Pengenalan Aplikasi Broker Paket Rangkaian Berdasarkan DPI – Pemeriksaan Paket Dalam

Pemeriksaan Paket Dalam (DPI)ialah teknologi yang digunakan dalam Broker Paket Rangkaian (NPB) untuk memeriksa dan menganalisis kandungan paket rangkaian pada tahap berbutir. Ia melibatkan pemeriksaan muatan, pengepala dan maklumat khusus protokol lain dalam paket untuk mendapatkan cerapan terperinci tentang trafik rangkaian.

DPI melangkaui analisis pengepala mudah dan memberikan pemahaman mendalam tentang data yang mengalir melalui rangkaian. Ia membenarkan pemeriksaan mendalam terhadap protokol lapisan aplikasi, seperti protokol HTTP, FTP, SMTP, VoIP atau penstriman video. Dengan meneliti kandungan sebenar dalam paket, DPI boleh mengesan dan mengenal pasti aplikasi, protokol, atau bahkan corak data tertentu.

Selain analisis hierarki alamat sumber, alamat destinasi, port sumber, port destinasi dan jenis protokol, DPI juga menambah analisis lapisan aplikasi untuk mengenal pasti pelbagai aplikasi dan kandungannya. Apabila paket 1P, TCP atau data UDP mengalir melalui sistem pengurusan lebar jalur berdasarkan teknologi DPI, sistem membaca kandungan beban paket 1P untuk menyusun semula maklumat lapisan aplikasi dalam protokol OSI Layer 7, untuk mendapatkan kandungan keseluruhan program aplikasi, dan kemudian membentuk trafik mengikut dasar pengurusan yang ditakrifkan oleh sistem.

Bagaimanakah DPI berfungsi?

Firewall tradisional selalunya tidak mempunyai kuasa pemprosesan untuk melakukan semakan masa nyata yang menyeluruh pada jumlah trafik yang besar. Apabila teknologi semakin maju, DPI boleh digunakan untuk melakukan semakan yang lebih kompleks untuk menyemak pengepala dan data. Biasanya, tembok api dengan sistem pengesanan pencerobohan sering menggunakan DPI. Dalam dunia di mana maklumat digital adalah Paramount, setiap maklumat digital dihantar melalui Internet dalam paket kecil. Ini termasuk e-mel, mesej yang dihantar melalui apl, tapak web yang dilawati, perbualan video dan banyak lagi. Selain data sebenar, paket ini termasuk metadata yang mengenal pasti sumber trafik, kandungan, destinasi dan maklumat penting lain. Dengan teknologi penapisan paket, data boleh dipantau dan diuruskan secara berterusan untuk memastikan ia dimajukan ke tempat yang betul. Tetapi untuk memastikan keselamatan rangkaian, penapisan paket tradisional masih jauh dari mencukupi. Beberapa kaedah utama pemeriksaan paket dalam dalam pengurusan rangkaian disenaraikan di bawah:

Mod/Tandatangan Padanan

Setiap paket disemak untuk perlawanan terhadap pangkalan data serangan rangkaian yang diketahui oleh tembok api dengan keupayaan sistem pengesanan pencerobohan (IDS). IDS mencari corak khusus berniat jahat yang diketahui dan melumpuhkan trafik apabila corak berniat jahat ditemui. Kelemahan dasar pemadanan tandatangan ialah ia hanya terpakai pada tandatangan yang kerap dikemas kini. Di samping itu, teknologi ini hanya boleh bertahan daripada ancaman atau serangan yang diketahui.

DPI

Pengecualian Protokol

Memandangkan teknik pengecualian protokol tidak hanya membenarkan semua data yang tidak sepadan dengan pangkalan data tandatangan, teknik pengecualian protokol yang digunakan oleh tembok api IDS tidak mempunyai kelemahan yang wujud dalam kaedah padanan corak/tandatangan. Sebaliknya, ia menggunakan dasar penolakan lalai. Mengikut definisi protokol, tembok api memutuskan trafik yang perlu dibenarkan dan melindungi rangkaian daripada ancaman yang tidak diketahui.

Sistem Pencegahan Pencerobohan (IPS)

Penyelesaian IPS boleh menyekat penghantaran paket berbahaya berdasarkan kandungannya, dengan itu menghentikan serangan yang disyaki dalam masa nyata. Ini bermakna jika paket mewakili risiko keselamatan yang diketahui, IPS akan menyekat trafik rangkaian secara proaktif berdasarkan set peraturan yang ditetapkan. Satu kelemahan IPS ialah keperluan untuk sentiasa mengemas kini pangkalan data ancaman siber dengan butiran tentang ancaman baharu, dan kemungkinan positif palsu. Tetapi bahaya ini boleh dikurangkan dengan mewujudkan dasar konservatif dan ambang tersuai, mewujudkan gelagat garis dasar yang sesuai untuk komponen rangkaian, dan menilai amaran dan peristiwa yang dilaporkan secara berkala untuk meningkatkan pemantauan dan amaran.

1- DPI (Pemeriksaan Paket Dalam) dalam Broker Paket Rangkaian

"Dalam" ialah perbandingan analisis paket tahap dan biasa, "pemeriksaan paket biasa" hanya analisis berikut bagi paket IP 4 lapisan, termasuk alamat sumber, alamat destinasi, port sumber, port destinasi dan jenis protokol, dan DPI kecuali dengan hierarki analisis, juga meningkatkan analisis lapisan aplikasi, mengenal pasti pelbagai aplikasi dan kandungan, untuk merealisasikan fungsi utama:

1) Analisis Aplikasi -- analisis komposisi trafik rangkaian, analisis prestasi dan analisis aliran

2) Analisis Pengguna -- pembezaan kumpulan pengguna, analisis tingkah laku, analisis terminal, analisis trend, dsb.

3) Analisis Elemen Rangkaian -- analisis berdasarkan atribut wilayah (bandar, daerah, jalan, dll.) dan beban stesen pangkalan

4) Kawalan Trafik -- Pengehadan kelajuan P2P, jaminan QoS, jaminan lebar jalur, pengoptimuman sumber rangkaian, dsb.

5) Jaminan Keselamatan -- Serangan DDoS, ribut penyiaran data, pencegahan serangan virus berniat jahat, dsb.

2- Klasifikasi Umum Aplikasi Rangkaian

Hari ini terdapat banyak aplikasi di Internet, tetapi aplikasi web biasa boleh menjadi lengkap.

Setahu saya, syarikat pengecaman aplikasi terbaik ialah Huawei, yang mendakwa mengiktiraf 4,000 aplikasi. Analisis protokol ialah modul asas bagi banyak syarikat tembok api (Huawei, ZTE, dll.), dan ia juga merupakan modul yang sangat penting, menyokong realisasi modul berfungsi lain, pengenalpastian aplikasi yang tepat, dan meningkatkan prestasi dan kebolehpercayaan produk. Dalam memodelkan pengenalan perisian hasad berdasarkan ciri trafik rangkaian, seperti yang saya lakukan sekarang, pengenalan protokol yang tepat dan meluas juga sangat penting. Tidak termasuk trafik rangkaian aplikasi biasa daripada trafik eksport syarikat, trafik yang selebihnya akan menyumbang sebahagian kecil, yang lebih baik untuk analisis dan penggera perisian hasad.

Berdasarkan pengalaman saya, aplikasi sedia ada yang biasa digunakan dikelaskan mengikut fungsinya:

PS: Mengikut pemahaman peribadi tentang klasifikasi aplikasi, anda mempunyai sebarang cadangan yang baik dialu-alukan untuk meninggalkan cadangan mesej

1). E-mel

2). Video

3). Permainan

4). Kelas OA pejabat

5). Kemas kini perisian

6). Kewangan (bank, Alipay)

7). Stok

8). Komunikasi Sosial (perisian IM)

9). Penyemakan imbas web (mungkin lebih baik dikenal pasti dengan URL)

10). Muat turun alatan (cakera web, muat turun P2P, berkaitan BT)

20191210153150_32811

Kemudian, cara DPI (Pemeriksaan Paket Dalam) berfungsi dalam NPB:

1). Tangkapan Paket: NPB menangkap trafik rangkaian daripada pelbagai sumber, seperti suis, penghala atau ketik. Ia menerima paket yang mengalir melalui rangkaian.

2). Penghuraian Paket: Paket yang ditangkap dihuraikan oleh NPB untuk mengekstrak pelbagai lapisan protokol dan data yang berkaitan. Proses penghuraian ini membantu mengenal pasti komponen berbeza dalam paket, seperti pengepala Ethernet, pengepala IP, pengepala lapisan pengangkutan (cth, TCP atau UDP), dan protokol lapisan aplikasi.

3). Analisis Muatan: Dengan DPI, NPB melangkaui pemeriksaan pengepala dan memfokuskan pada muatan, termasuk data sebenar dalam paket. Ia meneliti kandungan muatan secara mendalam, tanpa mengira aplikasi atau protokol yang digunakan, untuk mengekstrak maklumat yang berkaitan.

4). Pengenalpastian Protokol: DPI membolehkan NPB mengenal pasti protokol dan aplikasi khusus yang digunakan dalam trafik rangkaian. Ia boleh mengesan dan mengklasifikasikan protokol seperti HTTP, FTP, SMTP, DNS, VoIP atau protokol penstriman video.

5). Pemeriksaan Kandungan: DPI membenarkan NPB memeriksa kandungan paket untuk corak, tandatangan atau kata kunci tertentu. Ini membolehkan pengesanan ancaman rangkaian, seperti perisian hasad, virus, percubaan pencerobohan atau aktiviti yang mencurigakan. DPI juga boleh digunakan untuk penapisan kandungan, menguatkuasakan dasar rangkaian atau mengenal pasti pelanggaran pematuhan data.

6). Pengekstrakan Metadata: Semasa DPI, NPB mengekstrak metadata yang berkaitan daripada paket. Ini boleh termasuk maklumat seperti alamat IP sumber dan destinasi, nombor port, butiran sesi, data transaksi atau sebarang atribut lain yang berkaitan.

7). Penghalaan Trafik atau Penapisan: Berdasarkan analisis DPI, NPB boleh menghalakan paket tertentu ke destinasi yang ditetapkan untuk pemprosesan selanjutnya, seperti peralatan keselamatan, alat pemantauan atau platform analitik. Ia juga boleh menggunakan peraturan penapisan untuk membuang atau mengubah hala paket berdasarkan kandungan atau corak yang dikenal pasti.

ML-NPB-5660 3d


Masa siaran: Jun-25-2023