Глибока перевірка пакетів (DPI)— це технологія, що використовується в брокерах мережевих пакетів (NPB) для детальної перевірки та аналізу вмісту мережевих пакетів. Вона включає перевірку корисного навантаження, заголовків та іншої інформації, що стосується протоколу, в пакетах для отримання детального уявлення про мережевий трафік.
DPI виходить за рамки простого аналізу заголовків і забезпечує глибоке розуміння даних, що проходять через мережу. Він дозволяє проводити поглиблену перевірку протоколів прикладного рівня, таких як HTTP, FTP, SMTP, VoIP або протоколи потокового відео. Досліджуючи фактичний вміст пакетів, DPI може виявляти та ідентифікувати конкретні програми, протоколи або навіть певні шаблони даних.
Окрім ієрархічного аналізу адрес джерела, адрес призначення, портів джерела, портів призначення та типів протоколів, DPI також додає аналіз прикладного рівня для ідентифікації різних програм та їхнього вмісту. Коли пакет 1P, дані TCP або UDP проходять через систему управління пропускною здатністю на основі технології DPI, система зчитує вміст завантаженого пакета 1P, щоб реорганізувати інформацію прикладного рівня в протоколі OSI Layer 7, щоб отримати вміст усієї прикладної програми, а потім формувати трафік відповідно до політики управління, визначеної системою.
Як працює DPI?
Традиційним брандмауерам часто бракує обчислювальної потужності для виконання ретельних перевірок великих обсягів трафіку в режимі реального часу. З розвитком технологій DPI може використовуватися для виконання складніших перевірок заголовків і даних. Як правило, брандмауери із системами виявлення вторгнень часто використовують DPI. У світі, де цифрова інформація є першорядною, кожен фрагмент цифрової інформації доставляється через Інтернет невеликими пакетами. Це включає електронну пошту, повідомлення, надіслані через додаток, відвідувані веб-сайти, відеорозмови тощо. Окрім фактичних даних, ці пакети містять метадані, які ідентифікують джерело трафіку, контент, пункт призначення та іншу важливу інформацію. Завдяки технології фільтрації пакетів дані можна постійно контролювати та керувати ними, щоб гарантувати їх пересилання в потрібне місце. Але для забезпечення безпеки мережі традиційної фільтрації пакетів далеко не достатньо. Деякі з основних методів глибокої перевірки пакетів в управлінні мережею перелічені нижче:
Режим зіставлення/підпис
Кожен пакет перевіряється на відповідність базі даних відомих мережевих атак брандмауером із можливостями системи виявлення вторгнень (IDS). IDS шукає відомі шкідливі специфічні шаблони та вимикає трафік, коли вони виявляються. Недоліком політики зіставлення сигнатур є те, що вона застосовується лише до сигнатур, які часто оновлюються. Крім того, ця технологія може захищати лише від відомих загроз або атак.
Виняток протоколу
Оскільки метод винятків протоколу не просто дозволяє всі дані, які не відповідають базі даних сигнатур, метод винятків протоколу, який використовується брандмауером IDS, не має властивих недоліків методу зіставлення шаблонів/сигнатур. Натомість він використовує політику відхилення за замовчуванням. За визначенням протоколу, брандмауери вирішують, який трафік слід дозволити, і захищають мережу від невідомих загроз.
Система запобігання вторгненням (IPS)
Рішення IPS можуть блокувати передачу шкідливих пакетів на основі їхнього вмісту, тим самим зупиняючи підозрілі атаки в режимі реального часу. Це означає, що якщо пакет становить відому загрозу безпеці, IPS проактивно блокуватиме мережевий трафік на основі визначеного набору правил. Одним з недоліків IPS є необхідність регулярного оновлення бази даних кіберзагроз з детальною інформацією про нові загрози та можливість хибнопозитивних результатів. Але цю небезпеку можна пом'якшити, створивши консервативні політики та користувацькі порогові значення, встановивши відповідну базову поведінку для мережевих компонентів та періодично оцінюючи попередження та зареєстровані події для покращення моніторингу та оповіщення.
1. DPI (глибока перевірка пакетів) у мережевому брокері пакетів
«Глибокий» – це порівняння рівня та звичайного аналізу пакетів, «звичайна перевірка пакетів» – це лише наступний аналіз 4-рівневого рівня IP-пакетів, включаючи адресу джерела, адресу призначення, порт джерела, порт призначення та тип протоколу, а також DPI, окрім ієрархічного аналізу, також розширений аналіз прикладного рівня, ідентифікація різних програм та контенту для реалізації основних функцій:
1) Аналіз застосунків -- аналіз складу мережевого трафіку, аналіз продуктивності та аналіз потоку
2) Аналіз користувачів -- диференціація груп користувачів, аналіз поведінки, аналіз терміналів, аналіз тенденцій тощо.
3) Аналіз мережевих елементів -- аналіз на основі регіональних атрибутів (місто, район, вулиця тощо) та навантаження базової станції
4) Контроль трафіку -- обмеження швидкості P2P, забезпечення QoS, забезпечення пропускної здатності, оптимізація мережевих ресурсів тощо.
5) Забезпечення безпеки -- DDoS-атаки, шторми широкомовних розсилок даних, запобігання атакам шкідливих вірусів тощо.
2. Загальна класифікація мережевих застосувань
Сьогодні в Інтернеті існує безліч програм, але список поширених веб-застосунків може бути вичерпним.
Наскільки мені відомо, найкращою компанією з розпізнавання програм є Huawei, яка стверджує, що розпізнає 4000 програм. Аналіз протоколів є базовим модулем багатьох компаній-виробників брандмауерів (Huawei, ZTE тощо), і це також дуже важливий модуль, який підтримує реалізацію інших функціональних модулів, точну ідентифікацію програм та значно покращує продуктивність і надійність продуктів. При моделюванні ідентифікації шкідливого програмного забезпечення на основі характеристик мережевого трафіку, як я зараз роблю, точна та всебічна ідентифікація протоколів також дуже важлива. Якщо виключити мережевий трафік поширених програм з експортного трафіку компанії, решта трафіку становитиме невелику частку, що краще для аналізу шкідливого програмного забезпечення та сигналізації.
Виходячи з мого досвіду, існуючі поширені програми класифікуються за їхніми функціями:
PS: Відповідно до особистого розуміння класифікації заявки, будь ласка, залиште повідомлення з будь-якими гарними пропозиціями.
1). Електронна пошта
2). Відео
3). Ігри
4). Клас офісного адміністрування
5). Оновлення програмного забезпечення
6). Фінансові (банк, Alipay)
7). Акції
8). Соціальне спілкування (програмне забезпечення для обміну миттєвими повідомленнями)
9). Перегляд веб-сторінок (ймовірно, краще ідентифікувати за допомогою URL-адрес)
10). Інструменти завантаження (веб-диск, завантаження P2P, пов'язані з BT)
Отже, як працює DPI (глибока перевірка пакетів) у NPB:
1). Захоплення пакетів: NPB захоплює мережевий трафік з різних джерел, таких як комутатори, маршрутизатори або крани. Він отримує пакети, що проходять через мережу.
2). Розбір пакетів: Захоплені пакети аналізуються NPB для вилучення різних рівнів протоколу та пов'язаних з ними даних. Цей процес розбору допомагає ідентифікувати різні компоненти в пакетах, такі як заголовки Ethernet, заголовки IP, заголовки транспортного рівня (наприклад, TCP або UDP) та протоколи прикладного рівня.
3). Аналіз корисного навантаження: За допомогою DPI NPB виходить за рамки перевірки заголовків і зосереджується на корисному навантаженні, включаючи фактичні дані в пакетах. Він детально аналізує вміст корисного навантаження, незалежно від використовуваної програми чи протоколу, для вилучення відповідної інформації.
4). Ідентифікація протоколу: DPI дозволяє NPB ідентифікувати конкретні протоколи та програми, що використовуються в мережевому трафіку. Він може виявляти та класифікувати такі протоколи, як HTTP, FTP, SMTP, DNS, VoIP або протоколи потокового відео.
5). Перевірка вмісту: DPI дозволяє NPB перевіряти вміст пакетів на наявність певних шаблонів, сигнатур або ключових слів. Це дозволяє виявляти мережеві загрози, такі як шкідливе програмне забезпечення, віруси, спроби вторгнення або підозріла активність. DPI також може використовуватися для фільтрації вмісту, забезпечення дотримання мережевих політик або виявлення порушень відповідності даних.
6). Вилучення метаданих: Під час DPI NPB витягує відповідні метадані з пакетів. Це може включати таку інформацію, як IP-адреси джерела та призначення, номери портів, деталі сеансу, дані транзакцій або будь-які інші відповідні атрибути.
7). Маршрутизація або фільтрація трафіку: На основі аналізу DPI, NPB може направляти певні пакети до визначених пунктів призначення для подальшої обробки, таких як пристрої безпеки, інструменти моніторингу або аналітичні платформи. Він також може застосовувати правила фільтрації для відхилення або перенаправлення пакетів на основі виявленого вмісту або шаблонів.
Час публікації: 25 червня 2023 р.
