Hloubková inspekce paketů (DPI)je technologie používaná v síťových zprostředkovatelích paketů (NPB) k detailní kontrole a analýze obsahu síťových paketů. Zahrnuje zkoumání dat, záhlaví a dalších informací specifických pro protokol v paketech za účelem získání podrobných informací o síťovém provozu.
DPI jde nad rámec pouhé analýzy hlaviček a poskytuje hluboké pochopení dat protékajících sítí. Umožňuje hloubkovou kontrolu protokolů aplikační vrstvy, jako jsou HTTP, FTP, SMTP, VoIP nebo protokoly pro streamování videa. Prozkoumáním skutečného obsahu paketů dokáže DPI detekovat a identifikovat konkrétní aplikace, protokoly nebo dokonce specifické datové vzorce.
Kromě hierarchické analýzy zdrojových adres, cílových adres, zdrojových portů, cílových portů a typů protokolů přidává DPI také analýzu aplikační vrstvy pro identifikaci různých aplikací a jejich obsahu. Když paket 1P, TCP nebo UDP data procházejí systémem správy šířky pásma založeným na technologii DPI, systém přečte obsah načteného paketu 1P, aby reorganizoval informace aplikační vrstvy v protokolu OSI Layer 7, aby získal obsah celého aplikačního programu a poté upravoval provoz podle systémem definovaných zásad správy.
Jak funguje DPI?
Tradiční firewally často postrádají výpočetní výkon k provádění důkladných kontrol velkých objemů provozu v reálném čase. S technologickým pokrokem lze DPI použít k provádění složitějších kontrol záhlaví a dat. Firewally se systémy detekce narušení obvykle používají DPI. Ve světě, kde jsou digitální informace prvořadé, je každá digitální informace doručována přes internet v malých paketech. Patří sem e-maily, zprávy odeslané prostřednictvím aplikace, navštívené webové stránky, video konverzace a další. Kromě skutečných dat tyto pakety obsahují metadata, která identifikují zdroj provozu, obsah, cíl a další důležité informace. Díky technologii filtrování paketů lze data průběžně monitorovat a spravovat, aby se zajistilo, že jsou přesměrována na správné místo. Pro zajištění bezpečnosti sítě však tradiční filtrování paketů zdaleka nestačí. Některé z hlavních metod hloubkové inspekce paketů ve správě sítě jsou uvedeny níže:
Režim porovnávání/podpis
Každý paket je kontrolován firewallem s funkcemi systému detekce narušení (IDS) na shodu s databází známých síťových útoků. IDS vyhledává známé škodlivé specifické vzorce a při jejich nalezení blokuje provoz. Nevýhodou zásad porovnávání podpisů je, že se vztahují pouze na podpisy, které jsou často aktualizovány. Tato technologie navíc dokáže bránit pouze před známými hrozbami nebo útoky.
Výjimka protokolu
Protože technika výjimek protokolu jednoduše nepovoluje všechna data, která neodpovídají databázi podpisů, nemá technika výjimek protokolu používaná firewallem IDS inherentní nedostatky metody porovnávání vzorů/podpisů. Místo toho přijímá výchozí politiku odmítnutí. Podle definice protokolu firewally rozhodují o tom, jaký provoz by měl být povolen, a chrání síť před neznámými hrozbami.
Systém prevence narušení (IPS)
Řešení IPS dokáží blokovat přenos škodlivých paketů na základě jejich obsahu, a tím v reálném čase zastavit podezřelé útoky. To znamená, že pokud paket představuje známé bezpečnostní riziko, IPS proaktivně zablokuje síťový provoz na základě definované sady pravidel. Jednou z nevýhod IPS je nutnost pravidelně aktualizovat databázi kybernetických hrozeb s podrobnostmi o nových hrozbách a možností falešně pozitivních výsledků. Toto nebezpečí však lze zmírnit vytvořením konzervativních zásad a vlastních prahových hodnot, stanovením vhodného základního chování pro síťové komponenty a pravidelným vyhodnocováním varování a hlášených událostí pro zlepšení monitorování a upozorňování.
1. DPI (Deep Packet Inspection) v Network Packet Brokeru
„Hloubková“ analýza je porovnání úrovní a běžných paketů. „Běžná inspekce paketů“ zahrnuje pouze analýzu 4 vrstev IP paketů, včetně zdrojové adresy, cílové adresy, zdrojového portu, cílového portu a typu protokolu a DPI. Kromě hierarchické analýzy se také rozšířila analýza aplikační vrstvy, identifikace různých aplikací a obsahu, aby se realizovaly hlavní funkce:
1) Analýza aplikací -- analýza složení síťového provozu, analýza výkonu a analýza toku
2) Analýza uživatelů -- diferenciace skupin uživatelů, analýza chování, analýza terminálů, analýza trendů atd.
3) Analýza síťových prvků -- analýza založená na regionálních atributech (město, okres, ulice atd.) a zatížení základnové stanice
4) Řízení provozu -- omezení rychlosti P2P, zajištění QoS, zajištění šířky pásma, optimalizace síťových zdrojů atd.
5) Bezpečnostní záruka -- DDoS útoky, datové bouře, prevence útoků škodlivých virů atd.
2- Obecná klasifikace síťových aplikací
Dnes existuje na internetu nespočet aplikací, ale seznam běžných webových aplikací může být vyčerpávající.
Pokud vím, nejlepší společností v oblasti rozpoznávání aplikací je Huawei, která tvrdí, že rozpozná 4 000 aplikací. Analýza protokolů je základním modulem mnoha firem vyrábějících firewally (Huawei, ZTE atd.) a je také velmi důležitým modulem, který podporuje realizaci dalších funkčních modulů, přesnou identifikaci aplikací a výrazně zlepšuje výkon a spolehlivost produktů. Při modelování identifikace malwaru na základě charakteristik síťového provozu, jak to dělám nyní, je velmi důležitá také přesná a rozsáhlá identifikace protokolů. Pokud z exportovaného provozu společnosti vyloučíme síťový provoz běžných aplikací, zbývající provoz bude tvořit malou část, což je lepší pro analýzu malwaru a alarmy.
Na základě mých zkušeností jsou existující běžně používané aplikace klasifikovány podle jejich funkcí:
PS: Dle mého osobního chápání klasifikace žádostí, máte-li jakékoli dobré návrhy, zanechte zprávu s návrhem.
1). E-mail
2). Video
3). Hry
4). Kurz kancelářského OA
5). Aktualizace softwaru
6). Finanční (banka, Alipay)
7). Akcie
8). Sociální komunikace (software pro IM)
9). Prohlížení webu (pravděpodobně lépe identifikovatelné pomocí URL adres)
10). Nástroje pro stahování (webový disk, stahování P2P, související s BT)
Jak tedy funguje DPI (Deep Packet Inspection) v NPB:
1). Zachycení paketů: NPB zachycuje síťový provoz z různých zdrojů, jako jsou přepínače, směrovače nebo odbočovací zařízení. Přijímá pakety protékající sítí.
2). Analýza paketů: Zachycené pakety jsou analyzovány NPB za účelem extrakce různých protokolových vrstev a souvisejících dat. Tento proces analýzy pomáhá identifikovat různé komponenty v paketech, jako jsou ethernetové záhlaví, IP záhlaví, záhlaví transportní vrstvy (např. TCP nebo UDP) a protokoly aplikační vrstvy.
3). Analýza datové zátěže: S DPI jde NPB nad rámec kontroly hlaviček a zaměřuje se na datovou zátěž, včetně skutečných dat v paketech. Hloubkově zkoumá obsah datové zátěže bez ohledu na použitou aplikaci nebo protokol, aby získal relevantní informace.
4). Identifikace protokolu: DPI umožňuje NPB identifikovat specifické protokoly a aplikace používané v síťovém provozu. Dokáže detekovat a klasifikovat protokoly jako HTTP, FTP, SMTP, DNS, VoIP nebo protokoly pro streamování videa.
5). Inspekce obsahu: DPI umožňuje NPB kontrolovat obsah paketů a vyhledat specifické vzory, signatury nebo klíčová slova. To umožňuje detekci síťových hrozeb, jako je malware, viry, pokusy o vniknutí nebo podezřelé aktivity. DPI lze také použít k filtrování obsahu, vynucování síťových zásad nebo identifikaci porušení předpisů pro data.
6). Extrakce metadat: Během DPI NPB extrahuje z paketů relevantní metadata. Ta mohou zahrnovat informace, jako jsou zdrojové a cílové IP adresy, čísla portů, podrobnosti o relaci, data transakcí nebo jakékoli jiné relevantní atributy.
7). Směrování nebo filtrování provozu: Na základě analýzy DPI může NPB směrovat konkrétní pakety do určených destinací pro další zpracování, jako jsou bezpečnostní zařízení, monitorovací nástroje nebo analytické platformy. Může také použít pravidla filtrování k zahození nebo přesměrování paketů na základě identifikovaného obsahu nebo vzorců.
Čas zveřejnění: 25. června 2023
