Pemeriksaan Paket Dalam (DPI)ialah teknologi yang digunakan dalam Broker Paket Rangkaian (NPB) untuk memeriksa dan menganalisis kandungan paket rangkaian pada tahap terperinci. Ia melibatkan pemeriksaan muatan, pengepala dan maklumat khusus protokol lain dalam paket untuk mendapatkan pandangan terperinci tentang trafik rangkaian.
DPI melangkaui analisis pengepala yang mudah dan memberikan pemahaman yang mendalam tentang data yang mengalir melalui rangkaian. Ia membolehkan pemeriksaan mendalam terhadap protokol lapisan aplikasi, seperti HTTP, FTP, SMTP, VoIP atau protokol penstriman video. Dengan memeriksa kandungan sebenar dalam paket, DPI boleh mengesan dan mengenal pasti aplikasi, protokol atau corak data tertentu.
Selain analisis hierarki alamat sumber, alamat destinasi, port sumber, port destinasi dan jenis protokol, DPI juga menambah analisis lapisan aplikasi untuk mengenal pasti pelbagai aplikasi dan kandungannya. Apabila paket 1P, data TCP atau UDP mengalir melalui sistem pengurusan lebar jalur berdasarkan teknologi DPI, sistem membaca kandungan beban paket 1P untuk menyusun semula maklumat lapisan aplikasi dalam protokol Lapisan OSI 7, supaya dapat memperoleh kandungan keseluruhan program aplikasi, dan kemudian membentuk trafik mengikut dasar pengurusan yang ditakrifkan oleh sistem.
Bagaimanakah DPI berfungsi?
Firewall tradisional selalunya kekurangan kuasa pemprosesan untuk melakukan pemeriksaan masa nyata yang menyeluruh pada jumlah trafik yang besar. Seiring dengan kemajuan teknologi, DPI boleh digunakan untuk melakukan pemeriksaan yang lebih kompleks untuk memeriksa pengepala dan data. Biasanya, firewall dengan sistem pengesanan pencerobohan sering menggunakan DPI. Dalam dunia di mana maklumat digital adalah yang terpenting, setiap maklumat digital dihantar melalui Internet dalam paket kecil. Ini termasuk e-mel, mesej yang dihantar melalui aplikasi, laman web yang dilawati, perbualan video dan banyak lagi. Selain data sebenar, paket ini termasuk metadata yang mengenal pasti sumber trafik, kandungan, destinasi dan maklumat penting lain. Dengan teknologi penapisan paket, data boleh dipantau dan diuruskan secara berterusan untuk memastikan ia dihantar ke tempat yang betul. Tetapi untuk memastikan keselamatan rangkaian, penapisan paket tradisional masih jauh daripada mencukupi. Beberapa kaedah utama pemeriksaan paket mendalam dalam pengurusan rangkaian disenaraikan di bawah:
Mod Padanan/Tandatangan
Setiap paket diperiksa untuk padanan dengan pangkalan data serangan rangkaian yang diketahui oleh tembok api dengan keupayaan sistem pengesanan pencerobohan (IDS). IDS mencari corak khusus berniat jahat yang diketahui dan melumpuhkan trafik apabila corak berniat jahat ditemui. Kelemahan dasar pemadanan tandatangan ialah ia hanya terpakai pada tandatangan yang kerap dikemas kini. Di samping itu, teknologi ini hanya boleh bertahan daripada ancaman atau serangan yang diketahui.
Pengecualian Protokol
Oleh kerana teknik pengecualian protokol tidak membenarkan semua data yang tidak sepadan dengan pangkalan data tandatangan, teknik pengecualian protokol yang digunakan oleh tembok api IDS tidak mempunyai kelemahan yang wujud dalam kaedah pemadanan corak/tandatangan. Sebaliknya, ia menggunakan dasar penolakan lalai. Mengikut definisi protokol, tembok api menentukan trafik yang harus dibenarkan dan melindungi rangkaian daripada ancaman yang tidak diketahui.
Sistem Pencegahan Pencerobohan (IPS)
Penyelesaian IPS boleh menyekat penghantaran paket berbahaya berdasarkan kandungannya, sekali gus menghentikan serangan yang disyaki dalam masa nyata. Ini bermakna jika sesuatu paket mewakili risiko keselamatan yang diketahui, IPS akan menyekat trafik rangkaian secara proaktif berdasarkan satu set peraturan yang ditetapkan. Satu kelemahan IPS ialah keperluan untuk mengemas kini pangkalan data ancaman siber secara berkala dengan butiran tentang ancaman baharu dan kemungkinan positif palsu. Tetapi bahaya ini boleh dikurangkan dengan mewujudkan dasar konservatif dan ambang tersuai, mewujudkan tingkah laku asas yang sesuai untuk komponen rangkaian dan menilai amaran dan peristiwa yang dilaporkan secara berkala untuk meningkatkan pemantauan dan amaran.
1- DPI (Pemeriksaan Paket Dalam) dalam Broker Paket Rangkaian
"Mendalam" adalah perbandingan analisis paket tahap dan biasa, "pemeriksaan paket biasa" hanya analisis berikut bagi lapisan 4 paket IP, termasuk alamat sumber, alamat destinasi, port sumber, port destinasi dan jenis protokol, dan DPI kecuali dengan analisis hierarki, juga meningkatkan analisis lapisan aplikasi, mengenal pasti pelbagai aplikasi dan kandungan, untuk merealisasikan fungsi utama:
1) Analisis Aplikasi -- analisis komposisi trafik rangkaian, analisis prestasi dan analisis aliran
2) Analisis Pengguna -- pembezaan kumpulan pengguna, analisis tingkah laku, analisis terminal, analisis trend, dsb.
3) Analisis Elemen Rangkaian -- analisis berdasarkan atribut serantau (bandar, daerah, jalan, dll.) dan beban stesen pangkalan
4) Kawalan Trafik -- Pengehadan kelajuan P2P, jaminan QoS, jaminan lebar jalur, pengoptimuman sumber rangkaian, dsb.
5) Jaminan Keselamatan -- Serangan DDoS, ribut siaran data, pencegahan serangan virus berniat jahat, dsb.
2- Pengelasan Umum Aplikasi Rangkaian
Hari ini terdapat banyak aplikasi di Internet, tetapi aplikasi web yang biasa boleh jadi lengkap.
Setahu saya, syarikat pengecaman aplikasi terbaik ialah Huawei, yang mendakwa dapat mengecam 4,000 aplikasi. Analisis protokol merupakan modul asas bagi banyak syarikat firewall (Huawei, ZTE, dll.), dan ia juga merupakan modul yang sangat penting, menyokong realisasi modul berfungsi lain, pengenalpastian aplikasi yang tepat, dan meningkatkan prestasi dan kebolehpercayaan produk dengan ketara. Dalam pemodelan pengenalpastian perisian hasad berdasarkan ciri trafik rangkaian, seperti yang saya lakukan sekarang, pengenalpastian protokol yang tepat dan meluas juga sangat penting. Mengecualikan trafik rangkaian aplikasi biasa daripada trafik eksport syarikat, trafik yang tinggal akan menyumbang sebahagian kecil, yang lebih baik untuk analisis perisian hasad dan penggera.
Berdasarkan pengalaman saya, aplikasi sedia ada yang biasa digunakan dikelaskan mengikut fungsinya:
PS: Mengikut pemahaman peribadi tentang klasifikasi permohonan, anda mempunyai sebarang cadangan yang baik dialu-alukan untuk meninggalkan cadangan mesej
1). E-mel
2). Video
3). Permainan
4). Kelas OA Pejabat
5). Kemas kini perisian
6). Kewangan (bank, Alipay)
7). Saham
8). Komunikasi Sosial (perisian IM)
9). Pelayaran web (mungkin lebih dikenali dengan URL)
10). Alat muat turun (cakera web, muat turun P2P, berkaitan BT)
Kemudian, bagaimana DPI (Deep Packet Inspection) berfungsi dalam NPB:
1). Tangkapan Paket: NPB menangkap trafik rangkaian daripada pelbagai sumber, seperti suis, penghala atau paip. Ia menerima paket yang mengalir melalui rangkaian.
2). Penghuraian Paket: Paket yang ditangkap dihuraikan oleh NPB untuk mengekstrak pelbagai lapisan protokol dan data yang berkaitan. Proses penghuraian ini membantu mengenal pasti komponen berbeza dalam paket, seperti pengepala Ethernet, pengepala IP, pengepala lapisan pengangkutan (cth., TCP atau UDP), dan protokol lapisan aplikasi.
3). Analisis Muatan: Dengan DPI, NPB melangkaui pemeriksaan pengepala dan menumpukan pada muatan, termasuk data sebenar dalam paket. Ia mengkaji kandungan muatan secara mendalam, tanpa mengira aplikasi atau protokol yang digunakan, untuk mengekstrak maklumat yang berkaitan.
4). Pengenalpastian Protokol: DPI membolehkan NPB mengenal pasti protokol dan aplikasi khusus yang digunakan dalam trafik rangkaian. Ia boleh mengesan dan mengklasifikasikan protokol seperti HTTP, FTP, SMTP, DNS, VoIP atau protokol penstriman video.
5). Pemeriksaan Kandungan: DPI membolehkan NPB memeriksa kandungan paket untuk corak, tandatangan atau kata kunci tertentu. Ini membolehkan pengesanan ancaman rangkaian, seperti perisian hasad, virus, percubaan pencerobohan atau aktiviti yang mencurigakan. DPI juga boleh digunakan untuk penapisan kandungan, menguatkuasakan dasar rangkaian atau mengenal pasti pelanggaran pematuhan data.
6). Pengekstrakan Metadata: Semasa DPI, NPB mengekstrak metadata yang berkaitan daripada paket. Ini boleh merangkumi maklumat seperti alamat IP sumber dan destinasi, nombor port, butiran sesi, data transaksi atau sebarang atribut lain yang berkaitan.
7). Penghalaan atau Penapisan Trafik: Berdasarkan analisis DPI, NPB boleh menghalakan paket tertentu ke destinasi yang ditetapkan untuk pemprosesan selanjutnya, seperti peralatan keselamatan, alat pemantauan atau platform analitik. Ia juga boleh menggunakan peraturan penapisan untuk membuang atau mengalihkan paket berdasarkan kandungan atau corak yang dikenal pasti.
Masa siaran: 25 Jun 2023
