Inspecció profunda de paquets (DPI)és una tecnologia utilitzada en Network Packet Brokers (NPB) per inspeccionar i analitzar el contingut dels paquets de xarxa a nivell granular. Implica examinar la càrrega útil, les capçaleres i altra informació específica del protocol dins dels paquets per obtenir informació detallada sobre el trànsit de la xarxa.
DPI va més enllà de la simple anàlisi de capçalera i proporciona una comprensió profunda de les dades que flueixen per una xarxa. Permet una inspecció en profunditat dels protocols de la capa d'aplicació, com ara protocols HTTP, FTP, SMTP, VoIP o streaming de vídeo. En examinar el contingut real dels paquets, DPI pot detectar i identificar aplicacions, protocols o fins i tot patrons de dades específics.
A més de l'anàlisi jeràrquica de les adreces d'origen, les adreces de destinació, els ports d'origen, els ports de destinació i els tipus de protocol, DPI també afegeix l'anàlisi de la capa d'aplicació per identificar diverses aplicacions i els seus continguts. Quan el paquet 1P, TCP o UDP flueixen a través del sistema de gestió d'ample de banda basat en la tecnologia DPI, el sistema llegeix el contingut de la càrrega del paquet 1P per reorganitzar la informació de la capa d'aplicació en el protocol OSI Layer 7, per obtenir el contingut de tot el programa d'aplicació i, a continuació, donar forma al trànsit segons la política de gestió definida pel sistema.
Com funciona el DPI?
Els tallafocs tradicionals sovint no tenen la potència de processament per realitzar comprovacions exhaustives en temps real de grans volums de trànsit. A mesura que la tecnologia avança, DPI es pot utilitzar per realitzar comprovacions més complexes per comprovar les capçaleres i les dades. Normalment, els tallafocs amb sistemes de detecció d'intrusions solen utilitzar DPI. En un món on la informació digital és primordial, cada peça d'informació digital es lliura a Internet en petits paquets. Això inclou correu electrònic, missatges enviats a través de l'aplicació, llocs web visitats, converses de vídeo i molt més. A més de les dades reals, aquests paquets inclouen metadades que identifiquen la font del trànsit, el contingut, la destinació i altra informació important. Amb la tecnologia de filtratge de paquets, les dades es poden controlar i gestionar contínuament per garantir que es reenviïn al lloc correcte. Però per garantir la seguretat de la xarxa, el filtrat de paquets tradicional està lluny de ser suficient. A continuació s'enumeren alguns dels mètodes principals d'inspecció profunda de paquets en la gestió de la xarxa:
Mode de concordança/signatura
Un tallafoc amb capacitats de sistema de detecció d'intrusions (IDS) comprova que cada paquet coincideixi amb una base de dades d'atacs de xarxa coneguts. L'IDS cerca patrons específics maliciosos coneguts i desactiva el trànsit quan es troben patrons maliciosos. El desavantatge de la política de concordança de signatures és que només s'aplica a les signatures que s'actualitzen amb freqüència. A més, aquesta tecnologia només pot defensar-se contra amenaces o atacs coneguts.
Excepció de protocol
Com que la tècnica d'excepció de protocol no només permet totes les dades que no coincideixen amb la base de dades de signatures, la tècnica d'excepció de protocol utilitzada pel tallafoc IDS no té els defectes inherents al mètode de concordança de patró/signatura. En canvi, adopta la política de rebuig predeterminada. Per definició de protocol, els tallafocs decideixen quin trànsit s'ha de permetre i protegeixen la xarxa d'amenaces desconegudes.
Sistema de prevenció d'intrusions (IPS)
Les solucions IPS poden bloquejar la transmissió de paquets nocius en funció del seu contingut, aturant així els atacs sospitosos en temps real. Això vol dir que si un paquet representa un risc de seguretat conegut, IPS bloquejarà de manera proactiva el trànsit de xarxa en funció d'un conjunt definit de regles. Un desavantatge d'IPS és la necessitat d'actualitzar regularment una base de dades d'amenaces cibernètiques amb detalls sobre noves amenaces i la possibilitat de falsos positius. Però aquest perill es pot mitigar creant polítiques conservadores i llindars personalitzats, establint un comportament de referència adequat per als components de la xarxa i avaluant periòdicament els avisos i els esdeveniments informats per millorar el seguiment i l'alerta.
1- El DPI (Deep Packet Inspection) a Network Packet Broker
La "profunda" és la comparació d'anàlisi de paquets de nivell i ordinària, "inspecció de paquets ordinària" només l'anàlisi següent de la capa de paquets IP 4, inclosa l'adreça d'origen, l'adreça de destinació, el port d'origen, el port de destinació i el tipus de protocol i DPI, excepte amb l'anàlisi jeràrquica, també va augmentar l'anàlisi de la capa d'aplicació, identificar les diferents aplicacions i contingut, per realitzar les funcions principals:
1) Anàlisi de l'aplicació: anàlisi de la composició del trànsit de xarxa, anàlisi del rendiment i anàlisi del flux
2) Anàlisi d'usuaris: diferenciació de grups d'usuaris, anàlisi del comportament, anàlisi de terminals, anàlisi de tendències, etc.
3) Anàlisi d'elements de xarxa: anàlisi basada en atributs regionals (ciutat, districte, carrer, etc.) i la càrrega de l'estació base
4) Control de trànsit: limitació de velocitat P2P, garantia de QoS, garantia d'amplada de banda, optimització de recursos de xarxa, etc.
5) Garantia de seguretat: atacs DDoS, tempesta de transmissió de dades, prevenció d'atacs de virus maliciosos, etc.
2- Classificació general d'aplicacions en xarxa
Avui dia hi ha innombrables aplicacions a Internet, però les aplicacions web habituals poden ser exhaustives.
Pel que jo sé, la millor empresa de reconeixement d'aplicacions és Huawei, que afirma reconèixer 4.000 aplicacions. L'anàlisi de protocols és el mòdul bàsic de moltes empreses de tallafocs (Huawei, ZTE, etc.), i també és un mòdul molt important, que admet la realització d'altres mòduls funcionals, una identificació precisa d'aplicacions i millora considerablement el rendiment i la fiabilitat dels productes. En el modelatge d'identificació de programari maliciós basat en les característiques del trànsit de xarxa, com estic fent ara, també és molt important la identificació exacta i extensa del protocol. Excloent el trànsit de xarxa d'aplicacions comunes del trànsit d'exportació de l'empresa, el trànsit restant representarà una petita proporció, que és millor per a l'anàlisi i l'alarma de programari maliciós.
D'acord amb la meva experiència, les aplicacions d'ús habitual existents es classifiquen segons les seves funcions:
PD: d'acord amb la comprensió personal de la classificació de l'aplicació, teniu qualsevol bon suggeriment per deixar una proposta de missatge
1). Correu electrònic
2). Vídeo
3). Jocs
4). Classe Office OA
5). Actualització de programari
6). Financer (banc, Alipay)
7). Estocs
8). Comunicació social (programari IM)
9). Navegació web (probablement millor identificada amb URL)
10). Eines de descàrrega (disc web, descàrrega P2P, relacionades amb BT)
Aleshores, com funciona DPI (Inspecció de paquets profunda) en un NPB:
1). Captura de paquets: el NPB captura el trànsit de la xarxa de diverses fonts, com ara commutadors, encaminadors o aixetes. Rep paquets que flueixen per la xarxa.
2). Anàlisi de paquets: els paquets capturats són analitzats pel NPB per extreure diverses capes de protocol i dades associades. Aquest procés d'anàlisi ajuda a identificar els diferents components dels paquets, com ara capçaleres Ethernet, capçaleres IP, capçaleres de capa de transport (per exemple, TCP o UDP) i protocols de capa d'aplicació.
3). Anàlisi de càrrega útil: amb DPI, el NPB va més enllà de la inspecció de la capçalera i se centra en la càrrega útil, incloses les dades reals dels paquets. Examina el contingut de la càrrega útil en profunditat, independentment de l'aplicació o el protocol utilitzat, per extreure informació rellevant.
4). Identificació del protocol: DPI permet al NPB identificar els protocols i aplicacions específics que s'utilitzen dins del trànsit de xarxa. Pot detectar i classificar protocols com HTTP, FTP, SMTP, DNS, VoIP o protocols de transmissió de vídeo.
5). Inspecció de contingut: DPI permet a la NPB inspeccionar el contingut dels paquets per a patrons, signatures o paraules clau específics. Això permet la detecció d'amenaces de xarxa, com ara programari maliciós, virus, intents d'intrusió o activitats sospitoses. DPI també es pot utilitzar per filtrar contingut, fer complir polítiques de xarxa o identificar infraccions de compliment de dades.
6). Extracció de metadades: durant el DPI, el NPB extreu les metadades rellevants dels paquets. Això pot incloure informació com ara adreces IP d'origen i de destinació, números de port, detalls de sessió, dades de transacció o qualsevol altre atribut rellevant.
7). Encaminament o filtratge de trànsit: basant-se en l'anàlisi DPI, el NPB pot encaminar paquets específics a destinacions designades per a un processament posterior, com ara dispositius de seguretat, eines de monitorització o plataformes d'anàlisi. També pot aplicar regles de filtratge per descartar o redirigir paquets en funció del contingut o dels patrons identificats.
Hora de publicació: 25-juny-2023
