Inspección profunda de paquetes (DPI)é unha tecnoloxía empregada nos axentes de paquetes de rede (NPB, polas súas siglas en inglés) para inspeccionar e analizar o contido dos paquetes de rede a nivel granular. Implica examinar a carga útil, as cabeceiras e outra información específica do protocolo dentro dos paquetes para obter información detallada sobre o tráfico da rede.
O DPI vai máis alá da simple análise de cabeceira e proporciona unha comprensión profunda dos datos que flúen a través dunha rede. Permite unha inspección exhaustiva dos protocolos da capa de aplicación, como HTTP, FTP, SMTP, VoIP ou protocolos de transmisión de vídeo. Ao examinar o contido real dentro dos paquetes, o DPI pode detectar e identificar aplicacións, protocolos ou mesmo patróns de datos específicos.
Ademais da análise xerárquica dos enderezos de orixe, os enderezos de destino, os portos de orixe, os portos de destino e os tipos de protocolo, DPI tamén engade análise da capa de aplicación para identificar varias aplicacións e os seus contidos. Cando o paquete 1P, os datos TCP ou UDP flúen a través do sistema de xestión de ancho de banda baseado na tecnoloxía DPI, o sistema le o contido da carga de paquetes 1P para reorganizar a información da capa de aplicación no protocolo OSI Capa 7, para obter o contido de todo o programa de aplicación e, a continuación, configurar o tráfico segundo a política de xestión definida polo sistema.
Como funciona o DPI?
Os cortafuegos tradicionais adoitan carecer da potencia de procesamento para realizar comprobacións exhaustivas en tempo real de grandes volumes de tráfico. A medida que a tecnoloxía avanza, o DPI pódese usar para realizar comprobacións máis complexas para comprobar as cabeceiras e os datos. Normalmente, os cortafuegos con sistemas de detección de intrusións adoitan usar DPI. Nun mundo onde a información dixital é primordial, cada información dixital envíase a través de Internet en pequenos paquetes. Isto inclúe correos electrónicos, mensaxes enviadas a través da aplicación, sitios web visitados, conversas de vídeo e moito máis. Ademais dos datos reais, estes paquetes inclúen metadatos que identifican a fonte do tráfico, o contido, o destino e outra información importante. Coa tecnoloxía de filtrado de paquetes, os datos pódense monitorizar e xestionar continuamente para garantir que se reenvíen ao lugar correcto. Pero para garantir a seguridade da rede, o filtrado de paquetes tradicional está lonxe de ser suficiente. Algúns dos principais métodos de inspección profunda de paquetes na xestión de redes enuméranse a continuación:
Modo/Sinatura de coincidencia
Un cortafuegos con capacidades de sistema de detección de intrusións (IDS) verifica cada paquete para comprobar se coincide cunha base de datos de ataques de rede coñecidos. O IDS busca patróns específicos maliciosos coñecidos e desactiva o tráfico cando se atopan. A desvantaxe da política de coincidencia de sinaturas é que só se aplica ás sinaturas que se actualizan con frecuencia. Ademais, esta tecnoloxía só pode defenderse contra ameazas ou ataques coñecidos.
Excepción de protocolo
Dado que a técnica de excepción de protocolo non permite simplemente todos os datos que non coinciden coa base de datos de sinaturas, a técnica de excepción de protocolo empregada polo cortafuegos IDS non ten os defectos inherentes do método de correspondencia de patróns/sinaturas. En vez diso, adopta a política de rexeitamento predeterminada. Por definición do protocolo, os cortafuegos deciden que tráfico debe permitirse e protexen a rede de ameazas descoñecidas.
Sistema de prevención de intrusións (IPS)
As solucións IPS poden bloquear a transmisión de paquetes nocivos en función do seu contido, detendo así os posibles ataques en tempo real. Isto significa que se un paquete representa un risco de seguridade coñecido, o IPS bloqueará proactivamente o tráfico da rede en función dun conxunto de regras definidas. Unha desvantaxe do IPS é a necesidade de actualizar regularmente unha base de datos de ameazas cibernéticas con detalles sobre novas ameazas e a posibilidade de falsos positivos. Pero este perigo pódese mitigar creando políticas conservadoras e limiares personalizados, establecendo un comportamento de referencia axeitado para os compoñentes da rede e avaliando periodicamente os avisos e os eventos notificados para mellorar a monitorización e as alertas.
1- A DPI (Inspección Profunda de Paquetes) no Network Packet Broker
A "profundidade" é a comparación de análises de paquetes de nivel e ordinarias, a "inspección de paquetes ordinarias" só fai a seguinte análise do paquete IP de 4 capas, incluíndo o enderezo de orixe, o enderezo de destino, o porto de orixe, o porto de destino e o tipo de protocolo, e os DPI, agás coa análise xerárquica, tamén aumentou a análise da capa de aplicación, identificando as diversas aplicacións e contidos, para realizar as funcións principais:
1) Análise de aplicacións: análise da composición do tráfico de rede, análise do rendemento e análise do fluxo
2) Análise de usuarios: diferenciación de grupos de usuarios, análise de comportamento, análise de terminais, análise de tendencias, etc.
3) Análise de elementos de rede: análise baseada en atributos rexionais (cidade, distrito, rúa, etc.) e carga da estación base
4) Control do tráfico: limitación de velocidade P2P, garantía de QoS, garantía de ancho de banda, optimización de recursos de rede, etc.
5) Garantía de seguridade: ataques DDoS, tormentas de transmisión de datos, prevención de ataques de virus maliciosos, etc.
2- Clasificación xeral das aplicacións de rede
Hoxe en día existen innumerables aplicacións en Internet, pero as aplicacións web comúns poden ser exhaustivas.
Polo que eu sei, a mellor empresa de recoñecemento de aplicacións é Huawei, que afirma recoñecer 4.000 aplicacións. A análise de protocolos é o módulo básico de moitas empresas de cortafuegos (Huawei, ZTE, etc.) e tamén é un módulo moi importante, que permite a realización doutros módulos funcionais, a identificación precisa das aplicacións e a mellora considerable do rendemento e a fiabilidade dos produtos. Ao modelar a identificación de software malicioso baseada nas características do tráfico de rede, como estou a facer agora, a identificación precisa e extensa do protocolo tamén é moi importante. Se excluímos o tráfico de rede das aplicacións comúns do tráfico de exportación da empresa, o tráfico restante representará unha pequena proporción, o que é mellor para a análise e a alarma de software malicioso.
Segundo a miña experiencia, as aplicacións de uso común existentes clasifícanse segundo as súas funcións:
PD: Segundo a túa comprensión persoal da clasificación da aplicación, se tes algunha boa suxestión, podes deixar unha mensaxe de proposta.
1). Correo electrónico
2). Vídeo
3). Xogos
4). Clase de oficina OA
5). Actualización do software
6). Financeiro (banco, Alipay)
7). Accións
8). Comunicación social (software de mensaxería instantánea)
9). Navegación web (probablemente mellor identificada con URL)
10). Ferramentas de descarga (disco web, descarga P2P, relacionadas con BT)
Entón, como funciona a DPI (Inspección Profunda de Paquetes) nunha NPB:
1). Captura de paquetes: A NPB captura o tráfico de rede de varias fontes, como conmutadores, enrutadores ou taps. Recibe os paquetes que flúen pola rede.
2). Análise de paquetes: Os paquetes capturados son analizados polo NPB para extraer varias capas de protocolo e os datos asociados. Este proceso de análise axuda a identificar os diferentes compoñentes dentro dos paquetes, como as cabeceiras Ethernet, as cabeceiras IP, as cabeceiras da capa de transporte (por exemplo, TCP ou UDP) e os protocolos da capa de aplicación.
3). Análise da carga útil: Co DPI, o NPB vai máis alá da inspección da cabeceira e céntrase na carga útil, incluídos os datos reais dentro dos paquetes. Examina o contido da carga útil en profundidade, independentemente da aplicación ou protocolo utilizado, para extraer información relevante.
4). Identificación de protocolos: o DPI permite que a NPB identifique os protocolos e as aplicacións específicos que se empregan dentro do tráfico da rede. Pode detectar e clasificar protocolos como HTTP, FTP, SMTP, DNS, VoIP ou protocolos de transmisión de vídeo.
5). Inspección de contido: a DPI permite á NPB inspeccionar o contido dos paquetes en busca de patróns, sinaturas ou palabras clave específicas. Isto permite a detección de ameazas de rede, como software malicioso, virus, intentos de intrusión ou actividades sospeitosas. A DPI tamén se pode usar para filtrar contido, aplicar políticas de rede ou identificar infraccións de cumprimento de datos.
6). Extracción de metadatos: Durante a DPI, a NPB extrae os metadatos relevantes dos paquetes. Isto pode incluír información como enderezos IP de orixe e destino, números de porto, detalles da sesión, datos de transaccións ou calquera outro atributo relevante.
7). Enrutamento ou filtrado do tráfico: En función da análise DPI, o NPB pode enrutar paquetes específicos a destinos designados para o seu posterior procesamento, como dispositivos de seguridade, ferramentas de monitorización ou plataformas analíticas. Tamén pode aplicar regras de filtrado para descartar ou redirixir paquetes en función do contido ou patróns identificados.
Data de publicación: 25 de xuño de 2023
