Inspeksyon ng Malalim na Pakete (DPI)ay isang teknolohiyang ginagamit sa mga Network Packet Broker (NPB) upang siyasatin at suriin ang mga nilalaman ng mga network packet sa isang detalyadong antas. Kabilang dito ang pagsusuri sa payload, mga header, at iba pang impormasyon na partikular sa protocol sa loob ng mga packet upang makakuha ng detalyadong mga pananaw sa trapiko sa network.
Ang DPI ay higit pa sa simpleng pagsusuri ng header at nagbibigay ng malalim na pag-unawa sa data na dumadaloy sa isang network. Pinapayagan nito ang malalimang pagsusuri sa mga protocol ng application layer, tulad ng HTTP, FTP, SMTP, VoIP, o mga protocol ng video streaming. Sa pamamagitan ng pagsusuri sa aktwal na nilalaman sa loob ng mga packet, maaaring matukoy at matukoy ng DPI ang mga partikular na application, protocol, o kahit na mga partikular na pattern ng data.
Bukod sa hierarchical analysis ng mga source address, destination address, source port, destination port, at mga uri ng protocol, nagdaragdag din ang DPI ng application-layer analysis upang matukoy ang iba't ibang application at ang kanilang mga nilalaman. Kapag ang 1P packet, TCP o UDP data ay dumadaloy sa bandwidth management system batay sa teknolohiya ng DPI, binabasa ng system ang nilalaman ng 1P packet load upang muling isaayos ang impormasyon ng application layer sa OSI Layer 7 protocol, upang makuha ang nilalaman ng buong application program, at pagkatapos ay hubugin ang trapiko ayon sa patakaran sa pamamahala na tinukoy ng system.
Paano gumagana ang DPI?
Kadalasang kulang ang mga tradisyunal na firewall sa kakayahang magproseso upang magsagawa ng masusing real-time na pagsusuri sa malalaking dami ng trapiko. Habang umuunlad ang teknolohiya, maaaring gamitin ang DPI upang magsagawa ng mas kumplikadong mga pagsusuri upang suriin ang mga header at data. Kadalasan, ang mga firewall na may mga intrusion detection system ay kadalasang gumagamit ng DPI. Sa isang mundo kung saan ang digital na impormasyon ay Pinakamahalaga, ang bawat piraso ng digital na impormasyon ay inihahatid sa Internet sa maliliit na packet. Kabilang dito ang email, mga mensaheng ipinapadala sa pamamagitan ng app, mga website na binisita, mga pag-uusap sa video, at higit pa. Bilang karagdagan sa aktwal na data, ang mga packet na ito ay may kasamang metadata na tumutukoy sa pinagmumulan ng trapiko, nilalaman, patutunguhan, at iba pang mahahalagang impormasyon. Gamit ang teknolohiya ng packet filtering, ang data ay maaaring patuloy na masubaybayan at mapamahalaan upang matiyak na ito ay ipinapasa sa tamang lugar. Ngunit upang matiyak ang seguridad ng network, ang tradisyonal na packet filtering ay malayo pa sa sapat. Ang ilan sa mga pangunahing pamamaraan ng malalim na inspeksyon ng packet sa pamamahala ng network ay nakalista sa ibaba:
Mode ng Pagtutugma/Lagda
Ang bawat packet ay sinusuri para sa isang tugma laban sa isang database ng mga kilalang pag-atake sa network sa pamamagitan ng isang firewall na may mga kakayahan sa intrusion detection system (IDS). Hinahanap ng IDS ang mga kilalang malisyosong partikular na pattern at hindi pinapagana ang trapiko kapag natagpuan ang mga malisyosong pattern. Ang disbentaha ng patakaran sa pagtutugma ng lagda ay nalalapat lamang ito sa mga lagda na madalas na ina-update. Bukod pa rito, ang teknolohiyang ito ay maaari lamang magtanggol laban sa mga kilalang banta o pag-atake.
Eksepsiyon sa Protokol
Dahil hindi basta-basta pinapayagan ng protocol exception technique ang lahat ng data na hindi tumutugma sa signature database, ang protocol exception technique na ginagamit ng IDS firewall ay walang likas na mga depekto ng pattern/signature matching method. Sa halip, ginagamit nito ang default na rejection policy. Sa pamamagitan ng protocol definition, ang mga firewall ang nagpapasya kung anong trapiko ang dapat payagan at pinoprotektahan ang network mula sa mga hindi kilalang banta.
Sistema ng Pag-iwas sa Panghihimasok (IPS)
Maaaring harangan ng mga solusyon ng IPS ang pagpapadala ng mga mapaminsalang packet batay sa kanilang nilalaman, sa gayon ay mapipigilan ang mga pinaghihinalaang pag-atake sa totoong oras. Nangangahulugan ito na kung ang isang packet ay kumakatawan sa isang kilalang panganib sa seguridad, ang IPS ay proaktibong haharang sa trapiko ng network batay sa isang tinukoy na hanay ng mga patakaran. Ang isang disbentaha ng IPS ay ang pangangailangang regular na i-update ang isang database ng cyber threat na may mga detalye tungkol sa mga bagong banta, at ang posibilidad ng mga maling positibo. Ngunit ang panganib na ito ay maaaring mabawasan sa pamamagitan ng paglikha ng mga konserbatibong patakaran at mga pasadyang threshold, pagtatatag ng naaangkop na baseline na pag-uugali para sa mga bahagi ng network, at pana-panahong pagsusuri ng mga babala at naiulat na mga kaganapan upang mapahusay ang pagsubaybay at pag-alerto.
1- Ang DPI (Deep Packet Inspection) sa Network Packet Broker
Ang "malalim" ay paghahambing ng antas at ordinaryong pagsusuri ng packet, "ordinaryong inspeksyon ng packet" lamang ang sumusunod na pagsusuri ng IP packet 4 layer, kabilang ang source address, destination address, source port, destination port at uri ng protocol, at DPI maliban sa hierarchical analysis, pinataas din ang application layer analysis, tinutukoy ang iba't ibang aplikasyon at nilalaman, upang maisakatuparan ang mga pangunahing tungkulin:
1) Pagsusuri ng Aplikasyon -- pagsusuri ng komposisyon ng trapiko sa network, pagsusuri ng pagganap, at pagsusuri ng daloy
2) Pagsusuri ng Gumagamit -- pagkakaiba-iba ng grupo ng gumagamit, pagsusuri ng pag-uugali, pagsusuri ng terminal, pagsusuri ng trend, atbp.
3) Pagsusuri ng Elemento ng Network -- pagsusuri batay sa mga katangiang panrehiyon (lungsod, distrito, kalye, atbp.) at karga ng base station
4) Pagkontrol ng Trapiko -- Paglilimita sa bilis ng P2P, pagtiyak ng QoS, pagtiyak ng bandwidth, pag-optimize ng mapagkukunan ng network, atbp.
5) Pagtitiyak ng Seguridad -- Mga pag-atake ng DDoS, data broadcast storm, pag-iwas sa mga malisyosong pag-atake ng virus, atbp.
2- Pangkalahatang Klasipikasyon ng mga Aplikasyon sa Network
Sa kasalukuyan, napakaraming aplikasyon sa Internet, ngunit ang mga karaniwang aplikasyon sa web ay maaaring maging kumpleto.
Sa pagkakaalam ko, ang pinakamahusay na kumpanya sa pagkilala ng app ay ang Huawei, na nagsasabing nakakakilala ng 4,000 na app. Ang pagsusuri ng protocol ang pangunahing modyul ng maraming kumpanya ng firewall (Huawei, ZTE, atbp.), at isa rin itong napakahalagang modyul, na sumusuporta sa pagsasakatuparan ng iba pang mga functional module, tumpak na pagkilala ng application, at lubos na nagpapabuti sa performance at reliability ng mga produkto. Sa pagmomodelo ng pagkilala ng malware batay sa mga katangian ng trapiko sa network, tulad ng ginagawa ko ngayon, napakahalaga rin ng tumpak at malawak na pagkilala ng protocol. Kung hindi isasama ang trapiko sa network ng mga karaniwang application mula sa trapiko sa pag-export ng kumpanya, ang natitirang trapiko ay bubuo ng maliit na proporsyon, na mas mainam para sa pagsusuri at pag-alarma ng malware.
Batay sa aking karanasan, ang mga umiiral na karaniwang ginagamit na aplikasyon ay inuuri ayon sa kanilang mga tungkulin:
PS: Ayon sa personal na pag-unawa sa klasipikasyon ng aplikasyon, kung mayroon kang anumang magagandang mungkahi, malugod na inaanyayahan kang mag-iwan ng mensahe.
1). E-mail
2). Bidyo
3). Mga Laro
4). Klase sa OA sa Opisina
5). Pag-update ng software
6). Pinansyal (bangko, Alipay)
7). Mga Stock
8). Komunikasyon sa Lipunan (software ng IM)
9). Pag-browse sa web (marahil ay mas maituturing na may mga URL)
10). Mga kagamitan sa pag-download (web disk, pag-download ng P2P, kaugnay ng BT)
Kung gayon, paano gumagana ang DPI (Deep Packet Inspection) sa isang NPB:
1). Pagkuha ng Packet: Kinukuha ng NPB ang trapiko sa network mula sa iba't ibang pinagmumulan, tulad ng mga switch, router, o taps. Tumatanggap ito ng mga packet na dumadaloy sa network.
2). Pag-parse ng Packet: Ang mga nakuhang packet ay sinusuri ng NPB upang kunin ang iba't ibang mga layer ng protocol at kaugnay na data. Ang prosesong ito ng pag-parse ay nakakatulong na matukoy ang iba't ibang bahagi sa loob ng mga packet, tulad ng mga Ethernet header, IP header, transport layer header (hal., TCP o UDP), at mga protocol ng application layer.
3). Pagsusuri ng Payload: Gamit ang DPI, ang NPB ay higit pa sa inspeksyon ng header at nakatuon sa payload, kabilang ang aktwal na data sa loob ng mga packet. Sinusuri nito nang malaliman ang nilalaman ng payload, anuman ang aplikasyon o protocol na ginamit, upang kumuha ng mga kaugnay na impormasyon.
4). Pagtukoy sa Protocol: Binibigyang-daan ng DPI ang NPB na matukoy ang mga partikular na protocol at application na ginagamit sa loob ng trapiko sa network. Maaari nitong matukoy at uriin ang mga protocol tulad ng HTTP, FTP, SMTP, DNS, VoIP, o mga protocol ng video streaming.
5). Inspeksyon ng Nilalaman: Pinapayagan ng DPI ang NPB na siyasatin ang nilalaman ng mga packet para sa mga partikular na pattern, lagda, o keyword. Nagbibigay-daan ito sa pagtukoy ng mga banta sa network, tulad ng malware, mga virus, mga pagtatangka ng panghihimasok, o mga kahina-hinalang aktibidad. Maaari ring gamitin ang DPI para sa pag-filter ng nilalaman, pagpapatupad ng mga patakaran ng network, o pagtukoy ng mga paglabag sa pagsunod sa data.
6). Pagkuha ng Metadata: Sa panahon ng DPI, kinukuha ng NPB ang mga kaugnay na metadata mula sa mga packet. Maaari itong magsama ng impormasyon tulad ng mga IP address ng pinagmulan at patutunguhan, mga numero ng port, mga detalye ng sesyon, datos ng transaksyon, o anumang iba pang kaugnay na katangian.
7). Pagruruta o Pagsala ng Trapiko: Batay sa pagsusuri ng DPI, maaaring iruta ng NPB ang mga partikular na packet sa mga itinalagang destinasyon para sa karagdagang pagproseso, tulad ng mga kagamitan sa seguridad, mga tool sa pagsubaybay, o mga platform ng analytics. Maaari rin itong maglapat ng mga panuntunan sa pagsala upang itapon o i-redirect ang mga packet batay sa natukoy na nilalaman o mga pattern.
Oras ng pag-post: Hunyo-25-2023
