Ispezione approfondita dei pacchetti (DPI)È una tecnologia utilizzata nei Network Packet Broker (NPB) per ispezionare e analizzare il contenuto dei pacchetti di rete a livello granulare. Si tratta di esaminare il payload, le intestazioni e altre informazioni specifiche del protocollo all'interno dei pacchetti per ottenere informazioni dettagliate sul traffico di rete.
DPI va oltre la semplice analisi dell'intestazione e fornisce una comprensione approfondita dei dati che fluiscono attraverso una rete. Consente un'analisi approfondita dei protocolli a livello applicativo, come HTTP, FTP, SMTP, VoIP o protocolli di streaming video. Esaminando il contenuto effettivo dei pacchetti, DPI può rilevare e identificare applicazioni, protocolli o persino specifici modelli di dati.
Oltre all'analisi gerarchica di indirizzi sorgente, indirizzi di destinazione, porte sorgente, porte di destinazione e tipi di protocollo, DPI aggiunge anche un'analisi a livello applicativo per identificare diverse applicazioni e il loro contenuto. Quando il pacchetto 1P, i dati TCP o UDP fluiscono attraverso il sistema di gestione della larghezza di banda basato sulla tecnologia DPI, il sistema legge il contenuto del carico del pacchetto 1P per riorganizzare le informazioni a livello applicativo nel protocollo OSI Layer 7, in modo da ottenere il contenuto dell'intero programma applicativo e quindi modellare il traffico in base alla politica di gestione definita dal sistema.
Come funziona il DPI?
I firewall tradizionali spesso non dispongono della potenza di elaborazione necessaria per eseguire controlli approfonditi in tempo reale su grandi volumi di traffico. Con il progresso tecnologico, la DPI può essere utilizzata per eseguire controlli più complessi, ad esempio per verificare intestazioni e dati. In genere, i firewall dotati di sistemi di rilevamento delle intrusioni utilizzano spesso la DPI. In un mondo in cui le informazioni digitali sono fondamentali, ogni informazione digitale viene trasmessa su Internet in piccoli pacchetti. Questo include e-mail, messaggi inviati tramite app, siti web visitati, conversazioni video e altro ancora. Oltre ai dati veri e propri, questi pacchetti includono metadati che identificano l'origine del traffico, il contenuto, la destinazione e altre informazioni importanti. Grazie alla tecnologia di filtraggio dei pacchetti, i dati possono essere costantemente monitorati e gestiti per garantire che vengano inoltrati correttamente. Tuttavia, per garantire la sicurezza della rete, il filtraggio dei pacchetti tradizionale è tutt'altro che sufficiente. Di seguito sono elencati alcuni dei principali metodi di ispezione approfondita dei pacchetti nella gestione della rete:
Modalità di corrispondenza/firma
Ogni pacchetto viene controllato per verificare la corrispondenza con un database di attacchi di rete noti da un firewall con funzionalità di sistema di rilevamento delle intrusioni (IDS). L'IDS ricerca specifici pattern dannosi noti e disabilita il traffico quando ne rileva. Lo svantaggio della politica di corrispondenza delle firme è che si applica solo alle firme che vengono aggiornate frequentemente. Inoltre, questa tecnologia può proteggere solo da minacce o attacchi noti.
Eccezione del protocollo
Poiché la tecnica di eccezione del protocollo non consente semplicemente l'accesso a tutti i dati che non corrispondono al database delle firme, la tecnica di eccezione del protocollo utilizzata dal firewall IDS non presenta i difetti intrinseci del metodo di corrispondenza pattern/firma. Adotta invece la politica di rifiuto predefinita. Per definizione del protocollo, i firewall decidono quale traffico consentire e proteggono la rete da minacce sconosciute.
Sistema di prevenzione delle intrusioni (IPS)
Le soluzioni IPS possono bloccare la trasmissione di pacchetti dannosi in base al loro contenuto, bloccando così gli attacchi sospetti in tempo reale. Ciò significa che se un pacchetto rappresenta un rischio per la sicurezza noto, IPS bloccherà proattivamente il traffico di rete in base a un insieme di regole definite. Uno svantaggio delle soluzioni IPS è la necessità di aggiornare regolarmente un database delle minacce informatiche con dettagli sulle nuove minacce e la possibilità di falsi positivi. Tuttavia, questo pericolo può essere mitigato creando policy conservative e soglie personalizzate, stabilendo un comportamento di base appropriato per i componenti di rete e valutando periodicamente avvisi ed eventi segnalati per migliorare il monitoraggio e gli avvisi.
1- Il DPI (Deep Packet Inspection) nel Network Packet Broker
Il livello "deep" è un confronto tra l'analisi dei pacchetti ordinari e quella dei pacchetti, mentre l'"ispezione dei pacchetti ordinari" si limita all'analisi del pacchetto IP di livello 4, inclusi indirizzo sorgente, indirizzo di destinazione, porta sorgente, porta di destinazione e tipo di protocollo, nonché DPI, ad eccezione dell'analisi gerarchica; inoltre, è stata aumentata l'analisi del livello applicativo, identificando le varie applicazioni e i contenuti, per realizzare le funzioni principali:
1) Analisi delle applicazioni: analisi della composizione del traffico di rete, analisi delle prestazioni e analisi del flusso
2) Analisi dell'utente: differenziazione dei gruppi di utenti, analisi del comportamento, analisi dei terminali, analisi delle tendenze, ecc.
3) Analisi degli elementi di rete: analisi basata sugli attributi regionali (città, distretto, strada, ecc.) e sul carico della stazione base
4) Controllo del traffico: limitazione della velocità P2P, garanzia della qualità del servizio, garanzia della larghezza di banda, ottimizzazione delle risorse di rete, ecc.
5) Garanzia di sicurezza: attacchi DDoS, tempesta di trasmissione dati, prevenzione di attacchi di virus dannosi, ecc.
2- Classificazione generale delle applicazioni di rete
Oggigiorno le applicazioni su Internet sono innumerevoli, ma le applicazioni web più comuni possono essere esaustive.
Per quanto ne so, l'azienda che si occupa del riconoscimento delle app migliore è Huawei, che dichiara di riconoscere 4.000 app. L'analisi del protocollo è il modulo base di molte aziende produttrici di firewall (Huawei, ZTE, ecc.) ed è anche un modulo molto importante, che supporta la realizzazione di altri moduli funzionali, l'identificazione accurata delle applicazioni e migliora notevolmente le prestazioni e l'affidabilità dei prodotti. Nella modellazione dell'identificazione del malware basata sulle caratteristiche del traffico di rete, come sto facendo ora, anche l'identificazione accurata ed estesa del protocollo è molto importante. Escludendo il traffico di rete delle applicazioni comuni dal traffico di esportazione dell'azienda, il traffico rimanente rappresenterà una piccola parte, il che è più utile per l'analisi del malware e l'allarme.
In base alla mia esperienza, le applicazioni comunemente utilizzate sono classificate in base alle loro funzioni:
PS: In base alla comprensione personale della classificazione dell'applicazione, se hai dei buoni suggerimenti, sei il benvenuto a lasciare un messaggio di proposta
1) E-mail
2) Video
3) Giochi
4) Classe Office OA
5) Aggiornamento software
6). Finanziario (banca, Alipay)
7) Azioni
8). Comunicazione sociale (software di messaggistica istantanea)
9) Navigazione web (probabilmente meglio identificata con gli URL)
10) Strumenti di download (disco web, download P2P, correlati a BT)
Quindi, come funziona il DPI (Deep Packet Inspection) in un NPB:
1) Acquisizione di pacchetti: l'NPB cattura il traffico di rete da diverse fonti, come switch, router o tap. Riceve i pacchetti che attraversano la rete.
2) Analisi dei pacchetti: i pacchetti acquisiti vengono analizzati dall'NPB per estrarne i vari livelli di protocollo e i dati associati. Questo processo di analisi aiuta a identificare i diversi componenti all'interno dei pacchetti, come le intestazioni Ethernet, IP, di trasporto (ad esempio, TCP o UDP) e i protocolli di applicazione.
3) Analisi del payload: con DPI, l'NPB va oltre l'ispezione dell'header e si concentra sul payload, inclusi i dati effettivi all'interno dei pacchetti. Esamina il contenuto del payload in modo approfondito, indipendentemente dall'applicazione o dal protocollo utilizzato, per estrarre informazioni rilevanti.
4) Identificazione del protocollo: DPI consente all'NPB di identificare i protocolli e le applicazioni specifici utilizzati nel traffico di rete. Può rilevare e classificare protocolli come HTTP, FTP, SMTP, DNS, VoIP o protocolli di streaming video.
5) Ispezione dei contenuti: DPI consente all'NPB di ispezionare il contenuto dei pacchetti alla ricerca di pattern, firme o parole chiave specifici. Ciò consente il rilevamento di minacce di rete, come malware, virus, tentativi di intrusione o attività sospette. DPI può essere utilizzato anche per il filtraggio dei contenuti, l'applicazione di policy di rete o l'identificazione di violazioni della conformità dei dati.
6) Estrazione dei metadati: durante il DPI, l'NPB estrae i metadati rilevanti dai pacchetti. Questi possono includere informazioni come indirizzi IP di origine e destinazione, numeri di porta, dettagli della sessione, dati delle transazioni o qualsiasi altro attributo rilevante.
7). Instradamento o filtraggio del traffico: in base all'analisi DPI, l'NPB può instradare pacchetti specifici verso destinazioni designate per l'ulteriore elaborazione, come dispositivi di sicurezza, strumenti di monitoraggio o piattaforme di analisi. Può anche applicare regole di filtraggio per scartare o reindirizzare i pacchetti in base al contenuto o ai pattern identificati.
Data di pubblicazione: 25 giugno 2023