Ispezione profonda dei pacchetti (Dpi)è una tecnologia utilizzata nei broker di pacchetti di rete (NPB) per ispezionare e analizzare il contenuto dei pacchetti di rete a livello granulare. Implica l'esame del payload, delle intestazioni e di altre informazioni specifiche del protocollo all'interno dei pacchetti per ottenere approfondimenti dettagliati sul traffico di rete.
DPI va oltre la semplice analisi dell'intestazione e fornisce una profonda comprensione dei dati che fluiscono attraverso una rete. Consente un'ispezione approfondita dei protocolli di livello dell'applicazione, come protocolli di streaming HTTP, FTP, SMTP, VoIP o video. Esaminando il contenuto effettivo all'interno dei pacchetti, DPI può rilevare e identificare applicazioni, protocolli specifici o persino modelli di dati specifici.
Oltre all'analisi gerarchica di indirizzi di origine, indirizzi di destinazione, porte di origine, porte di destinazione e tipi di protocollo, DPI aggiunge anche l'analisi dello strato di applicazione per identificare varie applicazioni e loro contenuti. Quando il flusso di dati di pacchetto 1P, TCP o UDP attraverso il sistema di gestione della larghezza di banda basato sulla tecnologia DPI, il sistema legge il contenuto del carico di pacchetti 1P per riorganizzare le informazioni sul livello dell'applicazione nel protocollo OSI Layer 7, in modo da ottenere il contenuto dell'intero programma di applicazione, e quindi modellare il traffico secondo la politica di gestione definita dal sistema.
Come funziona DPI?
I firewall tradizionali spesso mancano del potere di elaborazione per eseguire controlli completi in tempo reale su grandi volumi di traffico. Con l'avanzare della tecnologia, DPI può essere utilizzato per eseguire controlli più complessi per controllare le intestazioni e i dati. In genere, i firewall con sistemi di rilevamento delle intrusioni utilizzano spesso DPI. In un mondo in cui le informazioni digitali sono fondamentali, ogni pezzo di informazione digitale viene fornita su Internet in piccoli pacchetti. Ciò include e -mail, messaggi inviati tramite l'app, siti Web visitati, conversazioni video e altro ancora. Oltre ai dati effettivi, questi pacchetti includono metadati che identificano l'origine del traffico, il contenuto, la destinazione e altre informazioni importanti. Con la tecnologia di filtraggio dei pacchetti, i dati possono essere continuamente monitorati e gestiti per garantire che vengano inoltrati nel posto giusto. Ma per garantire la sicurezza della rete, il filtro dei pacchetti tradizionale è tutt'altro che sufficiente. Alcuni dei principali metodi di ispezione dei pacchetti profondi nella gestione della rete sono elencati di seguito:
Modalità/firma corrispondente
Ogni pacchetto viene controllato per una corrispondenza contro un database di attacchi di rete noti da un firewall con funzionalità IDS (Intrusion Detection System). IDS cerca modelli specifici maligni noti e disabilita il traffico quando si trovano modelli dannosi. Lo svantaggio della politica di corrispondenza della firma è che si applica solo alle firme che vengono aggiornate frequentemente. Inoltre, questa tecnologia può solo difendersi da minacce o attacchi noti.
Eccezione del protocollo
Poiché la tecnica di eccezione del protocollo non consente semplicemente tutti i dati che non corrispondono al database della firma, la tecnica di eccezione del protocollo utilizzato dal firewall IDS non ha i difetti intrinseci del metodo di corrispondenza modello/firma. Invece, adotta la politica di rifiuto predefinita. Per definizione del protocollo, i firewall decidono quale traffico dovrebbe essere consentito e proteggere la rete da minacce sconosciute.
Sistema di prevenzione delle intrusioni (IPS)
Le soluzioni IPS possono bloccare la trasmissione di pacchetti dannosi in base al loro contenuto, fermando così gli attacchi sospetti in tempo reale. Ciò significa che se un pacchetto rappresenta un rischio di sicurezza noto, IPS bloccherà in modo proattivo il traffico di rete in base a un insieme definito di regole. Uno svantaggio di IPS è la necessità di aggiornare regolarmente un database di minacce informatiche con dettagli sulle nuove minacce e la possibilità di falsi positivi. Ma questo pericolo può essere mitigato creando politiche conservative e soglie personalizzate, stabilendo un comportamento di base adeguato per i componenti di rete e valutando periodicamente gli avvisi e eventi segnalati per migliorare il monitoraggio e l'allerta.
1- Il DPI (ispezione dei pacchetti profondi) nel broker di pacchetti di rete
Il "profondo" è di livello e confronto di analisi dei pacchetti ordinari, "ispezione ordinaria dei pacchetti" solo la seguente analisi del livello 4 pacchetti IP, incluso l'indirizzo di origine, l'indirizzo di destinazione, la porta di origine, la porta di destinazione e il tipo di protocollo e DPI ad eccezione dell'analisi gerarchica, ha anche aumentato l'analisi del livello dell'applicazione, identificare le varie applicazioni e contenuti, per realizzare le funzioni principali:
1) Analisi dell'applicazione - Analisi della composizione del traffico di rete, analisi delle prestazioni e analisi del flusso
2) Analisi dell'utente - differenziazione del gruppo utente, analisi del comportamento, analisi del terminale, analisi delle tendenze, ecc.
3) Analisi degli elementi di rete - Analisi basata su attributi regionali (città, distretto, strada, ecc.) E carico della stazione base
4) Controllo del traffico - Limitazione della velocità P2P, garanzia di QoS, garanzia della larghezza di banda, ottimizzazione delle risorse di rete, ecc.
5) Assicurazione della sicurezza - Attacchi DDO, tempesta di trasmissione dei dati, prevenzione di attacchi di virus dannosi, ecc.
2- Classificazione generale delle applicazioni di rete
Oggi ci sono innumerevoli applicazioni su Internet, ma le applicazioni Web comuni possono essere esaustive.
Per quanto ne so, la migliore società di riconoscimento delle app è Huawei, che afferma di riconoscere 4.000 app. L'analisi del protocollo è il modulo di base di molte aziende di firewall (Huawei, ZTE, ecc.) Ed è anche un modulo molto importante, a supporto della realizzazione di altri moduli funzionali, identificazione accurata dell'applicazione e miglioramento notevolmente delle prestazioni e dell'affidabilità dei prodotti. Nel modellare l'identificazione del malware in base alle caratteristiche del traffico di rete, come sto facendo ora, è anche molto importante l'identificazione accurata ed estesa del protocollo. Escludendo il traffico di rete delle applicazioni comuni dal traffico di esportazione dell'azienda, il traffico rimanente rappresenterà una piccola parte, che è migliore per l'analisi e l'allarme malware.
Sulla base della mia esperienza, le applicazioni comunemente usate sono classificate in base alle loro funzioni:
PS: Secondo la comprensione personale della classificazione dell'applicazione, hai qualche buon suggerimento benvenuto per lasciare una proposta di messaggio
1). E-mail
2). Video
3). Giochi
4). Office OA Class
5). Aggiornamento del software
6). Financial (Bank, Alipay)
7). Stock
8). Comunicazione sociale (software IM)
9). Navigazione Web (probabilmente meglio identificata con URL)
10). Strumenti di download (Web Disk, P2P Download, BT correlati)
Quindi, come funziona DPI (ispezione dei pacchetti profondi) in un NPB:
1). Acquisizione dei pacchetti: il NPB cattura il traffico di rete da varie fonti, come switch, router o tocchi. Riceve pacchetti che fluiscono attraverso la rete.
2). Analisi dei pacchetti: i pacchetti catturati sono analizzati dall'NPB per estrarre vari livelli di protocollo e dati associati. Questo processo di analisi aiuta a identificare i diversi componenti all'interno dei pacchetti, come le intestazioni Ethernet, le intestazioni IP, le intestazioni del livello di trasporto (EG, TCP o UDP) e i protocolli di livello dell'applicazione.
3). Analisi del payload: con DPI, l'NPB va oltre l'ispezione dell'intestazione e si concentra sul payload, compresi i dati effettivi all'interno dei pacchetti. Esamina il contenuto di payload approfondito, indipendentemente dall'applicazione o dal protocollo utilizzato, per estrarre informazioni pertinenti.
4). Identificazione del protocollo: DPI consente all'NPB di identificare i protocolli e le applicazioni specifici utilizzati nel traffico di rete. Può rilevare e classificare protocolli come protocolli di streaming HTTP, FTP, SMTP, DNS, VoIP o video.
5). Ispezione del contenuto: DPI consente all'NPB di ispezionare il contenuto di pacchetti per modelli, firme o parole chiave specifiche. Ciò consente il rilevamento di minacce di rete, come malware, virus, tentativi di intrusione o attività sospette. DPI può anche essere utilizzato per il filtraggio dei contenuti, l'applicazione di politiche di rete o l'identificazione delle violazioni della conformità dei dati.
6). Estrazione dei metadati: durante il DPI, gli estratti NPB estende i metadati rilevanti dai pacchetti. Ciò può includere informazioni come indirizzi IP di origine e destinazione, numeri di porta, dettagli della sessione, dati di transazione o qualsiasi altro attributo pertinente.
7). Routing o filtraggio del traffico: in base all'analisi DPI, l'NPB può instradare pacchetti specifici su destinazioni designate per ulteriori elaborazioni, come apparecchi di sicurezza, strumenti di monitoraggio o piattaforme di analisi. Può anche applicare regole di filtraggio per scartare o reindirizzare i pacchetti in base al contenuto o ai modelli identificati.
Post Time: giugno-25-2023
