Inspektim i Thellë i Paketave (DPI)është një teknologji e përdorur në Ndërmjetësit e Paketave të Rrjetit (NPB) për të inspektuar dhe analizuar përmbajtjen e paketave të rrjetit në një nivel të detajuar. Përfshin shqyrtimin e ngarkesës, kokave dhe informacioneve të tjera specifike të protokollit brenda paketave për të fituar njohuri të hollësishme mbi trafikun e rrjetit.
DPI shkon përtej analizës së thjeshtë të header-ave dhe ofron një kuptim të thellë të të dhënave që rrjedhin përmes një rrjeti. Ai lejon inspektim të thelluar të protokolleve të shtresës së aplikacionit, siç janë HTTP, FTP, SMTP, VoIP ose protokollet e transmetimit të videos. Duke shqyrtuar përmbajtjen aktuale brenda paketave, DPI mund të zbulojë dhe identifikojë aplikacione, protokolle ose edhe modele specifike të të dhënave.
Përveç analizës hierarkike të adresave burimore, adresave të destinacionit, porteve burimore, porteve të destinacionit dhe llojeve të protokolleve, DPI shton gjithashtu analizën e shtresës së aplikacionit për të identifikuar aplikacione të ndryshme dhe përmbajtjen e tyre. Kur paketa 1P, të dhënat TCP ose UDP rrjedhin përmes sistemit të menaxhimit të bandwidth-it bazuar në teknologjinë DPI, sistemi lexon përmbajtjen e ngarkesës së paketës 1P për të riorganizuar informacionin e shtresës së aplikacionit në protokollin OSI Layer 7, në mënyrë që të marrë përmbajtjen e të gjithë programit të aplikacionit, dhe më pas të formësojë trafikun sipas politikës së menaxhimit të përcaktuar nga sistemi.
Si funksionon DPI?
Firewall-et tradicionale shpesh nuk kanë fuqinë përpunuese për të kryer kontrolle të plota në kohë reale në vëllime të mëdha trafiku. Ndërsa teknologjia përparon, DPI mund të përdoret për të kryer kontrolle më komplekse për të kontrolluar titujt dhe të dhënat. Në mënyrë tipike, firewall-et me sisteme zbulimi ndërhyrjesh shpesh përdorin DPI. Në një botë ku informacioni dixhital është Paramount, çdo informacion dixhital dorëzohet nëpërmjet internetit në paketa të vogla. Kjo përfshin email-in, mesazhet e dërguara përmes aplikacionit, faqet e internetit të vizituara, bisedat me video dhe më shumë. Përveç të dhënave aktuale, këto paketa përfshijnë meta të dhëna që identifikojnë burimin e trafikut, përmbajtjen, destinacionin dhe informacione të tjera të rëndësishme. Me teknologjinë e filtrimit të paketave, të dhënat mund të monitorohen dhe menaxhohen vazhdimisht për të siguruar që ato të përcillen në vendin e duhur. Por për të siguruar sigurinë e rrjetit, filtrimi tradicional i paketave është larg të qenit i mjaftueshëm. Disa nga metodat kryesore të inspektimit të thellë të paketave në menaxhimin e rrjetit janë renditur më poshtë:
Modaliteti/Nënshkrimi i Përputhjes
Çdo paketë kontrollohet për përputhje me një bazë të dhënash të sulmeve të njohura të rrjetit nga një firewall me aftësi të sistemit të zbulimit të ndërhyrjeve (IDS). IDS kërkon modele specifike të njohura keqdashëse dhe çaktivizon trafikun kur gjenden modele keqdashëse. Disavantazhi i politikës së përputhjes së nënshkrimeve është se ajo zbatohet vetëm për nënshkrimet që përditësohen shpesh. Përveç kësaj, kjo teknologji mund të mbrohet vetëm nga kërcënimet ose sulmet e njohura.
Përjashtim nga Protokolli
Meqenëse teknika e përjashtimit të protokollit nuk lejon thjesht të gjitha të dhënat që nuk përputhen me bazën e të dhënave të nënshkrimeve, teknika e përjashtimit të protokollit e përdorur nga firewall-i IDS nuk ka të metat e natyrshme të metodës së përputhjes së modelit/nënshkrimit. Në vend të kësaj, ajo miraton politikën e refuzimit të parazgjedhur. Sipas përkufizimit të protokollit, firewall-et vendosin se çfarë trafiku duhet të lejohet dhe mbrojnë rrjetin nga kërcënimet e panjohura.
Sistemi i Parandalimit të Ndërhyrjeve (IPS)
Zgjidhjet IPS mund të bllokojnë transmetimin e paketave të dëmshme bazuar në përmbajtjen e tyre, duke ndaluar kështu sulmet e dyshuara në kohë reale. Kjo do të thotë që nëse një paketë përfaqëson një rrezik të njohur sigurie, IPS do të bllokojë në mënyrë proaktive trafikun e rrjetit bazuar në një grup të përcaktuar rregullash. Një disavantazh i IPS është nevoja për të përditësuar rregullisht një bazë të dhënash të kërcënimeve kibernetike me detaje rreth kërcënimeve të reja dhe mundësinë e pozitivëve të rremë. Por ky rrezik mund të zbutet duke krijuar politika konservatore dhe pragje të personalizuara, duke vendosur sjellje bazë të përshtatshme për komponentët e rrjetit dhe duke vlerësuar periodikisht paralajmërimet dhe ngjarjet e raportuara për të përmirësuar monitorimin dhe alarmimin.
1- DPI (Inspektimi i Thellë i Paketave) në Ndërmjetësin e Paketave të Rrjetit
"Thellësia" është krahasimi i nivelit dhe analizës së zakonshme të paketave, "inspektimi i zakonshëm i paketave" vetëm analiza e mëposhtme e shtresës 4 të paketës IP, duke përfshirë adresën e burimit, adresën e destinacionit, portin e burimit, portin e destinacionit dhe llojin e protokollit, dhe DPI përveç analizës hierarkike, gjithashtu rriti analizën e shtresës së aplikacionit, identifikoi aplikacionet dhe përmbajtjen e ndryshme, për të realizuar funksionet kryesore:
1) Analiza e Aplikacionit -- analiza e përbërjes së trafikut të rrjetit, analiza e performancës dhe analiza e rrjedhës
2) Analiza e Përdoruesit -- diferencimi i grupit të përdoruesve, analiza e sjelljes, analiza e terminalit, analiza e trendit, etj.
3) Analiza e Elementeve të Rrjetit -- analizë e bazuar në atributet rajonale (qytet, rreth, rrugë, etj.) dhe ngarkesën e stacionit bazë
4) Kontroll i Trafikut -- Kufizim i shpejtësisë P2P, sigurim i QoS, sigurim i gjerësisë së brezit, optimizim i burimeve të rrjetit, etj.
5) Siguria -- Sulme DDoS, stuhi transmetimi të dhënash, parandalimi i sulmeve keqdashëse me viruse, etj.
2- Klasifikimi i Përgjithshëm i Aplikacioneve të Rrjetit
Sot ka aplikacione të panumërta në internet, por aplikacionet e zakonshme në internet mund të jenë të shumta.
Për aq sa di unë, kompania më e mirë e njohjes së aplikacioneve është Huawei, e cila pretendon se njeh 4,000 aplikacione. Analiza e protokollit është moduli bazë i shumë kompanive të firewall-eve (Huawei, ZTE, etj.), dhe është gjithashtu një modul shumë i rëndësishëm, që mbështet realizimin e moduleve të tjera funksionale, identifikimin e saktë të aplikacioneve dhe përmirëson shumë performancën dhe besueshmërinë e produkteve. Në modelimin e identifikimit të malware bazuar në karakteristikat e trafikut të rrjetit, siç po bëj tani, identifikimi i saktë dhe i gjerë i protokollit është gjithashtu shumë i rëndësishëm. Duke përjashtuar trafikun e rrjetit të aplikacioneve të zakonshme nga trafiku i eksportit të kompanisë, trafiku i mbetur do të përbëjë një pjesë të vogël, e cila është më e mirë për analizën e malware dhe alarmin.
Bazuar në përvojën time, aplikacionet ekzistuese të përdorura zakonisht klasifikohen sipas funksioneve të tyre:
PS: Sipas kuptimit personal të klasifikimit të aplikacionit, nëse keni ndonjë sugjerim të mirë, mirëpresim të lini një propozim mesazhi.
1). Email
2). Video
3). Lojëra
4). Klasa e OA-së në Zyrë
5). Përditësimi i softuerit
6). Financiare (bankë, Alipay)
7). Aksionet
8). Komunikimi Social (softuer IM)
9). Shfletimi i uebit (ndoshta identifikohet më mirë me URL-të)
10). Mjete shkarkimi (disk në internet, shkarkim P2P, të lidhura me BT)
Pastaj, si funksionon DPI (Deep Packet Inspection) në një NPB:
1). Kapja e paketave: NPB kap trafikun e rrjetit nga burime të ndryshme, të tilla si switch-e, routerë ose taps. Ai merr paketa që rrjedhin nëpër rrjet.
2). Analizimi i paketave: Paketat e kapura analizohen nga NPB për të nxjerrë shtresa të ndryshme protokolli dhe të dhëna të shoqëruara. Ky proces analizimi ndihmon në identifikimin e komponentëve të ndryshëm brenda paketave, siç janë kokat Ethernet, kokat IP, kokat e shtresës së transportit (p.sh., TCP ose UDP) dhe protokollet e shtresës së aplikacionit.
3). Analiza e Ngarkesës: Me DPI, NPB shkon përtej inspektimit të kokës dhe përqendrohet në ngarkesën, duke përfshirë të dhënat aktuale brenda paketave. Ai shqyrton përmbajtjen e ngarkesës në thellësi, pavarësisht nga aplikacioni ose protokolli i përdorur, për të nxjerrë informacionin përkatës.
4). Identifikimi i Protokollit: DPI i mundëson NPB-së të identifikojë protokollet dhe aplikacionet specifike që përdoren brenda trafikut të rrjetit. Mund të zbulojë dhe klasifikojë protokolle si HTTP, FTP, SMTP, DNS, VoIP ose protokolle të transmetimit të videos.
5). Inspektimi i Përmbajtjes: DPI i lejon NPB-së të inspektojë përmbajtjen e paketave për modele, nënshkrime ose fjalë kyçe specifike. Kjo mundëson zbulimin e kërcënimeve të rrjetit, siç janë programet keqdashëse, viruset, përpjekjet për ndërhyrje ose aktivitetet e dyshimta. DPI mund të përdoret gjithashtu për filtrimin e përmbajtjes, zbatimin e politikave të rrjetit ose identifikimin e shkeljeve të përputhshmërisë së të dhënave.
6). Nxjerrja e meta të dhënave: Gjatë DPI-së, NPB nxjerr meta të dhënat përkatëse nga paketat. Kjo mund të përfshijë informacione të tilla si adresat IP të burimit dhe destinacionit, numrat e porteve, detajet e sesionit, të dhënat e transaksioneve ose çdo atribut tjetër përkatës.
7). Drejtimi ose Filtrimi i Trafikut: Bazuar në analizën DPI, NPB mund të drejtojë paketa specifike në destinacione të caktuara për përpunim të mëtejshëm, siç janë pajisjet e sigurisë, mjetet e monitorimit ose platformat analitike. Gjithashtu mund të aplikojë rregulla filtrimi për të hedhur poshtë ose ridrejtuar paketat bazuar në përmbajtjen ose modelet e identifikuara.
Koha e postimit: 25 qershor 2023
