Diep Pakkie Inspeksie (DPI)is 'n tegnologie wat in Network Packet Brokers (NPB's) gebruik word om die inhoud van netwerkpakkies op 'n korrelvlak te inspekteer en te ontleed. Dit behels die ondersoek van die loonvrag, opskrifte en ander protokol-spesifieke inligting binne pakkies om gedetailleerde insigte in netwerkverkeer te kry.
DPI gaan verder as eenvoudige kop-analise en bied 'n diepgaande begrip van die data wat deur 'n netwerk vloei. Dit maak voorsiening vir in-diepte inspeksie van die toepassingslaagprotokolle, soos HTTP-, FTP-, SMTP-, VoIP- of videostroomprotokolle. Deur die werklike inhoud binne pakkies te ondersoek, kan DPI spesifieke toepassings, protokolle of selfs spesifieke datapatrone opspoor en identifiseer.
Benewens die hiërargiese ontleding van bronadresse, bestemmingsadresse, bronpoorte, bestemmingspoorte en protokoltipes, voeg DPI ook toepassingslaaganalise by om verskeie toepassings en hul inhoud te identifiseer. Wanneer die 1P-pakkie-, TCP- of UDP-data deur die bandwydtebestuurstelsel vloei gebaseer op DPI-tegnologie, lees die stelsel die inhoud van die 1P-pakkielading om die toepassingslaaginligting in die OSI Layer 7-protokol te herorganiseer, sodat die inhoud van die hele toepassingsprogram, en vorm dan die verkeer volgens die bestuursbeleid wat deur die stelsel gedefinieer is.
Hoe werk DPI?
Tradisionele brandmure het dikwels nie die verwerkingskrag om deeglike intydse kontroles op groot volumes verkeer uit te voer nie. Soos tegnologie vorder, kan DPI gebruik word om meer komplekse kontroles uit te voer om opskrifte en data na te gaan. Tipies gebruik brandmure met inbraakdetectiestelsels dikwels DPI. In 'n wêreld waar digitale inligting Paramount is, word elke stukkie digitale inligting oor die internet in klein pakkies afgelewer. Dit sluit e-pos, boodskappe wat deur die toepassing gestuur word, webwerwe wat besoek is, videogesprekke, en meer in. Benewens die werklike data, bevat hierdie pakkies metadata wat die verkeersbron, inhoud, bestemming en ander belangrike inligting identifiseer. Met pakkiefiltreringstegnologie kan data deurlopend gemonitor en bestuur word om te verseker dat dit na die regte plek aangestuur word. Maar om netwerksekuriteit te verseker, is tradisionele pakkiefiltrering ver van genoeg. Sommige van die hoofmetodes van diep pakkie-inspeksie in netwerkbestuur word hieronder gelys:
Bypassende modus/handtekening
Elke pakkie word gekontroleer vir 'n ooreenstemming teen 'n databasis van bekende netwerkaanvalle deur 'n brandmuur met inbraakdetectiestelsel (IDS) vermoëns. IDS soek na bekende kwaadwillige spesifieke patrone en deaktiveer verkeer wanneer kwaadwillige patrone gevind word. Die nadeel van die handtekeningpassingsbeleid is dat dit slegs van toepassing is op handtekeninge wat gereeld opgedateer word. Boonop kan hierdie tegnologie slegs teen bekende dreigemente of aanvalle verdedig.
Protokol-uitsondering
Aangesien die protokol-uitsonderingstegniek nie bloot alle data toelaat wat nie by die handtekeningdatabasis pas nie, het die protokol-uitsonderingstegniek wat deur die IDS-brandmuur gebruik word nie die inherente foute van die patroon-/handtekeningpassingsmetode nie. In plaas daarvan neem dit die verstekverwerpingsbeleid aan. Volgens protokoldefinisie besluit firewalls watter verkeer toegelaat moet word en beskerm die netwerk teen onbekende bedreigings.
Inbraakvoorkomingstelsel (IPS)
IPS-oplossings kan die oordrag van skadelike pakkies blokkeer op grond van hul inhoud, en sodoende vermeende aanvalle in reële tyd stop. Dit beteken dat as 'n pakkie 'n bekende sekuriteitsrisiko verteenwoordig, IPS netwerkverkeer proaktief sal blokkeer op grond van 'n gedefinieerde stel reëls. Een nadeel van IPS is die behoefte om gereeld 'n kuberbedreigingdatabasis op te dateer met besonderhede oor nuwe bedreigings, en die moontlikheid van vals positiewe. Maar hierdie gevaar kan versag word deur konserwatiewe beleide en pasgemaakte drempels te skep, toepaslike basislyngedrag vir netwerkkomponente te vestig, en periodiek waarskuwings en gerapporteerde gebeure te evalueer om monitering en waarskuwing te verbeter.
1- Die DPI (Deep Packet Inspection) in Network Packet Broker
Die "diep" is vlak en gewone pakkie analise vergelyking, "gewone pakkie inspeksie" slegs die volgende analise van IP pakkie 4 laag, insluitend die bron adres, bestemming adres, bron poort, bestemming poort en protokol tipe, en DPI behalwe met die hiërargiese analise, het ook die toepassingslaaganalise verhoog, identifiseer die verskillende toepassings en inhoud, om die hooffunksies te verwesenlik:
1) Toepassingsanalise -- ontleding van netwerkverkeersamestelling, prestasie-analise en vloei-analise
2) Gebruikersanalise -- gebruikergroepdifferensiasie, gedragsanalise, terminale analise, tendensanalise, ens.
3) Netwerkelementanalise -- analise gebaseer op streekseienskappe (stad, distrik, straat, ens.) en basisstasielading
4) Verkeersbeheer -- P2P-spoedbeperking, QoS-versekering, bandwydteversekering, netwerkhulpbronoptimalisering, ens.
5) Sekuriteitsversekering - DDoS-aanvalle, data-uitsendingstorm, voorkoming van kwaadwillige virusaanvalle, ens.
2- Algemene klassifikasie van netwerktoepassings
Vandag is daar ontelbare toepassings op die internet, maar die algemene webtoepassings kan uitputtend wees.
Sover ek weet, is Huawei die beste toepassingsherkenningsmaatskappy, wat beweer dat hy 4 000 toepassings herken. Protokolanalise is die basiese module van baie firewall-maatskappye (Huawei, ZTE, ens.), En dit is ook 'n baie belangrike module, wat die verwesenliking van ander funksionele modules ondersteun, akkurate toepassingsidentifikasie, en die werkverrigting en betroubaarheid van produkte aansienlik verbeter. In die modellering van wanware-identifikasie gebaseer op netwerkverkeereienskappe, soos ek nou doen, is akkurate en uitgebreide protokol-identifikasie ook baie belangrik. As die netwerkverkeer van algemene toepassings van die maatskappy se uitvoerverkeer uitgesluit word, sal die oorblywende verkeer 'n klein deel uitmaak, wat beter is vir wanware-analise en alarm.
Op grond van my ervaring word die bestaande algemeen gebruikte toepassings geklassifiseer volgens hul funksies:
NS: Volgens persoonlike begrip van die toepassingsklassifikasie, het u enige goeie voorstelle welkom om 'n boodskapvoorstel te laat
1). E-pos
2). Video
3). Speletjies
4). Kantoor OA klas
5). Sagteware-opdatering
6). Finansieel (bank, Alipay)
7). Aandele
8). Sosiale kommunikasie (IM-sagteware)
9). Webblaai (waarskynlik beter geïdentifiseer met URL's)
10). Laai gereedskap af (webskyf, P2P-aflaai, BT-verwant)
Dan, hoe DPI (Deep Packet Inspection) in 'n NPB werk:
1). Pakketopname: Die NPB vang netwerkverkeer van verskeie bronne af, soos skakelaars, routers of krane. Dit ontvang pakkies wat deur die netwerk vloei.
2). Pakketontleding: Die gevange pakkies word deur die NPB ontleed om verskeie protokollae en gepaardgaande data te onttrek. Hierdie ontledingsproses help om die verskillende komponente binne die pakkies te identifiseer, soos Ethernet-opskrifte, IP-opskrifte, vervoerlaagopskrifte (bv. TCP of UDP), en toepassingslaagprotokolle.
3). Loonvraganalise: Met DPI gaan die NPB verder as kopkopinspeksie en fokus op die loonvrag, insluitend die werklike data binne die pakkies. Dit ondersoek die loonvrag-inhoud in diepte, ongeag die toepassing of protokol wat gebruik word, om relevante inligting te onttrek.
4). Protokolidentifikasie: DPI stel die NPB in staat om die spesifieke protokolle en toepassings wat binne die netwerkverkeer gebruik word, te identifiseer. Dit kan protokolle soos HTTP-, FTP-, SMTP-, DNS-, VoIP- of videostroomprotokolle opspoor en klassifiseer.
5). Inhoudsinspeksie: DPI laat die NPB toe om die inhoud van pakkies te inspekteer vir spesifieke patrone, handtekeninge of sleutelwoorde. Dit maak die opsporing van netwerkbedreigings moontlik, soos wanware, virusse, indringingspogings of verdagte aktiwiteite. DPI kan ook gebruik word vir inhoudfiltrering, die toepassing van netwerkbeleide of die identifisering van oortredings van datanakoming.
6). Metadata-onttrekking: Tydens DPI onttrek die NPB relevante metadata uit die pakkies. Dit kan inligting insluit soos bron- en bestemmings-IP-adresse, poortnommers, sessiebesonderhede, transaksiedata of enige ander relevante eienskappe.
7). Verkeersroetering of -filtrering: Gebaseer op die DPI-analise, kan die NPB spesifieke pakkies na aangewese bestemmings stuur vir verdere verwerking, soos sekuriteitstoestelle, moniteringsinstrumente of analitiese platforms. Dit kan ook filterreëls toepas om pakkies weg te gooi of te herlei gebaseer op die geïdentifiseerde inhoud of patrone.
Pos tyd: Jun-25-2023