed või muud asjakohased atribuudid.

7). Liikluse suunamine või filtreerimine: DPI analüüsi põhjal saab NPB suunata konkreetsed paketid edasiseks töötlemiseks määratud sihtkohtadesse, nagu turvaseadmed, seiretööriistad või analüüsiplatvormid. Samuti võib see rakendada filtreerimisreegleid tuvastatud sisu või mustrite põhjal pakettide tühistamiseks või ümbersuunamiseks.

ML-NPB-5660 3d


Postitusaeg: 25. juuni 2023