Inspektimi i thellë i paketave (Dpi)është një teknologji e përdorur në Brokerat e Paketave të Rrjetit (NPBS) për të inspektuar dhe analizuar përmbajtjen e paketave të rrjetit në një nivel kokrrizor. Ai përfshin ekzaminimin e ngarkesës, header dhe informacione të tjera specifike për protokollin brenda paketave për të marrë njohuri të hollësishme në trafikun e rrjetit.
DPI shkon përtej analizës së thjeshtë të kokës dhe siguron një kuptim të thellë të të dhënave që rrjedhin përmes një rrjeti. Ai lejon inspektimin e thelluar të protokolleve të shtresave të aplikimit, të tilla si protokollet HTTP, FTP, SMTP, VoIP ose video transmetimi. Duke ekzaminuar përmbajtjen aktuale brenda paketave, DPI mund të zbulojë dhe identifikojë aplikacione specifike, protokolle, apo edhe modele specifike të të dhënave.
Përveç analizës hierarkike të adresave të burimit, adresave të destinacionit, porteve të burimit, porteve të destinacionit dhe llojeve të protokollit, DPI gjithashtu shton analizën e shtresave të aplikimit për të identifikuar aplikacione të ndryshme dhe përmbajtjen e tyre. Kur të dhënat e paketës 1P, TCP ose UDP rrjedhin përmes sistemit të menaxhimit të gjerësisë së bandës bazuar në teknologjinë DPI, sistemi lexon përmbajtjen e ngarkesës së paketave 1P për të riorganizuar informacionin e shtresës së aplikacionit në protokollin e shtresës OSI 7, në mënyrë që të marrë përmbajtjen e të gjithë programit të aplikimit, dhe pastaj formimin e trafikut sipas politikës së menaxhimit të përcaktuar nga sistemi.
Si funksionon DPI?
Firewalls tradicionale shpesh u mungon fuqia e përpunimit për të kryer kontrolle të hollësishme në kohë reale në vëllime të mëdha të trafikut. Ndërsa përparon teknologjia, DPI mund të përdoret për të kryer kontrolle më komplekse për të kontrolluar titujt dhe të dhënat. Në mënyrë tipike, firewalls me sisteme të zbulimit të ndërhyrjes shpesh përdorin DPI. Në një botë ku informacioni dixhital është parësor, çdo pjesë e informacionit dixhital dorëzohet përmes internetit në pako të vogla. Kjo përfshin email, mesazhe të dërguara përmes aplikacionit, faqet e internetit të vizituara, biseda video dhe më shumë. Përveç të dhënave aktuale, këto pako përfshijnë metadata që identifikojnë burimin e trafikut, përmbajtjen, destinacionin dhe informacione të tjera të rëndësishme. Me teknologjinë e filtrimit të paketave, të dhënat mund të monitorohen vazhdimisht dhe të arrihen për të siguruar që ajo të përcillet në vendin e duhur. Por për të siguruar sigurinë e rrjetit, filtrimi tradicional i paketave është larg nga sa duhet. Disa nga metodat kryesore të inspektimit të thellë të paketave në menaxhimin e rrjetit janë renditur më poshtë:
Mënyra/nënshkrimi i përputhjes
Secila pako kontrollohet për një ndeshje kundër një baze të dhënash të sulmeve të njohura të rrjetit nga një firewall me aftësi të sistemit të zbulimit të ndërhyrjes (IDS). Kërkimet e ID -ve për modele specifike të njohura me qëllim të keq dhe çaktivizojnë trafikun kur gjenden modele me qëllim të keq. Disavantazhi i politikës së përputhjes së nënshkrimit është se ajo vlen vetëm për nënshkrimet që azhurnohen shpesh. Për më tepër, kjo teknologji mund të mbrojë vetëm kundër kërcënimeve ose sulmeve të njohura.
Përjashtim i protokollit
Meqenëse teknika e përjashtimit të protokollit nuk lejon thjesht të gjitha të dhënat që nuk përputhen me bazën e të dhënave të nënshkrimit, teknika e përjashtimit të protokollit të përdorur nga firewall IDS nuk ka të metat e qenësishme të metodës së përputhjes së modelit/nënshkrimit. Në vend të kësaj, ajo miraton politikën e paracaktuar të refuzimit. Sipas përcaktimit të protokollit, muret e zjarrit vendosin se çfarë trafiku duhet të lejohet dhe të mbrojë rrjetin nga kërcënimet e panjohura.
Sistemi i Parandalimit të Ndërhyrjes (IPS)
Zgjidhjet IPS mund të bllokojnë transmetimin e paketave të dëmshme bazuar në përmbajtjen e tyre, duke ndaluar kështu sulmet e dyshuara në kohë reale. Kjo do të thotë që nëse një paketë përfaqëson një rrezik të njohur të sigurisë, IPS do të bllokojë në mënyrë proaktive trafikun e rrjetit bazuar në një grup rregullash të përcaktuara. Një disavantazh i IPS është nevoja për të azhurnuar rregullisht një bazë të dhënash të kërcënimit kibernetik me detaje rreth kërcënimeve të reja, dhe mundësinë e pozitave false. Por ky rrezik mund të lehtësohet duke krijuar politika konservatore dhe pragje me porosi, duke vendosur sjellje të përshtatshme fillestare për përbërësit e rrjetit, dhe duke vlerësuar periodikisht paralajmërimet dhe ngjarjet e raportuara për të përmirësuar monitorimin dhe paralajmërimin.
1- DPI (Inspektimi i thellë i paketave) në Brokerin e Paketave të Rrjetit
"Deep" është krahasimi i nivelit dhe të zakonshëm të analizës së paketave, "inspektimi i zakonshëm i paketave" vetëm analiza e mëposhtme e shtresës IP Packet 4, duke përfshirë adresën e burimit, adresën e destinacionit, portin e burimit, portin e destinacionit dhe llojin e protokollit, dhe DPI përveç me analizën hierarkike, gjithashtu rriti analizën e shtresës së aplikacionit, të identifikojë aplikacionet dhe përmbajtjet e ndryshme, për të realizuar funksionet kryesore:
1) Analiza e aplikimit - Analiza e përbërjes së trafikut të rrjetit, analiza e performancës dhe analiza e rrjedhës
2) Analiza e përdoruesit - Diferencimi i grupit të përdoruesve, analiza e sjelljes, analiza e terminalit, analiza e trendit, etj.
3) Analiza e Elementit të Rrjetit - Analiza bazuar në atributet rajonale (Qyteti, Qarku, Rruga, etj.) Dhe ngarkesa e stacionit bazë
4) Kontrolli i trafikut - Kufizimi i shpejtësisë P2P, sigurimi i QoS, sigurimi i gjerësisë së bandës, optimizimi i burimeve të rrjetit, etj.
5) Sigurimi i Sigurisë - Sulmet e DDoS, Stuhia e Transmetimit të të Dhënave, Parandalimi i Sulmeve të Virusit me qëllim të keq, etj.
2- Klasifikimi i përgjithshëm i aplikacioneve të rrjetit
Sot ka aplikacione të panumërta në internet, por aplikacionet e zakonshme në internet mund të jenë shteruese.
Me sa di unë, kompania më e mirë e njohjes së aplikacionit është Huawei, e cila pretendon të njohë 4,000 aplikacione. Analiza e protokollit është moduli themelor i shumë kompanive të firewall (Huawei, ZTE, etj.), Dhe është gjithashtu një modul shumë i rëndësishëm, duke mbështetur realizimin e moduleve të tjera funksionale, identifikimin e saktë të aplikimit dhe përmirësimin e madh të performancës dhe besueshmërisë së produkteve. Në modelimin e identifikimit të malware bazuar në karakteristikat e trafikut të rrjetit, siç po bëj tani, identifikimi i saktë dhe i gjerë i protokollit është gjithashtu shumë i rëndësishëm. Duke përjashtuar trafikun e rrjetit të aplikacioneve të zakonshme nga trafiku i eksportit të kompanisë, trafiku i mbetur do të përbëjë një proporcion të vogël, i cili është më i mirë për analizën dhe alarmin e malware.
Bazuar në përvojën time, aplikacionet ekzistuese të përdorura zakonisht klasifikohen sipas funksioneve të tyre:
PS: Sipas kuptimit personal të klasifikimit të aplikacionit, ju keni ndonjë sugjerim të mirë të mirëpritur për të lënë një propozim mesazhi
1). E-mail
2). Video
3). Lojë
4). Klasa OA OA
5). Azhurnim i softuerit
6). Financiar (Banka, Alipay)
7). Rezerva
8). Komunikimi Social (Softuer IM)
9). Shfletimi në internet (ndoshta i identifikuar më mirë me URL)
10). Vegla Shkarkimi (Disk Web, P2P Shkarkim, BT i lidhur)
Pastaj, si funksionon DPI (inspektimi i thellë i paketave) në një NPB:
1). Kapja e paketave: NPB kap trafikun e rrjetit nga burime të ndryshme, të tilla si çelsat, ruterat ose çezmat. Ai merr pako që rrjedhin nëpër rrjet.
2). Parsing i paketave: Paketat e kapura janë analizuar nga NPB për të nxjerrë shtresa të ndryshme protokollesh dhe të dhëna shoqëruese. Ky proces analize ndihmon në identifikimin e përbërësve të ndryshëm brenda paketave, të tilla si kokat e Ethernet, kokat IP, kokat e shtresës së transportit (p.sh., TCP ose UDP) dhe protokollet e shtresave të aplikimit.
3). Analiza e ngarkesës: Me DPI, NPB shkon përtej inspektimit të kokës dhe përqendrohet në ngarkesën, përfshirë të dhënat aktuale brenda paketave. Ai shqyrton përmbajtjen e ngarkesës në thellësi, pavarësisht nga aplikacioni ose protokolli i përdorur, për të nxjerrë informacione përkatëse.
4). Identifikimi i protokollit: DPI i mundëson NPB të identifikojë protokollet dhe aplikacionet specifike që përdoren brenda trafikut të rrjetit. Mund të zbulojë dhe klasifikojë protokollet si HTTP, FTP, SMTP, DNS, VoIP ose protokollet e transmetimit të videos.
5). Inspektimi i përmbajtjes: DPI lejon NPB të inspektojë përmbajtjen e paketave për modele, nënshkrime ose fjalë kyçe specifike. Kjo mundëson zbulimin e kërcënimeve të rrjetit, të tilla si malware, viruse, përpjekje për ndërhyrje ose aktivitete të dyshimta. DPI mund të përdoret gjithashtu për filtrimin e përmbajtjes, zbatimin e politikave të rrjetit ose identifikimin e shkeljeve të pajtueshmërisë së të dhënave.
6). Nxjerrja e metadatës: Gjatë DPI, NPB nxjerr metadata përkatëse nga paketat. Kjo mund të përfshijë informacione të tilla si adresat IP të burimit dhe destinacionit, numrat e portit, detajet e sesionit, të dhënat e transaksioneve ose ndonjë atribute tjetër përkatëse.
7). Ndarja ose filtrimi i trafikut: Bazuar në analizën e DPI, NPB mund të drejtojë pako specifike në destinacione të përcaktuara për përpunim të mëtejshëm, siç janë pajisjet e sigurisë, mjetet e monitorimit ose platformat e analitikës. Ai gjithashtu mund të zbatojë rregulla të filtrimit për të hedhur poshtë ose ridrejtuar paketat bazuar në përmbajtjen ose modelet e identifikuara.
Koha e postimit: Qershor-25-2023
