Diep pakketinspeksie (Dpi)is 'n tegnologie wat in netwerkpakketmakelaars (NPBS) gebruik word om die inhoud van netwerkpakkies op korrelvlak te inspekteer en te ontleed. Dit behels die ondersoek van die loonvrag, kop- en ander protokolspesifieke inligting binne pakkies om gedetailleerde insigte in netwerkverkeer te kry.
DPI gaan verder as eenvoudige kopanalise en bied 'n diepgaande begrip van die data wat deur 'n netwerk vloei. Dit maak voorsiening vir 'n diepgaande inspeksie van die toepassingslaagprotokolle, soos HTTP, FTP, SMTP, VOIP of video-stroomprotokolle. Deur die werklike inhoud binne pakkies te ondersoek, kan DPI spesifieke toepassings, protokolle of selfs spesifieke datapatrone opspoor en identifiseer.
Benewens die hiërargiese ontleding van bronadresse, bestemmingsadresse, bronpoorte, bestemmingspoorte en protokoltipes, voeg DPI ook die analise van toepassingslaag by om verskillende toepassings en die inhoud daarvan te identifiseer. Wanneer die 1P -pakket-, TCP- of UDP -datavloei deur die bandwydte -bestuurstelsel gebaseer is op DPI -tegnologie, lees die stelsel die inhoud van die 1P -pakketbelasting om die toepassingslaaginligting in die OSI -laag 7 -protokol te herorganiseer om die inhoud van die hele toepassingsprogram te kry en dan die verkeer te vorm volgens die bestuursbeleid wat deur die stelsel gedefinieer word.
Hoe werk DPI?
Tradisionele firewalls het dikwels nie die verwerkingskrag om deeglike intydse tjeks op groot volumes verkeer uit te voer nie. Namate die tegnologie vorder, kan DPI gebruik word om meer ingewikkelde tjeks uit te voer om opskrifte en data na te gaan. Tipies gebruik firewalls met indringingsopsporingstelsels dikwels DPI. In 'n wêreld waar digitale inligting uiters belangrik is, word elke stuk digitale inligting via die internet in klein pakkies gelewer. Dit sluit e -pos, boodskappe in wat deur die app gestuur is, webwerwe besoek, video -gesprekke en meer. Benewens die werklike data, bevat hierdie pakkies metadata wat die verkeersbron, inhoud, bestemming en ander belangrike inligting identifiseer. Met pakketfiltreringstegnologie kan data voortdurend gemonitor word en daarin geslaag word om te verseker dat dit na die regte plek gestuur word. Maar om netwerksekuriteit te verseker, is tradisionele pakkiesfiltrering ver van genoeg. Hieronder word enkele van die belangrikste metodes van diep pakketinspeksie in netwerkbestuur gelys:
Bypassende modus/handtekening
Elke pakkie word gekontroleer op 'n wedstryd teen 'n databasis van bekende netwerkaanvalle deur 'n firewall met IDS -vermoëns (IDS -opsporingstelsel). IDS soek na bekende kwaadwillige spesifieke patrone en deaktiveer verkeer wanneer kwaadwillige patrone gevind word. Die nadeel van die handtekeningaanpassende beleid is dat dit slegs van toepassing is op handtekeninge wat gereeld bygewerk word. Daarbenewens kan hierdie tegnologie slegs verdedig teen bekende dreigemente of aanvalle.
Protokol -uitsondering
Aangesien die protokol -uitsonderingstegniek nie net alle data wat nie ooreenstem met die handtekeningdatabasis nie, toelaat, het die protokol -uitsonderingstegniek wat deur die IDS -firewall gebruik word, nie die inherente gebreke van die patroon/handtekening -bypassingsmetode nie. In plaas daarvan neem dit die standaardverwerpingsbeleid aan. Volgens protokoldefinisie besluit firewalls watter verkeer toegelaat moet word en beskerm die netwerk teen onbekende bedreigings.
Inbraakvoorkomingstelsel (IPS)
IPS -oplossings kan die oordrag van skadelike pakkies op grond van hul inhoud blokkeer en sodoende vermeende aanvalle in reële tyd stop. Dit beteken dat as 'n pakkie 'n bekende sekuriteitsrisiko verteenwoordig, IPS proaktief netwerkverkeer sal blokkeer op grond van 'n gedefinieerde stel reëls. Een nadeel van IPS is die behoefte om gereeld 'n databasis vir kuberbedreiging op te dateer met besonderhede oor nuwe bedreigings en die moontlikheid van valse positiewe. Maar hierdie gevaar kan versag word deur konserwatiewe beleid en pasgemaakte drempels te skep, toepaslike basislyngedrag vir netwerkkomponente vas te stel, en om die waarskuwings periodiek te evalueer en gebeure te bemagtig om monitering en waarskuwing te verbeter.
1- Die DPI (diep pakketinspeksie) in netwerkpakketmakelaar
Die "diep" is vlak en gewone pakketanalise -vergelyking, "gewone pakketinspeksie" slegs die volgende ontleding van die IP -pakket 4 -laag, insluitend die bronadres, bestemmingsadres, bronpoort, bestemmingspoort en protokoltipe, en DPI, behalwe met die hiërargiese analise, het ook die toepassingslaaganalise verhoog, die verskillende toepassings en inhoud identifiseer om die hooffunksies te besef:
1) Toepassingsanalise - Analise van netwerkverkeersamestelling, prestasie -analise en vloei -analise
2) Gebruikersanalise - Differensiasie van gebruikersgroepe, gedragsanalise, terminale analise, neigingsanalise, ens.
3) Netwerkelementanalise - analise gebaseer op streekseienskappe (stad, distrik, straat, ens.) En basisstasiebelasting
4) Verkeersbeheer - P2P -snelheidsbeperking, QoS -versekering, bandwydte -versekering, netwerkhulpbronoptimalisering, ens.
5) Veiligheidsversekering - DDoS -aanvalle, stormsuitsendingstorm, voorkoming van kwaadwillige virusaanvalle, ens.
2- Algemene klassifikasie van netwerkaansoeke
Daar is deesdae talle toepassings op die internet, maar die algemene webtoepassings kan uitputtend wees.
Sover ek weet, is die beste app -erkenningsonderneming Huawei, wat beweer dat hy 4 000 programme erken. Protokolanalise is die basiese module van baie firewall -ondernemings (Huawei, ZTE, ens.), En dit is ook 'n baie belangrike module, wat die realisering van ander funksionele modules, akkurate toepassingsidentifisering ondersteun en die prestasie en betroubaarheid van produkte aansienlik verbeter. In die modellering van malware -identifikasie gebaseer op netwerkverkeerseienskappe, soos ek nou doen, is akkurate en uitgebreide protokolidentifisering ook baie belangrik. Met die uitsluiting van die netwerkverkeer van algemene toepassings van die maatskappy se uitvoerverkeer, sal die oorblywende verkeer 'n klein verhouding uitmaak, wat beter is vir wanware -ontleding en alarm.
Op grond van my ervaring word die bestaande toepassings wat algemeen gebruik word, volgens hul funksies geklassifiseer:
PS: Volgens persoonlike begrip van die toepassingsklassifikasie het u goeie voorstelle om 'n boodskapvoorstel te laat
1). E-pos
2). Video
3). Pele
4). Kantoor OA -klas
5). Sagteware -opdatering
6). Finansiële (Bank, Alipay)
7). Aandele
8). Sosiale kommunikasie (IM -sagteware)
9). Webblaai (waarskynlik beter geïdentifiseer met URL's)
10). Laai gereedskap af (webskyf, P2P -aflaai, BT -verwante)
Dan, hoe DPI (Deep Packet Inspection) in 'n NPB werk:
1). Pakketopname: Die NPB vang netwerkverkeer uit verskillende bronne, soos skakelaars, routers of krane. Dit ontvang pakkies wat deur die netwerk vloei.
2). Pakketparering: Die vasgelegde pakkies word deur die NPB ontleed om verskillende protokollae en gepaardgaande data te onttrek. Hierdie ontledingsproses help om die verskillende komponente in die pakkies te identifiseer, soos Ethernet -kopstukke, IP -kopstukke, vervoerlaagopskrifte (bv. TCP of UDP), en toepassingslaagprotokolle.
3). Payload Analysis: Met DPI gaan die NPB verder as die inspeksie van die kop en fokus op die lasvrag, insluitend die werklike data binne die pakkies. Dit ondersoek die loonvraginhoud in diepte, ongeag die toepassing of protokol wat gebruik word, om relevante inligting te onttrek.
4). Protokolidentifikasie: DPI stel die NPB in staat om die spesifieke protokolle en toepassings wat binne die netwerkverkeer gebruik word, te identifiseer. Dit kan protokolle soos HTTP-, FTP-, SMTP-, DNS-, VoIP- of videostroomprotokolle opspoor en klassifiseer.
5). Inhoudsinspeksie: DPI stel die NPB in staat om die inhoud van pakkies te inspekteer vir spesifieke patrone, handtekeninge of sleutelwoorde. Dit stel die opsporing van netwerkbedreigings in staat, soos malware, virusse, indringingspogings of verdagte aktiwiteite. DPI kan ook gebruik word vir die filter van die inhoud, die afdwinging van netwerkbeleide of die identifisering van oortredings van data -nakoming.
6). Metadata -ekstraksie: Tydens DPI onttrek die NPB relevante metadata uit die pakkies. Dit kan inligting insluit soos die bron- en bestemmings -IP -adresse, poortnommers, sessiebesonderhede, transaksiedata of enige ander relevante eienskappe.
7). Verkeersroetering of filter: Op grond van die DPI -analise, kan die NPB spesifieke pakkies na aangewese bestemmings vir verdere verwerking, soos sekuriteitstoestelle, moniteringsinstrumente of analitiese platforms, lei. Dit kan ook filterreëls toepas om pakkies weg te gooi of te herlei op grond van die geïdentifiseerde inhoud of patrone.
Postyd: Jun-25-2023
