Inspección de paquetes profundos (DPI)é unha tecnoloxía empregada nos corretores de paquetes de rede (NPBs) para inspeccionar e analizar o contido dos paquetes de rede a nivel granular. Supón examinar a carga útil, as cabeceiras e outra información específica do protocolo dentro de paquetes para obter información detallada sobre o tráfico de rede.
DPI vai máis alá da simple análise de cabeceira e proporciona unha comprensión profunda dos datos que flúen a través dunha rede. Permite unha inspección en profundidade dos protocolos de capa de aplicación, como protocolos HTTP, FTP, SMTP, VoIP ou de transmisión de vídeo. Ao examinar o contido real dentro de paquetes, a DPI pode detectar e identificar aplicacións específicas, protocolos ou incluso patróns de datos específicos.
Ademais da análise xerárquica de enderezos de orixe, enderezos de destino, portos de orixe, portos de destino e tipos de protocolo, DPI tamén engade análises de capa de aplicación para identificar diversas aplicacións e o seu contido. Cando o paquete de 1p, o TCP ou os datos UDP flúen a través do sistema de xestión de ancho de banda baseado na tecnoloxía DPI, o sistema le o contido da carga de paquetes 1p para reorganizar a información da capa de aplicacións no protocolo de capa OSI 7, para obter o contido de todo o programa de aplicacións, e logo formar o tráfico segundo a política de xestión define polo sistema.
Como funciona DPI?
Os cortalumes tradicionais a miúdo carecen do poder de procesamento para realizar comprobacións en tempo real sobre grandes volumes de tráfico. A medida que avanza a tecnoloxía, a DPI pódese usar para realizar comprobacións máis complexas para comprobar as cabeceiras e os datos. Normalmente, os cortalumes con sistemas de detección de intrusos adoitan usar DPI. Nun mundo onde a información dixital é fundamental, cada información dixital entrega a través de Internet en pequenos paquetes. Isto inclúe correo electrónico, mensaxes enviadas a través da aplicación, sitios web visitados, conversas de vídeo e moito máis. Ademais dos datos reais, estes paquetes inclúen metadatos que identifican a fonte de tráfico, o contido, o destino e outra información importante. Coa tecnoloxía de filtrado de paquetes, os datos pódense controlar continuamente e conseguir que se envíe ao lugar adecuado. Pero para garantir a seguridade da rede, o filtrado tradicional de paquetes está lonxe de ser suficiente. A continuación móstranse algúns dos principais métodos de inspección de paquetes profundos na xestión da rede:
Modo/sinatura de correspondencia
Cada paquete está comprobado para unha coincidencia contra unha base de datos de ataques de rede coñecidos por un firewall con capacidades do sistema de detección de intrusións (IDS). Os IDs buscan patróns específicos maliciosos coñecidos e desactiva o tráfico cando se atopan patróns maliciosos. A desvantaxe da política de correspondencia de firma é que só se aplica ás firmas que se actualizan con frecuencia. Ademais, esta tecnoloxía só pode defenderse contra ameazas ou ataques coñecidos.
Excepción do protocolo
Dado que a técnica de excepción do protocolo non permite simplemente todos os datos que non coincidan coa base de datos de sinatura, a técnica de excepción do protocolo empregada polo firewall IDS non ten os defectos inherentes do método de correspondencia de patrón/sinatura. Pola contra, adopta a política de rexeitamento predeterminada. Por definición de protocolo, os firewalls deciden que tráfico debe permitirse e protexer a rede de ameazas descoñecidas.
Sistema de prevención de intrusións (IPS)
As solucións IPS poden bloquear a transmisión de paquetes nocivos en función do seu contido, deixando así de presuntos ataques en tempo real. Isto significa que se un paquete representa un risco de seguridade coñecido, IPS bloqueará de xeito proactivo o tráfico de rede baseándose nun conxunto de regras definidas. Unha desvantaxe das IP é a necesidade de actualizar regularmente unha base de datos de ameazas cibernéticas con detalles sobre novas ameazas e a posibilidade de falsos positivos. Pero este perigo pódese mitigar creando políticas conservadoras e limiares personalizados, establecendo un comportamento básico adecuado para os compoñentes da rede e avaliando periódicamente os avisos e reportou eventos para mellorar o seguimento e alerta.
1- O DPI (inspección de paquetes profundos) no corredor de paquetes de rede
A "profunda" é a comparación de análises de paquetes de nivel e ordinario, "inspección de paquetes ordinarios" só a seguinte análise da capa de paquete IP 4, incluído o enderezo fonte, o enderezo de destino, o porto de orixe, o porto de destino e o tipo de protocolo e DPI, excepto coas análises xerárquicas, tamén aumentou a análise da capa de aplicación, identifica as diversas aplicacións e contido, para realizar as funcións principais:
1) Análise de aplicacións: análise de composición de tráfico de rede, análise de rendemento e análise de fluxo
2) Análise de usuarios: diferenciación de grupos de usuarios, análise de comportamento, análise de terminais, análise de tendencias, etc.
3) Análise de elementos de rede: análise baseada en atributos rexionais (cidade, distrito, rúa, etc.) e carga da estación base
4) Control de tráfico: limitación de velocidade P2P, garantía de QoS, garantía de ancho de banda, optimización de recursos de rede, etc.
5) Garantía de seguridade: ataques de DDoS, tormenta de transmisión de datos, prevención de ataques de virus maliciosos, etc.
2- Clasificación xeral das aplicacións de rede
Hoxe hai infinidade de aplicacións en Internet, pero as aplicacións web comúns poden ser exhaustivas.
Polo que sei, a mellor empresa de recoñecemento de aplicacións é Huawei, que afirma recoñecer 4.000 aplicacións. A análise de protocolos é o módulo básico de moitas empresas de firewall (Huawei, ZTE, etc.), e tamén é un módulo moi importante, apoiando a realización doutros módulos funcionais, identificación precisa da aplicación e mellorando enormemente o rendemento e a fiabilidade dos produtos. No modelado de identificación de malware baseado nas características do tráfico da rede, como estou facendo agora, tamén é moi importante a identificación de protocolo precisa e extensa. Excluíndo o tráfico de rede de aplicacións comúns do tráfico de exportacións da compañía, o tráfico restante dará conta dunha pequena proporción, o que é mellor para a análise e a alarma de malware.
Con base na miña experiencia, as aplicacións de uso común existentes clasifícanse segundo as súas funcións:
PS: Segundo a comprensión persoal da clasificación da aplicación, tes boas suxestións benvidas para deixar unha proposta de mensaxe
1). Correo electrónico
2). Vídeo
3). Xogos
4). Clase OA OA
5). Actualización de software
6). Financeiro (banco, alipay)
7). Accións
8). Comunicación social (IM Software)
9). Navegación web (probablemente mellor identificada con URL)
10). Ferramentas de descarga (disco web, descarga P2P, relacionado con BT)
Entón, como funciona DPI (Inspección de paquetes profundos) nun NPB:
1). Captura de paquetes: o NPB captura o tráfico de rede de varias fontes, como conmutadores, enrutadores ou billas. Recibe paquetes que flúen pola rede.
2). Analización de paquetes: os paquetes capturados son analizados polo NPB para extraer varias capas de protocolo e datos asociados. Este proceso de análise axuda a identificar os diferentes compoñentes dentro dos paquetes, como cabeceiras Ethernet, cabeceiras IP, cabeceiras de capa de transporte (por exemplo, TCP ou UDP) e protocolos de capa de aplicacións.
3). Análise de carga útil: con DPI, o NPB vai máis alá da inspección de cabeceira e céntrase na carga útil, incluídos os datos reais dos paquetes. Examina o contido de carga útil en profundidade, independentemente da aplicación ou protocolo empregado, para extraer información relevante.
4). Identificación do protocolo: DPI permite que o NPB identifique os protocolos e aplicacións específicas que se usan dentro do tráfico de rede. Pode detectar e clasificar protocolos como HTTP, FTP, SMTP, DNS, VoIP ou protocolos de transmisión de vídeo.
5). Inspección de contido: DPI permite que o NPB inspeccione o contido de paquetes para patróns, firmas ou palabras clave específicas. Isto permite a detección de ameazas de rede, como malware, virus, intentos de intrusión ou actividades sospeitosas. O DPI tamén se pode usar para filtrado de contido, aplicación de políticas de rede ou identificar violacións de cumprimento de datos.
6). Extracción de metadatos: durante a DPI, o NPB extrae metadatos relevantes dos paquetes. Isto pode incluír información como as direccións IP de orixe e destino, números de porto, detalles da sesión, datos de transacción ou calquera outro atributo relevante.
7). Enrutamento ou filtrado de tráfico: en función da análise DPI, o NPB pode dirixir paquetes específicos a destinos designados para un procesamento adicional, como aparellos de seguridade, ferramentas de vixilancia ou plataformas de análise. Tamén pode aplicar regras de filtrado para descartar ou redirixir paquetes en función do contido ou patróns identificados.
Tempo de publicación: 25-2023 de xuño
