Inspecció de paquets profunds (Dpi)és una tecnologia utilitzada en els corredors de paquets de xarxa (NPBS) per inspeccionar i analitzar el contingut dels paquets de xarxa a nivell granular. Es tracta d’examinar la càrrega útil, les capçaleres i altres dades específiques del protocol dins dels paquets per obtenir informació detallada sobre el trànsit de xarxa.
DPI va més enllà de l’anàlisi de capçalera simple i proporciona una comprensió profunda de les dades que flueixen per una xarxa. Permet una inspecció en profunditat dels protocols de capa d’aplicació, com ara protocols HTTP, FTP, SMTP, VoIP o de streaming de vídeo. Examinant el contingut real dins dels paquets, DPI pot detectar i identificar aplicacions, protocols específics o fins i tot patrons de dades específics.
A més de l’anàlisi jeràrquica d’adreces d’origen, adreces de destinació, ports d’origen, ports de destinació i tipus de protocol, DPI també afegeix una anàlisi de la capa d’aplicació per identificar diverses aplicacions i els seus continguts. Quan el paquet 1P, TCP o UDP flueixen a través del sistema de gestió de l'amplada de banda basat en la tecnologia DPI, el sistema llegeix el contingut de la càrrega de paquets 1P per reorganitzar la informació de la capa d'aplicació al protocol OSI Layer 7, per tal d'obtenir el contingut de tot el programa d'aplicació i, a continuació, donar forma al trànsit segons la política de gestió definida pel sistema.
Com funciona DPI?
Els tallafocs tradicionals solen tenir el poder de processament per realitzar controls en temps real a grans volums de trànsit. A mesura que avança la tecnologia, DPI es pot utilitzar per realitzar controls més complexos per comprovar les capçaleres i les dades. Típicament, els tallafocs amb sistemes de detecció d’intrusions solen utilitzar DPI. En un món on la informació digital és primordial, cada informació digital es lliura a Internet en paquets petits. Inclou correu electrònic, missatges enviats a través de l’aplicació, llocs web visitats, converses de vídeo i molt més. A més de les dades reals, aquests paquets inclouen metadades que identifiquen la font de trànsit, el contingut, la destinació i una altra informació important. Amb la tecnologia de filtratge de paquets, les dades es poden controlar i gestionar contínuament per assegurar -se que es reenviï al lloc adequat. Però, per assegurar la seguretat de la xarxa, el filtratge tradicional de paquets no és prou. A continuació, es mostren alguns dels principals mètodes de la inspecció de paquets profunds en la gestió de la xarxa:
Mode/signatura de concordança
A cada paquet es comprova una coincidència amb una base de dades d’atacs de xarxa coneguts per un tallafoc amb capacitats de sistema d’intrusions (IDS). Els IDS cerca els patrons específics maliciosos coneguts i desactiva el trànsit quan es troben patrons maliciosos. L’inconvenient de la política de concordança de signatures és que només s’aplica a signatures que s’actualitzen amb freqüència. A més, aquesta tecnologia només pot defensar -se de les amenaces o atacs coneguts.
Excepció del protocol
Com que la tècnica d’excepció del protocol no permet simplement totes les dades que no coincideixen amb la base de dades de signatures, la tècnica d’excepció del protocol utilitzat pel tallafoc IDS no té els defectes inherents del mètode de concordança de patrons/signatures. En canvi, adopta la política de rebuig per defecte. Segons la definició del protocol, els tallafocs decideixen quin trànsit s’ha de permetre i protegir la xarxa d’amenaces desconegudes.
Sistema de prevenció d’intrusions (IPS)
Les solucions IPS poden bloquejar la transmissió de paquets nocius en funció del seu contingut, aturant així presumptes atacs en temps real. Això vol dir que si un paquet representa un risc de seguretat conegut, IPS bloquejarà de manera proactiva el trànsit de xarxa basat en un conjunt de regles definit. Un desavantatge de IPS és la necessitat d’actualitzar regularment una base de dades cibernètica d’amenaça amb detalls sobre les noves amenaces i la possibilitat de falsos positius. Però aquest perill es pot mitigar creant polítiques conservadores i llindars personalitzats, establint un comportament de referència adequat per als components de la xarxa i avaluant periòdicament les advertències i els esdeveniments reportats per millorar el seguiment i alerta.
1- El DPI (inspecció de paquets profunds) al broker de paquets de xarxa
La "profunda" és el nivell i la comparació d'anàlisi de paquets ordinaris, "inspecció ordinària de paquets" Només l'anàlisi següent de la capa IP Packet 4, inclosa l'adreça d'origen, l'adreça de destinació, el port font, el port de destinació i el tipus de protocol i DPI, excepte amb l'anàlisi jeràrquica, també va augmentar l'anàlisi de la capa d'aplicacions, identificar les diverses aplicacions i contingut, per adonar -se de les funcions principals:
1) Anàlisi de les aplicacions: anàlisi de composició del trànsit de xarxa, anàlisi del rendiment i anàlisi de fluxos
2) Anàlisi dels usuaris: Diferenciació del Grup d'usuaris, Anàlisi del Comportament, Anàlisi del Terminal, Anàlisi de tendències, etc.
3) Anàlisi de l'element de xarxa: anàlisi basada en atributs regionals (ciutat, districte, carrer, etc.) i càrrega de l'estació base
4) Control de trànsit: limitació de velocitat P2P, garantia de QoS, garantia de banda, optimització de recursos de xarxa, etc.
5) Assegurança de seguretat: atacs de DDOS, tempesta de transmissió de dades, prevenció d’atacs de virus maliciosos, etc.
2- Classificació general de les aplicacions de xarxa
Avui hi ha infinitat d’aplicacions a Internet, però les aplicacions web comunes poden ser exhaustives.
Pel que sé, la millor empresa de reconeixement d’aplicacions és Huawei, que afirma reconèixer 4.000 aplicacions. L’anàlisi del protocol és el mòdul bàsic de moltes empreses de tallafocs (Huawei, ZTE, etc.), i també és un mòdul molt important, que dóna suport a la realització d’altres mòduls funcionals, identificació precisa d’aplicacions i millorant molt el rendiment i la fiabilitat dels productes. En la modelització de la identificació de programari maliciós basat en les característiques del trànsit de xarxa, com ho faig ara, també és molt important la identificació precisa i extensa de protocols. Excloent el trànsit de xarxa d’aplicacions comunes del trànsit d’exportació de la companyia, el trànsit restant representarà una petita proporció, que és millor per a l’anàlisi i l’alarma de programari maliciós.
A partir de la meva experiència, les aplicacions que s’utilitzen habitualment es classifiquen segons les seves funcions:
PS: Segons la comprensió personal de la classificació de l'aplicació, teniu bons suggeriments per deixar una proposta de missatge
1). Correu electrònic
2). Vídeo
3). Jocs
4). Oficina OA Classe
5). Actualització de programari
6). Financial (Bank, Alipay)
7). Existències
8). Comunicació social (programari IM)
9). Navegació web (probablement millor identificada amb URL)
10). Descarregueu les eines (disc web, descàrrega p2p, relacionada amb BT)
A continuació, com funciona DPI (inspecció de paquets profunds) en un NPB:
1). Captura de paquets: el NPB capta el trànsit de xarxa de diverses fonts, com ara commutadors, encaminadors o aixetes. Rep paquets que flueixen per la xarxa.
2). Parsing de paquets: els paquets capturats són analitzats pel NPB per extreure diverses capes de protocol i dades associades. Aquest procés de analització ajuda a identificar els diferents components dels paquets, com ara capçaleres Ethernet, capçaleres IP, capçaleres de transport (per exemple, TCP o UDP) i protocols de capa d’aplicació.
3). Anàlisi de càrrega útil: amb DPI, el NPB va més enllà de la inspecció de la capçalera i se centra en la càrrega útil, incloses les dades reals dins dels paquets. Examina el contingut de càrrega útil en profunditat, independentment de l’aplicació o protocol utilitzat, per extreure informació rellevant.
4). Identificació del protocol: DPI permet al NPB identificar els protocols i aplicacions específiques que s’utilitzen dins del trànsit de xarxa. Pot detectar i classificar protocols com HTTP, FTP, SMTP, DNS, VoIP o protocols de streaming de vídeo.
5). Inspecció de contingut: DPI permet al NPB inspeccionar el contingut dels paquets per a patrons, signatures o paraules clau específiques. Això permet la detecció d’amenaces de xarxa, com ara programari maliciós, virus, intents d’intrusió o activitats sospitoses. DPI també es pot utilitzar per filtrar contingut, fer complir les polítiques de xarxa o identificar violacions de compliment de dades.
6). Extracció de metadades: Durant la DPI, el NPB extreu metadades rellevants dels paquets. Això pot incloure informació com ara adreces IP de font i destinació, números de port, detalls de sessió, dades de transacció o qualsevol altre atribut rellevant.
7). Enrutament o filtratge de trànsit: Basat en l’anàlisi DPI, el NPB pot encaminar paquets específics a destinacions designades per a processaments posteriors, com ara electrodomèstics de seguretat, eines de control o plataformes d’analítica. També pot aplicar regles de filtratge per descartar o redirigir paquets en funció del contingut o patrons identificats.
Post Horari: 25 de juny-2023