Βαθιά Επιθεώρηση Πακέτων (DPI)είναι μια τεχνολογία που χρησιμοποιείται σε Network Packet Brokers (NPBs) για την επιθεώρηση και ανάλυση των περιεχομένων των πακέτων δικτύου σε αναλυτικό επίπεδο. Περιλαμβάνει την εξέταση του ωφέλιμου φορτίου, των κεφαλίδων και άλλων πληροφοριών που σχετίζονται με το πρωτόκολλο μέσα στα πακέτα για να αποκτήσετε λεπτομερείς πληροφορίες σχετικά με την κίνηση του δικτύου.
Το DPI υπερβαίνει την απλή ανάλυση κεφαλίδων και παρέχει μια βαθιά κατανόηση των δεδομένων που ρέουν μέσω ενός δικτύου. Επιτρέπει τη εις βάθος επιθεώρηση των πρωτοκόλλων του επιπέδου εφαρμογής, όπως τα πρωτόκολλα HTTP, FTP, SMTP, VoIP ή ροής βίντεο. Εξετάζοντας το πραγματικό περιεχόμενο μέσα στα πακέτα, το DPI μπορεί να εντοπίσει και να αναγνωρίσει συγκεκριμένες εφαρμογές, πρωτόκολλα ή ακόμα και συγκεκριμένα μοτίβα δεδομένων.
Εκτός από την ιεραρχική ανάλυση των διευθύνσεων προέλευσης, των διευθύνσεων προορισμού, των θυρών προέλευσης, των θυρών προορισμού και των τύπων πρωτοκόλλου, το DPI προσθέτει επίσης ανάλυση επιπέδου εφαρμογής για τον εντοπισμό διαφόρων εφαρμογών και των περιεχομένων τους. Όταν το πακέτο 1P, το TCP ή το UDP ρέει μέσω του συστήματος διαχείρισης εύρους ζώνης που βασίζεται στην τεχνολογία DPI, το σύστημα διαβάζει το περιεχόμενο του φορτίου πακέτου 1P για να αναδιοργανώσει τις πληροφορίες του επιπέδου εφαρμογής στο πρωτόκολλο OSI Layer 7, έτσι ώστε να λάβει το περιεχόμενο ολόκληρου του προγράμματος εφαρμογής και στη συνέχεια να διαμορφώσει την κίνηση σύμφωνα με την πολιτική διαχείρισης που ορίζει το σύστημα.
Πώς λειτουργεί το DPI;
Τα παραδοσιακά τείχη προστασίας συχνά στερούνται την επεξεργαστική ισχύ για να εκτελέσουν διεξοδικούς ελέγχους σε πραγματικό χρόνο σε μεγάλους όγκους κίνησης. Καθώς η τεχνολογία προχωρά, το DPI μπορεί να χρησιμοποιηθεί για την εκτέλεση πιο περίπλοκων ελέγχων για τον έλεγχο κεφαλίδων και δεδομένων. Συνήθως, τα τείχη προστασίας με συστήματα ανίχνευσης εισβολής χρησιμοποιούν συχνά DPI. Σε έναν κόσμο όπου οι ψηφιακές πληροφορίες είναι πρωταρχικής σημασίας, κάθε ψηφιακή πληροφορία παραδίδεται μέσω του Διαδικτύου σε μικρά πακέτα. Αυτό περιλαμβάνει email, μηνύματα που αποστέλλονται μέσω της εφαρμογής, ιστότοπους που επισκεφτήκατε, συνομιλίες βίντεο και πολλά άλλα. Εκτός από τα πραγματικά δεδομένα, αυτά τα πακέτα περιλαμβάνουν μεταδεδομένα που προσδιορίζουν την πηγή κυκλοφορίας, το περιεχόμενο, τον προορισμό και άλλες σημαντικές πληροφορίες. Με την τεχνολογία φιλτραρίσματος πακέτων, τα δεδομένα μπορούν να παρακολουθούνται συνεχώς και να διαχειρίζονται ώστε να διασφαλίζεται ότι προωθούνται στο σωστό μέρος. Αλλά για να διασφαλιστεί η ασφάλεια του δικτύου, το παραδοσιακό φιλτράρισμα πακέτων δεν είναι αρκετό. Μερικές από τις κύριες μεθόδους επιθεώρησης πακέτων σε βάθος στη διαχείριση δικτύου παρατίθενται παρακάτω:
Αντιστοίχιση λειτουργίας/υπογραφή
Κάθε πακέτο ελέγχεται για αντιστοιχία με μια βάση δεδομένων γνωστών επιθέσεων δικτύου από ένα τείχος προστασίας με δυνατότητες συστήματος ανίχνευσης εισβολής (IDS). Το IDS αναζητά γνωστά κακόβουλα συγκεκριμένα μοτίβα και απενεργοποιεί την επισκεψιμότητα όταν εντοπίζονται κακόβουλα μοτίβα. Το μειονέκτημα της πολιτικής αντιστοίχισης υπογραφών είναι ότι ισχύει μόνο για υπογραφές που ενημερώνονται συχνά. Επιπλέον, αυτή η τεχνολογία μπορεί να αμυνθεί μόνο έναντι γνωστών απειλών ή επιθέσεων.
Εξαίρεση πρωτοκόλλου
Εφόσον η τεχνική εξαίρεσης πρωτοκόλλου δεν επιτρέπει απλώς όλα τα δεδομένα που δεν ταιριάζουν με τη βάση δεδομένων υπογραφών, η τεχνική εξαίρεσης πρωτοκόλλου που χρησιμοποιείται από το τείχος προστασίας IDS δεν έχει τα εγγενή ελαττώματα της μεθόδου αντιστοίχισης προτύπου/υπογραφής. Αντίθετα, υιοθετεί την προεπιλεγμένη πολιτική απόρριψης. Σύμφωνα με τον ορισμό του πρωτοκόλλου, τα τείχη προστασίας αποφασίζουν ποια κίνηση πρέπει να επιτρέπεται και προστατεύουν το δίκτυο από άγνωστες απειλές.
Σύστημα αποτροπής εισβολής (IPS)
Οι λύσεις IPS μπορούν να εμποδίσουν τη μετάδοση επιβλαβών πακέτων με βάση το περιεχόμενό τους, σταματώντας έτσι ύποπτες επιθέσεις σε πραγματικό χρόνο. Αυτό σημαίνει ότι εάν ένα πακέτο αντιπροσωπεύει έναν γνωστό κίνδυνο ασφάλειας, το IPS θα μπλοκάρει προληπτικά την κυκλοφορία δικτύου με βάση ένα καθορισμένο σύνολο κανόνων. Ένα μειονέκτημα του IPS είναι η ανάγκη να ενημερώνεται τακτικά μια βάση δεδομένων απειλών στον κυβερνοχώρο με λεπτομέρειες σχετικά με νέες απειλές και η πιθανότητα ψευδών θετικών στοιχείων. Ωστόσο, αυτός ο κίνδυνος μπορεί να μετριαστεί με τη δημιουργία συντηρητικών πολιτικών και προσαρμοσμένων ορίων, την καθιέρωση κατάλληλης βασικής συμπεριφοράς για τα στοιχεία του δικτύου και την περιοδική αξιολόγηση προειδοποιήσεων και αναφερόμενων συμβάντων για τη βελτίωση της παρακολούθησης και της ειδοποίησης.
1- Το DPI (Deep Packet Inspection) στο Network Packet Broker
Η "βαθιά" είναι σύγκριση επιπέδου και συνηθισμένης ανάλυσης πακέτων, "κανονική επιθεώρηση πακέτων" μόνο η ακόλουθη ανάλυση του επιπέδου πακέτου IP 4, συμπεριλαμβανομένης της διεύθυνσης προέλευσης, της διεύθυνσης προορισμού, της θύρας προέλευσης, της θύρας προορισμού και του τύπου πρωτοκόλλου και DPI εκτός από την ιεραρχική ανάλυση, αύξησε επίσης την ανάλυση επιπέδου εφαρμογής, προσδιορίζει τις διάφορες εφαρμογές και περιεχόμενο, για να πραγματοποιήσει τις κύριες λειτουργίες:
1) Ανάλυση Εφαρμογών -- ανάλυση σύνθεσης κυκλοφορίας δικτύου, ανάλυση απόδοσης και ανάλυση ροής
2) Ανάλυση χρηστών -- διαφοροποίηση ομάδων χρηστών, ανάλυση συμπεριφοράς, ανάλυση τερματικού, ανάλυση τάσεων κ.λπ.
3) Ανάλυση στοιχείων δικτύου -- ανάλυση με βάση τα περιφερειακά χαρακτηριστικά (πόλη, περιοχή, δρόμος, κ.λπ.) και το φορτίο του σταθμού βάσης
4) Έλεγχος κυκλοφορίας -- περιορισμός ταχύτητας P2P, διασφάλιση QoS, διασφάλιση εύρους ζώνης, βελτιστοποίηση πόρων δικτύου κ.λπ.
5) Διασφάλιση ασφάλειας -- Επιθέσεις DDoS, καταιγίδα μετάδοσης δεδομένων, πρόληψη επιθέσεων κακόβουλου ιού κ.λπ.
2- Γενική Ταξινόμηση Εφαρμογών Δικτύου
Σήμερα υπάρχουν αμέτρητες εφαρμογές στο Διαδίκτυο, αλλά οι κοινές διαδικτυακές εφαρμογές μπορεί να είναι εξαντλητικές.
Από όσο γνωρίζω, η καλύτερη εταιρεία αναγνώρισης εφαρμογών είναι η Huawei, η οποία ισχυρίζεται ότι αναγνωρίζει 4.000 εφαρμογές. Η ανάλυση πρωτοκόλλου είναι η βασική ενότητα πολλών εταιρειών τείχους προστασίας (Huawei, ZTE, κ.λπ.), και είναι επίσης μια πολύ σημαντική ενότητα, που υποστηρίζει την υλοποίηση άλλων λειτουργικών μονάδων, την ακριβή αναγνώριση εφαρμογών και βελτιώνει σημαντικά την απόδοση και την αξιοπιστία των προϊόντων. Κατά τη μοντελοποίηση αναγνώρισης κακόβουλου λογισμικού με βάση τα χαρακτηριστικά της κυκλοφορίας δικτύου, όπως κάνω τώρα, η ακριβής και εκτεταμένη αναγνώριση πρωτοκόλλου είναι επίσης πολύ σημαντική. Εξαιρώντας την κίνηση δικτύου των κοινών εφαρμογών από την κίνηση εξαγωγών της εταιρείας, η υπόλοιπη επισκεψιμότητα θα αντιπροσωπεύει ένα μικρό ποσοστό, το οποίο είναι καλύτερο για ανάλυση κακόβουλου λογισμικού και συναγερμό.
Με βάση την εμπειρία μου, οι υπάρχουσες εφαρμογές που χρησιμοποιούνται συνήθως ταξινομούνται ανάλογα με τις λειτουργίες τους:
ΥΓ: Σύμφωνα με την προσωπική κατανόηση της ταξινόμησης της εφαρμογής, έχετε καλές προτάσεις για να αφήσετε μια πρόταση μηνύματος
1). E-mail
2). Βίντεο
3). Παιχνίδια
4). Γραφείο τάξη ΟΑ
5). Ενημέρωση λογισμικού
6). Οικονομικά (τράπεζα, Alipay)
7). Αποθέματα
8). Κοινωνική Επικοινωνία (λογισμικό IM)
9). Περιήγηση στον Ιστό (πιθανώς προσδιορίζεται καλύτερα με διευθύνσεις URL)
10). Εργαλεία λήψης (δισκέτα ιστού, λήψη P2P, σχετικά με το BT)
Στη συνέχεια, πώς λειτουργεί το DPI (Deep Packet Inspection) σε ένα NPB:
1). Λήψη πακέτων: Το NPB καταγράφει την κυκλοφορία δικτύου από διάφορες πηγές, όπως διακόπτες, δρομολογητές ή βρύσες. Λαμβάνει πακέτα που ρέουν μέσω του δικτύου.
2). Ανάλυση πακέτων: Τα πακέτα που έχουν συλληφθεί αναλύονται από το NPB για την εξαγωγή διαφόρων επιπέδων πρωτοκόλλου και σχετικών δεδομένων. Αυτή η διαδικασία ανάλυσης βοηθά στον εντοπισμό των διαφορετικών στοιχείων μέσα στα πακέτα, όπως κεφαλίδες Ethernet, κεφαλίδες IP, κεφαλίδες επιπέδου μεταφοράς (π.χ. TCP ή UDP) και πρωτόκολλα επιπέδου εφαρμογής.
3). Ανάλυση ωφέλιμου φορτίου: Με το DPI, το NPB υπερβαίνει την επιθεώρηση κεφαλίδας και εστιάζει στο ωφέλιμο φορτίο, συμπεριλαμβανομένων των πραγματικών δεδομένων μέσα στα πακέτα. Εξετάζει το περιεχόμενο ωφέλιμου φορτίου σε βάθος, ανεξάρτητα από την εφαρμογή ή το πρωτόκολλο που χρησιμοποιείται, για να εξάγει σχετικές πληροφορίες.
4). Αναγνώριση πρωτοκόλλου: Το DPI δίνει τη δυνατότητα στο NPB να αναγνωρίζει τα συγκεκριμένα πρωτόκολλα και τις εφαρμογές που χρησιμοποιούνται στην κίνηση του δικτύου. Μπορεί να εντοπίσει και να ταξινομήσει πρωτόκολλα όπως πρωτόκολλα HTTP, FTP, SMTP, DNS, VoIP ή βίντεο ροής.
5). Επιθεώρηση περιεχομένου: Το DPI επιτρέπει στο NPB να επιθεωρεί το περιεχόμενο των πακέτων για συγκεκριμένα μοτίβα, υπογραφές ή λέξεις-κλειδιά. Αυτό επιτρέπει τον εντοπισμό απειλών δικτύου, όπως κακόβουλο λογισμικό, ιούς, απόπειρες εισβολής ή ύποπτες δραστηριότητες. Το DPI μπορεί επίσης να χρησιμοποιηθεί για φιλτράρισμα περιεχομένου, επιβολή πολιτικών δικτύου ή εντοπισμό παραβιάσεων συμμόρφωσης δεδομένων.
6). Εξαγωγή μεταδεδομένων: Κατά τη διάρκεια του DPI, το NPB εξάγει σχετικά μεταδεδομένα από τα πακέτα. Αυτό μπορεί να περιλαμβάνει πληροφορίες όπως διευθύνσεις IP προέλευσης και προορισμού, αριθμούς θυρών, λεπτομέρειες περιόδου λειτουργίας, δεδομένα συναλλαγών ή οποιαδήποτε άλλα σχετικά χαρακτηριστικά.
7). Δρομολόγηση ή φιλτράρισμα κυκλοφορίας: Με βάση την ανάλυση DPI, το NPB μπορεί να δρομολογήσει συγκεκριμένα πακέτα σε καθορισμένους προορισμούς για περαιτέρω επεξεργασία, όπως συσκευές ασφαλείας, εργαλεία παρακολούθησης ή πλατφόρμες ανάλυσης. Μπορεί επίσης να εφαρμόσει κανόνες φιλτραρίσματος για την απόρριψη ή την ανακατεύθυνση πακέτων με βάση το προσδιορισμένο περιεχόμενο ή μοτίβα.
Ώρα δημοσίευσης: Ιουν-25-2023
