Mély csomagvizsgálat (DPI)egy olyan technológia, amelyet a hálózati csomagközvetítők (NPB-k) használnak a hálózati csomagok tartalmának részletes vizsgálatára és elemzésére. Magában foglalja a csomagokban található hasznos adatok, fejlécek és egyéb protokollspecifikus információk vizsgálatát a hálózati forgalom részletes megismerése érdekében.
A DPI túlmutat az egyszerű fejlécelemzésen, és mélyreható ismereteket nyújt a hálózaton átfolyó adatokról. Lehetővé teszi az alkalmazásréteg protokolljainak, például a HTTP, FTP, SMTP, VoIP vagy video streaming protokolloknak a mélyreható vizsgálatát. A csomagokon belüli tényleges tartalom vizsgálatával a DPI képes észlelni és azonosítani bizonyos alkalmazásokat, protokollokat vagy akár bizonyos adatmintákat.
A forráscímek, célcímek, forrásportok, célportok és protokolltípusok hierarchikus elemzése mellett a DPI alkalmazásréteg-elemzést is végez a különböző alkalmazások és azok tartalmának azonosítására. Amikor az 1P csomag, a TCP vagy az UDP adat áthalad a DPI technológián alapuló sávszélesség-kezelő rendszeren, a rendszer beolvassa az 1P csomagbetöltés tartalmát, hogy átszervezze az alkalmazásréteg információit az OSI Layer 7 protokollban, így megkapja a teljes alkalmazásprogram tartalmát, majd a forgalmat a rendszer által meghatározott kezelési szabályzatnak megfelelően alakítja.
Hogyan működik a DPI?
A hagyományos tűzfalak gyakran nem rendelkeznek elegendő feldolgozási teljesítménnyel ahhoz, hogy alapos, valós idejű ellenőrzéseket végezzenek nagy mennyiségű forgalom esetén. A technológia fejlődésével a DPI összetettebb ellenőrzések elvégzésére is használható, például fejlécek és adatok ellenőrzésére. A behatolásérzékelő rendszerekkel rendelkező tűzfalak jellemzően gyakran használnak DPI-t. Egy olyan világban, ahol a digitális információ kiemelkedő fontosságú, minden digitális információ kis csomagokban érkezik az interneten keresztül. Ez magában foglalja az e-maileket, az alkalmazáson keresztül küldött üzeneteket, a meglátogatott webhelyeket, a videobeszélgetéseket és egyebeket. A tényleges adatok mellett ezek a csomagok metaadatokat is tartalmaznak, amelyek azonosítják a forgalom forrását, tartalmát, célállomását és egyéb fontos információkat. A csomagszűrő technológiával az adatok folyamatosan figyelhetők és kezelhetők, hogy biztosítsák a megfelelő helyre történő továbbítást. A hálózati biztonság garantálása érdekében azonban a hagyományos csomagszűrés messze nem elegendő. Az alábbiakban felsoroljuk a mélyreható csomagvizsgálat néhány fő módszerét a hálózatkezelésben:
Egyezési mód/aláírás
Minden csomagot egy behatolásérzékelő rendszerrel (IDS) rendelkező tűzfal ellenőrzi az ismert hálózati támadások adatbázisával való egyezés szempontjából. Az IDS ismert rosszindulatú, specifikus mintákat keres, és letiltja a forgalmat, ha rosszindulatú mintákat talál. Az aláírás-egyeztetési szabályzat hátránya, hogy csak a gyakran frissített aláírásokra vonatkozik. Ezenkívül ez a technológia csak az ismert fenyegetések vagy támadások ellen tud védekezni.
Protokoll kivétel
Mivel a protokollkivétel-technika nem egyszerűen engedélyezi az összes olyan adatot, amely nem egyezik az aláírás-adatbázissal, az IDS tűzfal által használt protokollkivétel-technika nem rendelkezik a minta/aláírás-egyeztetési módszer inherens hibáival. Ehelyett az alapértelmezett elutasítási szabályzatot alkalmazza. A protokolldefiníció szerint a tűzfalak döntik el, hogy milyen forgalmat kell engedélyezni, és megvédik a hálózatot az ismeretlen fenyegetésektől.
Behatolásmegelőző rendszer (IPS)
Az IPS-megoldások képesek blokkolni a káros csomagok továbbítását azok tartalmuk alapján, ezáltal valós időben megállítva a gyanús támadásokat. Ez azt jelenti, hogy ha egy csomag ismert biztonsági kockázatot jelent, az IPS proaktívan blokkolja a hálózati forgalmat egy meghatározott szabályok alapján. Az IPS egyik hátránya, hogy rendszeresen frissíteni kell a kiberfenyegetés-adatbázist az új fenyegetések részleteivel, valamint a téves riasztások lehetőségével. Ez a veszély azonban mérsékelhető konzervatív szabályzatok és egyéni küszöbértékek létrehozásával, a hálózati komponensek megfelelő alapviselkedésének meghatározásával, valamint a figyelmeztetések és a jelentett események rendszeres kiértékelésével a monitorozás és a riasztások javítása érdekében.
1. A DPI (Deep Packet Inspection) a Network Packet Brokerben
A „mély” szint és a közönséges csomagelemzés összehasonlítása, a „közönséges csomagvizsgálat” csak az IP-csomag 4. rétegének következő elemzését végzi, beleértve a forráscímet, a célcímet, a forrásportot, a célportot és a protokoll típusát, valamint a DPI-t, a hierarchikus elemzés kivételével, amely az alkalmazásréteg elemzését is fokozta, azonosította a különböző alkalmazásokat és tartalmakat a fő funkciók megvalósítása érdekében:
1) Alkalmazáselemzés – hálózati forgalomösszetétel-elemzés, teljesítményelemzés és áramláselemzés
2) Felhasználói elemzés – felhasználói csoportok megkülönböztetése, viselkedéselemzés, terminálelemzés, trendelemzés stb.
3) Hálózati elem elemzése -- regionális jellemzőkön (város, kerület, utca stb.) és bázisállomás terhelésén alapuló elemzés
4) Forgalomvezérlés -- P2P sebességkorlátozás, QoS-biztosítás, sávszélesség-biztosítás, hálózati erőforrás-optimalizálás stb.
5) Biztonsági garancia -- DDoS támadások, adatszórásos vihar, rosszindulatú vírustámadások megelőzése stb.
2- A hálózati alkalmazások általános osztályozása
Manapság számtalan alkalmazás található az interneten, de a szokásos webes alkalmazások kimerítőek lehetnek.
Tudomásom szerint a legjobb alkalmazásfelismerő cég a Huawei, amely állítása szerint 4000 alkalmazást ismer fel. A protokollelemzés számos tűzfalcég (Huawei, ZTE stb.) alapmodulja, és szintén nagyon fontos modul, amely támogatja más funkcionális modulok megvalósítását, a pontos alkalmazás-azonosítást, és jelentősen javítja a termékek teljesítményét és megbízhatóságát. A hálózati forgalom jellemzőin alapuló rosszindulatú programok azonosításának modellezésében, ahogy én most is teszem, a pontos és kiterjedt protokoll-azonosítás is nagyon fontos. Ha a vállalat exportforgalmából kizárjuk a gyakori alkalmazások hálózati forgalmát, a fennmaradó forgalom kis hányadot tesz ki, ami jobb a rosszindulatú programok elemzéséhez és a riasztáshoz.
Tapasztalataim alapján a meglévő, gyakran használt alkalmazásokat funkcióik szerint osztályozzák:
PS: A jelentkezési besorolás személyes megértése szerint, bármilyen jó javaslatod van, szívesen hagyunk üzenetet.
1). E-mail
2). Videó
3). Játékok
4). Irodai OA osztály
5). Szoftverfrissítés
6). Pénzügyi (bank, Alipay)
7). Részvények
8). Közösségi kommunikáció (IM szoftver)
9). Webböngészés (valószínűleg jobban azonosítható URL-ekkel)
10). Letöltőeszközök (weblemez, P2P letöltés, BT-hez kapcsolódó)
Hogyan működik a DPI (Deep Packet Inspection) egy NPB-ben:
1). Csomagrögzítés: Az NPB különböző forrásokból, például kapcsolókból, routerekből vagy elágazókból rögzíti a hálózati forgalmat. Fogadja a hálózaton áthaladó csomagokat.
2). Csomagelemzés: A rögzített csomagokat az NPB elemzi, hogy kinyerje a különböző protokollrétegeket és a hozzájuk tartozó adatokat. Ez az elemzési folyamat segít azonosítani a csomagokon belüli különböző összetevőket, például az Ethernet fejléceket, az IP fejléceket, a szállítási réteg fejléceit (pl. TCP vagy UDP) és az alkalmazásréteg protokolljait.
3). Hasznos adat elemzése: A DPI segítségével az NPB túlmutat a fejlécvizsgálaton, és a hasznos adatra összpontosít, beleértve a csomagokban lévő tényleges adatokat is. A használt alkalmazástól vagy protokolltól függetlenül mélyrehatóan megvizsgálja a hasznos adat tartalmát, hogy kinyerje a releváns információkat.
4). Protokoll azonosítás: A DPI lehetővé teszi az NPB számára, hogy azonosítsa a hálózati forgalomban használt konkrét protokollokat és alkalmazásokat. Képes felismerni és osztályozni olyan protokollokat, mint a HTTP, FTP, SMTP, DNS, VoIP vagy video streaming protokollok.
5). Tartalomvizsgálat: A DPI lehetővé teszi az NPB számára, hogy a csomagok tartalmát meghatározott minták, aláírások vagy kulcsszavak után vizsgálja. Ez lehetővé teszi a hálózati fenyegetések, például rosszindulatú programok, vírusok, behatolási kísérletek vagy gyanús tevékenységek észlelését. A DPI tartalomszűrésre, hálózati szabályzatok betartatására vagy adatvédelmi szabályok megsértésének azonosítására is használható.
6). Metaadatok kinyerése: A DPI során az NPB kinyeri a csomagokból a releváns metaadatokat. Ezek tartalmazhatnak olyan információkat, mint a forrás- és cél IP-címek, portszámok, munkamenet-adatok, tranzakciós adatok vagy bármilyen más releváns attribútum.
7). Forgalomirányítás vagy -szűrés: A DPI-elemzés alapján az NPB meghatározott csomagokat irányíthat kijelölt célállomásokra további feldolgozás céljából, például biztonsági eszközökre, monitorozó eszközökre vagy elemző platformokra. Szűrési szabályokat is alkalmazhat a csomagok elvetésére vagy átirányítására az azonosított tartalom vagy minták alapján.
Közzététel ideje: 2023. június 25.
