Βαθιά Επιθεώρηση Πακέτων (DPI)είναι μια τεχνολογία που χρησιμοποιείται σε Network Packet Brokers (NPB) για την επιθεώρηση και ανάλυση του περιεχομένου των πακέτων δικτύου σε λεπτομερές επίπεδο. Περιλαμβάνει την εξέταση του ωφέλιμου φορτίου, των κεφαλίδων και άλλων πληροφοριών που αφορούν συγκεκριμένα πρωτόκολλα εντός των πακέτων, για την απόκτηση λεπτομερών πληροφοριών σχετικά με την κίνηση δικτύου.
Το DPI υπερβαίνει την απλή ανάλυση κεφαλίδων και παρέχει μια εις βάθος κατανόηση των δεδομένων που ρέουν μέσω ενός δικτύου. Επιτρέπει την εις βάθος εξέταση των πρωτοκόλλων επιπέδου εφαρμογής, όπως τα πρωτόκολλα HTTP, FTP, SMTP, VoIP ή ροής βίντεο. Εξετάζοντας το πραγματικό περιεχόμενο μέσα στα πακέτα, το DPI μπορεί να ανιχνεύσει και να αναγνωρίσει συγκεκριμένες εφαρμογές, πρωτόκολλα ή ακόμα και συγκεκριμένα μοτίβα δεδομένων.
Εκτός από την ιεραρχική ανάλυση των διευθύνσεων προέλευσης, των διευθύνσεων προορισμού, των θυρών προέλευσης, των θυρών προορισμού και των τύπων πρωτοκόλλου, το DPI προσθέτει επίσης ανάλυση επιπέδου εφαρμογής για τον εντοπισμό διαφόρων εφαρμογών και του περιεχομένου τους. Όταν το πακέτο 1P, τα δεδομένα TCP ή UDP ρέουν μέσω του συστήματος διαχείρισης εύρους ζώνης που βασίζεται στην τεχνολογία DPI, το σύστημα διαβάζει το περιεχόμενο του φορτίου του πακέτου 1P για να αναδιοργανώσει τις πληροφορίες επιπέδου εφαρμογής στο πρωτόκολλο OSI Layer 7, έτσι ώστε να λάβει το περιεχόμενο ολόκληρου του προγράμματος εφαρμογής και στη συνέχεια να διαμορφώσει την κίνηση σύμφωνα με την πολιτική διαχείρισης που ορίζεται από το σύστημα.
Πώς λειτουργεί το DPI;
Τα παραδοσιακά τείχη προστασίας συχνά δεν έχουν την επεξεργαστική ισχύ για να εκτελούν διεξοδικούς ελέγχους σε πραγματικό χρόνο σε μεγάλους όγκους κίνησης. Καθώς η τεχνολογία εξελίσσεται, το DPI μπορεί να χρησιμοποιηθεί για την εκτέλεση πιο σύνθετων ελέγχων για τον έλεγχο κεφαλίδων και δεδομένων. Συνήθως, τα τείχη προστασίας με συστήματα ανίχνευσης εισβολών χρησιμοποιούν συχνά το DPI. Σε έναν κόσμο όπου οι ψηφιακές πληροφορίες είναι πρωταρχικής σημασίας, κάθε κομμάτι ψηφιακών πληροφοριών παραδίδεται μέσω του Διαδικτύου σε μικρά πακέτα. Αυτό περιλαμβάνει email, μηνύματα που αποστέλλονται μέσω της εφαρμογής, ιστότοπους που επισκέπτονται οι χρήστες, βιντεοσυνομιλίες και άλλα. Εκτός από τα πραγματικά δεδομένα, αυτά τα πακέτα περιλαμβάνουν μεταδεδομένα που προσδιορίζουν την πηγή κίνησης, το περιεχόμενο, τον προορισμό και άλλες σημαντικές πληροφορίες. Με την τεχνολογία φιλτραρίσματος πακέτων, τα δεδομένα μπορούν να παρακολουθούνται και να διαχειρίζονται συνεχώς για να διασφαλιστεί ότι προωθούνται στο σωστό μέρος. Αλλά για να διασφαλιστεί η ασφάλεια του δικτύου, το παραδοσιακό φιλτράρισμα πακέτων δεν είναι αρκετό. Ορισμένες από τις κύριες μεθόδους εις βάθος ελέγχου πακέτων στη διαχείριση δικτύου παρατίθενται παρακάτω:
Λειτουργία αντιστοίχισης/Υπογραφή
Κάθε πακέτο ελέγχεται για αντιστοιχία με μια βάση δεδομένων γνωστών επιθέσεων δικτύου από ένα τείχος προστασίας με δυνατότητες συστήματος ανίχνευσης εισβολών (IDS). Το IDS αναζητά γνωστά κακόβουλα συγκεκριμένα μοτίβα και απενεργοποιεί την κυκλοφορία όταν εντοπίζονται κακόβουλα μοτίβα. Το μειονέκτημα της πολιτικής αντιστοίχισης υπογραφών είναι ότι ισχύει μόνο για υπογραφές που ενημερώνονται συχνά. Επιπλέον, αυτή η τεχνολογία μπορεί να προστατεύσει μόνο από γνωστές απειλές ή επιθέσεις.
Εξαίρεση πρωτοκόλλου
Δεδομένου ότι η τεχνική εξαίρεσης πρωτοκόλλου δεν επιτρέπει απλώς όλα τα δεδομένα που δεν ταιριάζουν με τη βάση δεδομένων υπογραφών, η τεχνική εξαίρεσης πρωτοκόλλου που χρησιμοποιείται από το τείχος προστασίας IDS δεν έχει τα εγγενή ελαττώματα της μεθόδου αντιστοίχισης προτύπων/υπογραφών. Αντίθετα, υιοθετεί την προεπιλεγμένη πολιτική απόρριψης. Σύμφωνα με τον ορισμό του πρωτοκόλλου, τα τείχη προστασίας αποφασίζουν ποια κίνηση θα πρέπει να επιτρέπεται και προστατεύουν το δίκτυο από άγνωστες απειλές.
Σύστημα Πρόληψης Εισβολών (IPS)
Οι λύσεις IPS μπορούν να μπλοκάρουν τη μετάδοση επιβλαβών πακέτων με βάση το περιεχόμενό τους, σταματώντας έτσι τις ύποπτες επιθέσεις σε πραγματικό χρόνο. Αυτό σημαίνει ότι εάν ένα πακέτο αντιπροσωπεύει έναν γνωστό κίνδυνο ασφαλείας, το IPS θα μπλοκάρει προληπτικά την κυκλοφορία δικτύου με βάση ένα καθορισμένο σύνολο κανόνων. Ένα μειονέκτημα του IPS είναι η ανάγκη τακτικής ενημέρωσης μιας βάσης δεδομένων για απειλές στον κυβερνοχώρο με λεπτομέρειες σχετικά με νέες απειλές και την πιθανότητα ψευδώς θετικών αποτελεσμάτων. Ωστόσο, αυτός ο κίνδυνος μπορεί να μετριαστεί με τη δημιουργία συντηρητικών πολιτικών και προσαρμοσμένων ορίων, τον καθορισμό κατάλληλης βασικής συμπεριφοράς για τα στοιχεία δικτύου και την περιοδική αξιολόγηση των προειδοποιήσεων και των αναφερόμενων συμβάντων για την ενίσχυση της παρακολούθησης και της ειδοποίησης.
1- Το DPI (Deep Packet Inspection) στο Network Packet Broker
Το "βαθύ" επίπεδο είναι η σύγκριση της ανάλυσης πακέτων σε επίπεδο 4 και της συνήθους ανάλυσης πακέτων, με την "συνήθη επιθεώρηση πακέτων" να ακολουθεί μόνο την ανάλυση του IP packet 4, συμπεριλαμβανομένης της διεύθυνσης πηγής, της διεύθυνσης προορισμού, της θύρας πηγής, της θύρας προορισμού και του τύπου πρωτοκόλλου, καθώς και του DPI, εκτός από την ιεραρχική ανάλυση, η οποία αύξησε επίσης την ανάλυση του επιπέδου εφαρμογής, προσδιορίζοντας τις διάφορες εφαρμογές και το περιεχόμενο, για να πραγματοποιήσει τις κύριες λειτουργίες:
1) Ανάλυση Εφαρμογών -- ανάλυση σύνθεσης κυκλοφορίας δικτύου, ανάλυση απόδοσης και ανάλυση ροής
2) Ανάλυση Χρηστών -- διαφοροποίηση ομάδων χρηστών, ανάλυση συμπεριφοράς, ανάλυση τερματικών, ανάλυση τάσεων, κ.λπ.
3) Ανάλυση Στοιχείων Δικτύου -- ανάλυση με βάση περιφερειακά χαρακτηριστικά (πόλη, περιοχή, δρόμος κ.λπ.) και φορτίο σταθμού βάσης
4) Έλεγχος κυκλοφορίας -- Περιορισμός ταχύτητας P2P, διασφάλιση QoS, διασφάλιση εύρους ζώνης, βελτιστοποίηση πόρων δικτύου, κ.λπ.
5) Διασφάλιση Ασφάλειας -- Επιθέσεις DDoS, καταιγίδα μετάδοσης δεδομένων, πρόληψη κακόβουλων επιθέσεων ιών, κ.λπ.
2- Γενική Ταξινόμηση Εφαρμογών Δικτύου
Σήμερα υπάρχουν αμέτρητες εφαρμογές στο Διαδίκτυο, αλλά οι κοινές εφαρμογές ιστού μπορεί να είναι εξαντλητικές.
Από όσο γνωρίζω, η καλύτερη εταιρεία αναγνώρισης εφαρμογών είναι η Huawei, η οποία ισχυρίζεται ότι αναγνωρίζει 4.000 εφαρμογές. Η ανάλυση πρωτοκόλλου είναι η βασική ενότητα πολλών εταιρειών τείχους προστασίας (Huawei, ZTE, κ.λπ.) και είναι επίσης μια πολύ σημαντική ενότητα, υποστηρίζοντας την υλοποίηση άλλων λειτουργικών ενοτήτων, την ακριβή αναγνώριση εφαρμογών και βελτιώνοντας σημαντικά την απόδοση και την αξιοπιστία των προϊόντων. Κατά τη μοντελοποίηση της αναγνώρισης κακόβουλου λογισμικού με βάση τα χαρακτηριστικά της κυκλοφορίας δικτύου, όπως κάνω τώρα, η ακριβής και εκτεταμένη αναγνώριση πρωτοκόλλου είναι επίσης πολύ σημαντική. Εξαιρώντας την κυκλοφορία δικτύου των κοινών εφαρμογών από την κυκλοφορία εξαγωγής της εταιρείας, η υπόλοιπη κυκλοφορία θα αντιπροσωπεύει ένα μικρό ποσοστό, το οποίο είναι καλύτερο για την ανάλυση κακόβουλου λογισμικού και τον συναγερμό.
Με βάση την εμπειρία μου, οι υπάρχουσες εφαρμογές που χρησιμοποιούνται συνήθως ταξινομούνται ανάλογα με τις λειτουργίες τους:
Υ.Γ.: Σύμφωνα με την προσωπική κατανόηση της ταξινόμησης εφαρμογών, έχετε οποιεσδήποτε καλές προτάσεις ευπρόσδεκτες να αφήσετε μια πρόταση μηνύματος
1). Ηλεκτρονικό ταχυδρομείο
2). Βίντεο
3). Παιχνίδια
4). Μάθημα Επαγγελματικής Αγωγής Γραφείου
5). Ενημέρωση λογισμικού
6). Χρηματοοικονομικά (τράπεζα, Alipay)
7). Μετοχές
8). Κοινωνική Επικοινωνία (λογισμικό άμεσων μηνυμάτων)
9). Περιήγηση στο διαδίκτυο (πιθανώς καλύτερα αναγνωρισμένη με URL)
10). Εργαλεία λήψης (δίσκος ιστού, λήψη P2P, σχετικά με BT)
Στη συνέχεια, πώς λειτουργεί το DPI (Deep Packet Inspection) σε ένα NPB:
1). Σύλληψη πακέτων: Το NPB καταγράφει την κίνηση δικτύου από διάφορες πηγές, όπως διακόπτες, δρομολογητές ή βρύσες. Λαμβάνει πακέτα που ρέουν μέσω του δικτύου.
2). Ανάλυση Πακέτων: Τα καταγεγραμμένα πακέτα αναλύονται από το NPB για την εξαγωγή διαφόρων επιπέδων πρωτοκόλλου και σχετικών δεδομένων. Αυτή η διαδικασία ανάλυσης βοηθά στον εντοπισμό των διαφόρων στοιχείων μέσα στα πακέτα, όπως κεφαλίδες Ethernet, κεφαλίδες IP, κεφαλίδες επιπέδου μεταφοράς (π.χ., TCP ή UDP) και πρωτόκολλα επιπέδου εφαρμογής.
3). Ανάλυση ωφέλιμου φορτίου: Με το DPI, το NPB υπερβαίνει την απλή επιθεώρηση κεφαλίδας και εστιάζει στο ωφέλιμο φορτίο, συμπεριλαμβανομένων των πραγματικών δεδομένων εντός των πακέτων. Εξετάζει το περιεχόμενο του ωφέλιμου φορτίου σε βάθος, ανεξάρτητα από την εφαρμογή ή το πρωτόκολλο που χρησιμοποιείται, για την εξαγωγή σχετικών πληροφοριών.
4). Αναγνώριση Πρωτοκόλλου: Το DPI επιτρέπει στο NPB να αναγνωρίζει τα συγκεκριμένα πρωτόκολλα και εφαρμογές που χρησιμοποιούνται στην κίνηση δικτύου. Μπορεί να ανιχνεύσει και να ταξινομήσει πρωτόκολλα όπως HTTP, FTP, SMTP, DNS, VoIP ή πρωτόκολλα ροής βίντεο.
5). Επιθεώρηση Περιεχομένου: Το DPI επιτρέπει στο NPB να επιθεωρεί το περιεχόμενο των πακέτων για συγκεκριμένα μοτίβα, υπογραφές ή λέξεις-κλειδιά. Αυτό επιτρέπει την ανίχνευση απειλών δικτύου, όπως κακόβουλο λογισμικό, ιούς, απόπειρες εισβολής ή ύποπτες δραστηριότητες. Το DPI μπορεί επίσης να χρησιμοποιηθεί για φιλτράρισμα περιεχομένου, επιβολή πολιτικών δικτύου ή εντοπισμό παραβιάσεων συμμόρφωσης δεδομένων.
6). Εξαγωγή μεταδεδομένων: Κατά τη διάρκεια του DPI, το NPB εξάγει σχετικά μεταδεδομένα από τα πακέτα. Αυτά μπορεί να περιλαμβάνουν πληροφορίες όπως διευθύνσεις IP προέλευσης και προορισμού, αριθμούς θύρας, λεπτομέρειες συνεδρίας, δεδομένα συναλλαγών ή οποιαδήποτε άλλα σχετικά χαρακτηριστικά.
7). Δρομολόγηση ή φιλτράρισμα κυκλοφορίας: Με βάση την ανάλυση DPI, το NPB μπορεί να δρομολογήσει συγκεκριμένα πακέτα σε καθορισμένους προορισμούς για περαιτέρω επεξεργασία, όπως συσκευές ασφαλείας, εργαλεία παρακολούθησης ή πλατφόρμες ανάλυσης. Μπορεί επίσης να εφαρμόσει κανόνες φιλτραρίσματος για την απόρριψη ή την ανακατεύθυνση πακέτων με βάση το προσδιορισμένο περιεχόμενο ή μοτίβα.
Ώρα δημοσίευσης: 25 Ιουνίου 2023
