Глыбокая праверка пакетаў (DPI)— гэта тэхналогія, якая выкарыстоўваецца ў брокерах сеткавых пакетаў (NPB) для дэталёвай праверкі і аналізу змесціва сеткавых пакетаў. Яна ўключае ў сябе вывучэнне карыснай нагрузкі, загалоўкаў і іншай інфармацыі, спецыфічнай для пратакола, у пакетах для атрымання падрабязнай інфармацыі аб сеткавым трафіку.
DPI выходзіць за рамкі простага аналізу загалоўкаў і забяспечвае глыбокае разуменне дадзеных, якія перадаюцца праз сетку. Ён дазваляе праводзіць паглыбленую праверку пратаколаў прыкладнога ўзроўню, такіх як HTTP, FTP, SMTP, VoIP або пратаколы струменевай перадачы відэа. Вывучаючы фактычны змест пакетаў, DPI можа выяўляць і ідэнтыфікаваць канкрэтныя праграмы, пратаколы або нават пэўныя шаблоны дадзеных.
Акрамя іерархічнага аналізу зыходных адрасоў, адрасоў прызначэння, зыходных партоў, партоў прызначэння і тыпаў пратаколаў, DPI таксама дадае аналіз прыкладнога ўзроўню для ідэнтыфікацыі розных праграм і іх зместу. Калі 1P-пакет, дадзеныя TCP або UDP праходзяць праз сістэму кіравання прапускной здольнасцю на аснове тэхналогіі DPI, сістэма счытвае змест загрузкі 1P-пакетаў, каб рэарганізаваць інфармацыю прыкладнога ўзроўню ў пратаколе OSI Layer 7, каб атрымаць змест усёй прыкладной праграмы, а затым фарміраваць трафік у адпаведнасці з палітыкай кіравання, вызначанай сістэмай.
Як працуе DPI?
Традыцыйныя брандмаўэры часта не маюць дастатковай вылічальнай магутнасці для правядзення дбайнай праверкі вялікіх аб'ёмаў трафіку ў рэжыме рэальнага часу. Па меры развіцця тэхналогій DPI можа выкарыстоўвацца для выканання больш складаных праверак загалоўкаў і дадзеных. Як правіла, брандмаўэры з сістэмамі выяўлення ўварванняў часта выкарыстоўваюць DPI. У свеце, дзе лічбавая інфармацыя мае першараднае значэнне, кожная лічбавая інфармацыя перадаецца праз Інтэрнэт невялікімі пакетамі. Гэта ўключае электронную пошту, паведамленні, адпраўленыя праз праграму, наведаныя вэб-сайты, відэаразмовы і многае іншае. Акрамя саміх дадзеных, гэтыя пакеты ўключаюць метададзеныя, якія ідэнтыфікуюць крыніцу трафіку, змест, пункт прызначэння і іншую важную інфармацыю. З дапамогай тэхналогіі фільтрацыі пакетаў дадзеныя можна пастаянна кантраляваць і кіраваць імі, каб гарантаваць іх перасылку ў патрэбнае месца. Але для забеспячэння бяспекі сеткі традыцыйнай фільтрацыі пакетаў далёка не дастаткова. Некаторыя з асноўных метадаў глыбокай праверкі пакетаў у кіраванні сеткай пералічаны ніжэй:
Рэжым супастаўлення/подпіс
Кожны пакет правяраецца на супадзенне з базай дадзеных вядомых сеткавых атак брандмаўэрам з магчымасцямі сістэмы выяўлення ўварванняў (IDS). IDS шукае вядомыя шкоднасныя шаблоны і адключае трафік пры выяўленні шкоднасных шаблонаў. Недахопам палітыкі супастаўлення подпісаў з'яўляецца тое, што яна распаўсюджваецца толькі на подпісы, якія часта абнаўляюцца. Акрамя таго, гэтая тэхналогія можа абараняць толькі ад вядомых пагроз або нападаў.
Выключэнне пратакола
Паколькі метад выключэння пратакола не проста дазваляе ўсе дадзеныя, якія не адпавядаюць базе дадзеных сігнатур, метад выключэння пратакола, які выкарыстоўваецца брандмаўэрам IDS, не мае ўласцівых недахопаў метаду супастаўлення шаблонаў/сігнатур. Замест гэтага ён выкарыстоўвае палітыку адхілення па змаўчанні. Згодна з вызначэннем пратакола, брандмаўэры вырашаюць, які трафік павінен быць дазволены, і абараняюць сетку ад невядомых пагроз.
Сістэма прадухілення ўварванняў (IPS)
Рашэнні IPS могуць блакаваць перадачу шкодных пакетаў на аснове іх зместу, тым самым спыняючы падазроныя атакі ў рэжыме рэальнага часу. Гэта азначае, што калі пакет уяўляе сабой вядомую пагрозу бяспецы, IPS будзе праактыўна блакіраваць сеткавы трафік на аснове вызначанага набору правілаў. Адным з недахопаў IPS з'яўляецца неабходнасць рэгулярнага абнаўлення базы дадзеных кіберпагроз з падрабязнай інфармацыяй аб новых пагрозах і магчымасці ілжывых спрацоўванняў. Але гэтую небяспеку можна паменшыць, стварыўшы кансерватыўныя палітыкі і карыстальніцкія парогі, усталяваўшы адпаведную базавую паводзіны для сеткавых кампанентаў і перыядычна ацэньваючы папярэджанні і паведамленыя падзеі для паляпшэння маніторынгу і абвестак.
1. DPI (глыбокая праверка пакетаў) у брокеры сеткавых пакетаў
«Глыбокі» — гэта параўнанне ўзроўню і звычайнага аналізу пакетаў, «звычайная праверка пакетаў» толькі наступны аналіз 4-х узроўняў IP-пакетаў, уключаючы адрас крыніцы, адрас прызначэння, порт крыніцы, порт прызначэння і тып пратакола, а таксама DPI, акрамя іерархічнага аналізу, таксама пашыраны аналіз прыкладнога ўзроўню, ідэнтыфікуе розныя прыкладанні і кантэнт, каб рэалізаваць асноўныя функцыі:
1) Аналіз прыкладанняў -- аналіз складу сеткавага трафіку, аналіз прадукцыйнасці і аналіз патоку
2) Аналіз карыстальнікаў -- дыферэнцыяцыя груп карыстальнікаў, аналіз паводзін, аналіз тэрміналаў, аналіз тэндэнцый і г.д.
3) Аналіз элементаў сеткі -- аналіз на аснове рэгіянальных атрыбутаў (горад, раён, вуліца і г.д.) і нагрузкі базавай станцыі
4) Кіраванне трафікам -- абмежаванне хуткасці P2P, забеспячэнне якасці абслугоўвання (QoS), забеспячэнне прапускной здольнасці, аптымізацыя сеткавых рэсурсаў і г.д.
5) Забеспячэнне бяспекі -- DDoS-атакі, шторм рассылкі дадзеных, прадухіленне шкоднасных вірусных атак і г.д.
2. Агульная класіфікацыя сеткавых прыкладанняў
Сёння ў Інтэрнэце існуе незлічоная колькасць праграм, але спіс распаўсюджаных вэб-праграм можа быць вычарпальным.
Наколькі мне вядома, найлепшай кампаніяй па распазнаванні праграм з'яўляецца Huawei, якая сцвярджае, што распазнае 4000 праграм. Аналіз пратаколаў з'яўляецца базавым модулем многіх кампаній-брандмаўэраў (Huawei, ZTE і г.д.), і гэта таксама вельмі важны модуль, які падтрымлівае рэалізацыю іншых функцыянальных модуляў, дакладную ідэнтыфікацыю праграм і значна паляпшае прадукцыйнасць і надзейнасць прадуктаў. Пры мадэляванні ідэнтыфікацыі шкоднасных праграм на аснове характарыстык сеткавага трафіку, як я раблю зараз, дакладная і падрабязная ідэнтыфікацыя пратаколаў таксама вельмі важная. Калі выключыць сеткавы трафік распаўсюджаных праграм з экспартнага трафіку кампаніі, астатні трафік будзе складаць невялікую долю, што лепш падыходзіць для аналізу шкоднасных праграм і сігналізацыі.
Зыходзячы з майго досведу, існуючыя часта выкарыстоўваныя праграмы класіфікуюцца ў залежнасці ад іх функцый:
PS: Згодна з асабістым разуменнем класіфікацыі прыкладанняў, калі ў вас ёсць якія-небудзь добрыя прапановы, калі ласка, пакіньце паведамленне з прапановай
1). Электронная пошта
2). Відэа
3). Гульні
4). Клас офіснага OA
5). Абнаўленне праграмнага забеспячэння
6). Фінансавыя (банк, Alipay)
7). Акцыі
8). Сацыяльная камунікацыя (праграмнае забеспячэнне для абмену імгненнымі паведамленнямі)
9). Прагляд вэб-старонак (верагодна, лепш ідэнтыфікаваць з дапамогай URL-адрасоў)
10). Інструменты для запампоўкі (вэб-дыск, P2P-загрузка, звязаныя з BT)
Такім чынам, як працуе DPI (глыбокая праверка пакетаў) у NPB:
1). Захоп пакетаў: NPB захоплівае сеткавы трафік з розных крыніц, такіх як камутатары, маршрутызатары або адгалінавальнікі. Ён атрымлівае пакеты, якія праходзяць праз сетку.
2). Разбор пакетаў: Захопленыя пакеты аналізуюцца NPB для вылучэння розных пратакольных узроўняў і звязаных з імі дадзеных. Гэты працэс разбору дапамагае ідэнтыфікаваць розныя кампаненты ў пакетах, такія як загалоўкі Ethernet, загалоўкі IP, загалоўкі транспартнага ўзроўню (напрыклад, TCP або UDP) і пратаколы прыкладнога ўзроўню.
3). Аналіз карыснай нагрузкі: з дапамогай DPI NPB выходзіць за рамкі праверкі загалоўкаў і засяроджваецца на карыснай нагрузцы, у тым ліку на рэальных дадзеных у пакетах. Ён падрабязна аналізуе змест карыснай нагрузкі, незалежна ад выкарыстоўванага прыкладання або пратакола, каб атрымаць адпаведную інфармацыю.
4). Ідэнтыфікацыя пратаколаў: DPI дазваляе NPB ідэнтыфікаваць канкрэтныя пратаколы і праграмы, якія выкарыстоўваюцца ў сеткавым трафіку. Ён можа выяўляць і класіфікаваць такія пратаколы, як HTTP, FTP, SMTP, DNS, VoIP або пратаколы струменевай перадачы відэа.
5). Праверка змесціва: DPI дазваляе NPB правяраць змесціва пакетаў на наяўнасць пэўных шаблонаў, подпісаў або ключавых слоў. Гэта дазваляе выяўляць сеткавыя пагрозы, такія як шкоднасныя праграмы, вірусы, спробы ўзлому або падазроныя дзеянні. DPI таксама можа выкарыстоўвацца для фільтрацыі змесціва, забеспячэння выканання сеткавых палітык або выяўлення парушэнняў адпаведнасці дадзеных.
6). Выманне метададзеных: Падчас DPI NPB здабывае адпаведныя метададзеныя з пакетаў. Гэта можа ўключаць такую інфармацыю, як IP-адрасы крыніцы і прызначэння, нумары партоў, звесткі аб сеансе, дадзеныя транзакцый або любыя іншыя адпаведныя атрыбуты.
7). Маршрутызацыя або фільтрацыя трафіку: На падставе аналізу DPI NPB можа накіроўваць пэўныя пакеты ў прызначаныя пункты прызначэння для далейшай апрацоўкі, такія як прылады бяспекі, інструменты маніторынгу або аналітычныя платформы. Ён таксама можа ўжываць правілы фільтрацыі для адхілення або перанакіравання пакетаў на аснове вызначанага зместу або шаблонаў.
Час публікацыі: 25 чэрвеня 2023 г.
