Inspektimi i thellë i paketave (DPI)është një teknologji e përdorur në Brokerat e Paketave të Rrjetit (NPB) për të inspektuar dhe analizuar përmbajtjen e paketave të rrjetit në një nivel të grimcuar. Ai përfshin ekzaminimin e ngarkesës, titujt dhe informacionet e tjera specifike të protokollit brenda paketave për të fituar njohuri të detajuara në trafikun e rrjetit.
DPI shkon përtej analizës së thjeshtë të kokës dhe ofron një kuptim të thellë të të dhënave që rrjedhin nëpër një rrjet. Ai lejon inspektimin e thellë të protokolleve të shtresës së aplikacionit, të tilla si protokollet HTTP, FTP, SMTP, VoIP ose video streaming. Duke ekzaminuar përmbajtjen aktuale brenda paketave, DPI mund të zbulojë dhe identifikojë aplikacione specifike, protokolle, apo edhe modele specifike të të dhënave.
Përveç analizës hierarkike të adresave të burimit, adresave të destinacionit, portave burimore, porteve të destinacionit dhe llojeve të protokollit, DPI shton gjithashtu analizën e shtresës së aplikacionit për të identifikuar aplikacione të ndryshme dhe përmbajtjen e tyre. Kur të dhënat e paketës 1P, TCP ose UDP rrjedhin përmes sistemit të menaxhimit të gjerësisë së brezit bazuar në teknologjinë DPI, sistemi lexon përmbajtjen e ngarkesës së paketës 1P për të riorganizuar informacionin e shtresës së aplikacionit në protokollin OSI Layer 7, në mënyrë që të marrë përmbajtjen e të gjithë programin e aplikimit, dhe më pas formësimin e trafikut sipas politikës së menaxhimit të përcaktuar nga sistemi.
Si funksionon DPI?
Firewall-eve tradicionale shpesh u mungon fuqia përpunuese për të kryer kontrolle të plota në kohë reale në vëllime të mëdha trafiku. Ndërsa teknologjia përparon, DPI mund të përdoret për të kryer kontrolle më komplekse për të kontrolluar titujt dhe të dhënat. Në mënyrë tipike, muret e zjarrit me sisteme të zbulimit të ndërhyrjeve shpesh përdorin DPI. Në një botë ku informacioni dixhital është parësor, çdo pjesë e informacionit dixhital shpërndahet përmes internetit në pako të vogla. Kjo përfshin email, mesazhe të dërguara përmes aplikacionit, faqet e internetit të vizituara, biseda me video dhe më shumë. Përveç të dhënave aktuale, këto pako përfshijnë meta të dhëna që identifikojnë burimin e trafikut, përmbajtjen, destinacionin dhe informacione të tjera të rëndësishme. Me teknologjinë e filtrimit të paketave, të dhënat mund të monitorohen dhe menaxhohen vazhdimisht për t'u siguruar që ato të përcillen në vendin e duhur. Por për të garantuar sigurinë e rrjetit, filtrimi tradicional i paketave nuk është i mjaftueshëm. Disa nga metodat kryesore të inspektimit të thellë të paketave në menaxhimin e rrjetit janë renditur më poshtë:
Modaliteti/Nënshkrimi i përputhjes
Çdo paketë kontrollohet për një përputhje me një bazë të dhënash të sulmeve të njohura të rrjetit nga një mur zjarri me aftësi të sistemit të zbulimit të ndërhyrjeve (IDS). IDS kërkon për modele specifike të njohura me qëllim të keq dhe çaktivizon trafikun kur gjenden modele me qëllim të keq. Disavantazhi i politikës së përputhjes së nënshkrimeve është se ajo zbatohet vetëm për nënshkrimet që përditësohen shpesh. Përveç kësaj, kjo teknologji mund të mbrohet vetëm nga kërcënimet ose sulmet e njohura.
Përjashtim nga protokolli
Meqenëse teknika e përjashtimit të protokollit nuk lejon thjesht të gjitha të dhënat që nuk përputhen me bazën e të dhënave të nënshkrimit, teknika e përjashtimit të protokollit e përdorur nga muri i zjarrit IDS nuk ka të metat e qenësishme të metodës së përputhjes së modelit/nënshkrimit. Në vend të kësaj, ajo miraton politikën e refuzimit të paracaktuar. Sipas përkufizimit të protokollit, muret e zjarrit vendosin se çfarë trafiku duhet të lejohet dhe mbrojnë rrjetin nga kërcënimet e panjohura.
Sistemi i Parandalimit të Ndërhyrjeve (IPS)
Zgjidhjet IPS mund të bllokojnë transmetimin e paketave të dëmshme bazuar në përmbajtjen e tyre, duke ndaluar kështu sulmet e dyshuara në kohë reale. Kjo do të thotë që nëse një paketë përfaqëson një rrezik të njohur sigurie, IPS do të bllokojë në mënyrë proaktive trafikun e rrjetit bazuar në një grup rregullash të përcaktuara. Një disavantazh i IPS-së është nevoja për të përditësuar rregullisht një bazë të dhënash të kërcënimeve kibernetike me detaje rreth kërcënimeve të reja dhe mundësia e rezultateve false. Por ky rrezik mund të zbutet duke krijuar politika konservatore dhe pragje të personalizuara, duke vendosur sjellje të përshtatshme bazë për komponentët e rrjetit dhe duke vlerësuar periodikisht paralajmërimet dhe ngjarjet e raportuara për të përmirësuar monitorimin dhe alarmimin.
1- DPI (Inspektimi i thellë i paketave) në ndërmjetësin e paketave të rrjetit
"I thellë" është krahasimi i nivelit dhe analizës së zakonshme të paketave, "inspektimi i zakonshëm i paketës" vetëm analiza e mëposhtme e shtresës së paketës IP 4, duke përfshirë adresën e burimit, adresën e destinacionit, portin e burimit, portin e destinacionit dhe llojin e protokollit, dhe DPI, përveç me hierarkinë analiza, gjithashtu rriti analizën e shtresës së aplikimit, identifikoni aplikacionet dhe përmbajtjen e ndryshme, për të realizuar funksionet kryesore:
1) Analiza e aplikacionit -- analiza e përbërjes së trafikut të rrjetit, analiza e performancës dhe analiza e rrjedhës
2) Analiza e përdoruesve - diferencimi i grupit të përdoruesve, analiza e sjelljes, analiza e terminalit, analiza e tendencave, etj.
3) Analiza e elementeve të rrjetit -- analiza e bazuar në atributet rajonale (qytet, rreth, rrugë, etj.) dhe ngarkesën e stacionit bazë
4) Kontrolli i trafikut - kufizimi i shpejtësisë P2P, siguria QoS, sigurimi i gjerësisë së brezit, optimizimi i burimeve të rrjetit, etj.
5) Sigurimi i Sigurisë -- Sulmet DDoS, stuhia e transmetimit të të dhënave, parandalimi i sulmeve të viruseve me qëllim të keq, etj.
2- Klasifikimi i Përgjithshëm i Aplikacioneve të Rrjetit
Sot ka aplikacione të panumërta në internet, por aplikacionet e zakonshme në internet mund të jenë shteruese.
Me sa di unë, kompania më e mirë e njohjes së aplikacioneve është Huawei, e cila pretendon se njeh 4000 aplikacione. Analiza e protokollit është moduli bazë i shumë kompanive të mureve të zjarrit (Huawei, ZTE, etj.), dhe është gjithashtu një modul shumë i rëndësishëm, që mbështet realizimin e moduleve të tjera funksionale, identifikimin e saktë të aplikacioneve dhe përmirëson shumë performancën dhe besueshmërinë e produkteve. Në modelimin e identifikimit të malware bazuar në karakteristikat e trafikut të rrjetit, siç po bëj tani, identifikimi i saktë dhe i gjerë i protokollit është gjithashtu shumë i rëndësishëm. Duke përjashtuar trafikun e rrjetit të aplikacioneve të zakonshme nga trafiku i eksportit të kompanisë, trafiku i mbetur do të përbëjë një pjesë të vogël, gjë që është më e mirë për analizën dhe alarmin e malware.
Bazuar në përvojën time, aplikacionet ekzistuese të përdorura zakonisht klasifikohen sipas funksioneve të tyre:
PS: Sipas të kuptuarit personal të klasifikimit të aplikacionit, ju keni ndonjë sugjerim të mirë të mirëpritur për të lënë një propozim mesazhi
1). E-mail
2). Video
3). Lojëra
4). Klasa e OA në zyrë
5). Përditësimi i softuerit
6). Financiare (bankë, Alipay)
7). Stoqet
8). Komunikimi Social (softuer IM)
9). Shfletimi në ueb (ndoshta identifikohet më mirë me URL)
10). Mjetet e shkarkimit (disk ueb, shkarkim P2P, lidhur me BT)
Pastaj, si funksionon DPI (Inspektimi i thellë i paketave) në një NPB:
1). Kapja e paketave: NPB kap trafikun e rrjetit nga burime të ndryshme, si çelsat, ruterat ose trokitje e lehtë. Ai merr paketa që rrjedhin nëpër rrjet.
2). Parimi i paketave: Paketat e kapura analizohen nga NPB për të nxjerrë shtresa të ndryshme protokolli dhe të dhëna të lidhura. Ky proces analizimi ndihmon në identifikimin e komponentëve të ndryshëm brenda paketave, të tilla si titujt e Ethernet-it, kokat e IP-së, kokat e shtresave të transportit (p.sh. TCP ose UDP) dhe protokollet e shtresave të aplikacionit.
3). Analiza e ngarkesës: Me DPI, NPB shkon përtej inspektimit të kokës dhe fokusohet në ngarkesën, duke përfshirë të dhënat aktuale brenda paketave. Ai shqyrton në thellësi përmbajtjen e ngarkesës, pavarësisht nga aplikacioni ose protokolli i përdorur, për të nxjerrë informacionin përkatës.
4). Identifikimi i Protokollit: DPI i mundëson NPB-së të identifikojë protokollet dhe aplikacionet specifike që përdoren brenda trafikut të rrjetit. Mund të zbulojë dhe klasifikojë protokollet si HTTP, FTP, SMTP, DNS, VoIP ose protokollet e transmetimit të videos.
5). Inspektimi i përmbajtjes: DPI lejon NPB të inspektojë përmbajtjen e paketave për modele, nënshkrime ose fjalë kyçe specifike. Kjo mundëson zbulimin e kërcënimeve të rrjetit, të tilla si malware, viruse, përpjekje për ndërhyrje ose aktivitete të dyshimta. DPI mund të përdoret gjithashtu për filtrimin e përmbajtjes, zbatimin e politikave të rrjetit ose identifikimin e shkeljeve të pajtueshmërisë së të dhënave.
6). Nxjerrja e meta të dhënave: Gjatë DPI, NPB nxjerr meta të dhënat përkatëse nga paketat. Kjo mund të përfshijë informacione të tilla si adresat IP të burimit dhe destinacionit, numrat e portit, detajet e sesionit, të dhënat e transaksionit ose çdo atribut tjetër përkatës.
7). Drejtimi ose filtrimi i trafikut: Bazuar në analizën e DPI, NPB mund të drejtojë paketa specifike në destinacionet e përcaktuara për përpunim të mëtejshëm, të tilla si pajisjet e sigurisë, mjetet e monitorimit ose platformat analitike. Mund të zbatojë gjithashtu rregulla filtrimi për të hedhur ose ridrejtuar paketat bazuar në përmbajtjen ose modelet e identifikuara.
Koha e postimit: Qershor-25-2023