Gwo twou san fon enspeksyon pake (DPI)se yon teknoloji ki itilize nan Network Packet Brokers (NPBs) pou enspekte ak analize sa ki nan pake rezo nan yon nivo granulaire. Li enplike nan egzamine chaj la, en-tête, ak lòt enfòmasyon pwotokòl espesifik nan pake yo jwenn apèsi detay sou trafik rezo a.
DPI ale pi lwen pase analiz header senp epi li bay yon konpreyansyon pwofon sou done yo ap koule tankou dlo nan yon rezo. Li pèmèt pou enspeksyon an pwofondè nan pwotokòl kouch aplikasyon yo, tankou HTTP, FTP, SMTP, VoIP, oswa pwotokòl difizyon videyo. Lè yo egzamine kontni aktyèl la nan pake, DPI ka detekte ak idantifye aplikasyon espesifik, pwotokòl, oswa menm modèl done espesifik.
Anplis analiz yerarchize adrès sous, adrès destinasyon, pò sous, pò destinasyon, ak kalite pwotokòl, DPI ajoute analiz aplikasyon-kouch pou idantifye divès aplikasyon ak sa ki ladan yo. Lè pake 1P, TCP oswa UDP done koule atravè sistèm jesyon Pleasant ki baze sou teknoloji DPI, sistèm lan li kontni chaj pake 1P pou reòganize enfòmasyon kouch aplikasyon an nan pwotokòl OSI Layer 7, konsa pou jwenn kontni an nan. pwogram aplikasyon an tout antye, ak Lè sa a, mete trafik la dapre politik la jesyon defini nan sistèm nan.
Ki jan DPI travay?
Firewall tradisyonèl yo souvan manke pouvwa pwosesis pou fè bon jan chèk an tan reyèl sou gwo volim nan trafik. Kòm teknoloji avanse, DPI ka itilize pou fè chèk ki pi konplèks pou tcheke tèt ak done yo. Tipikman, firewall ak sistèm deteksyon entrizyon souvan itilize DPI. Nan yon monn kote enfòmasyon dijital se Paramount, chak moso nan enfòmasyon dijital yo delivre sou entènèt la nan ti pake. Sa a gen ladan imèl, mesaj voye atravè app a, sit entènèt vizite, konvèsasyon videyo, ak plis ankò. Anplis done aktyèl yo, pake sa yo gen ladan metadata ki idantifye sous trafik la, kontni, destinasyon, ak lòt enfòmasyon enpòtan. Avèk teknoloji filtraj pake, done yo ka kontinyèlman kontwole ak jere pou asire yo voye yo nan bon kote. Men, pou asire sekirite rezo a, filtraj pake tradisyonèl yo lwen ase. Gen kèk nan metòd prensipal yo nan enspeksyon pake gwo twou san fon nan jesyon rezo yo ki nan lis anba a:
Matching Mode/Siyati
Chak pake tcheke pou yon matche ak yon baz done nan atak rezo li te ye pa yon firewall ak kapasite sistèm deteksyon entrizyon (IDS). IDS chèche modèl espesifik move konnen epi li enfim trafik lè yo jwenn modèl move. Dezavantaj politik matche siyati a se ke li aplike sèlman pou siyati yo mete ajou souvan. Anplis de sa, teknoloji sa a ka sèlman defann kont menas li te ye oswa atak.
Pwotokòl Eksepsyon
Piske teknik eksepsyon pwotokòl la pa pèmèt tou senpleman tout done ki pa matche baz done siyati a, teknik eksepsyon pwotokòl pare-feu IDS la itilize pa gen defo nannan metòd matche modèl/siyati. Olye de sa, li adopte politik rejè default la. Dapre definisyon pwotokòl, firewall deside ki trafik yo ta dwe pèmèt epi pwoteje rezo a kont menas enkoni.
Sistèm Prevansyon Entrizyon (IPS)
Solisyon IPS ka bloke transmisyon pake danjere ki baze sou kontni yo, kidonk sispann atak sispèk an tan reyèl. Sa vle di ke si yon pake reprezante yon risk sekirite li te ye, IPS pral bloke trafik rezo yon fason aktif ki baze sou yon seri règ defini. Youn nan dezavantaj nan IPS se nesesite pou mete ajou regilyèman yon baz done menas cyber ak detay sou nouvo menas, ak posibilite pou fo pozitif. Men, danje sa a ka bese lè yo kreye politik konsèvatif ak papòt koutim, etabli konpòtman debaz apwopriye pou eleman rezo a, epi evalye detanzantan avètisman ak evènman rapòte pou amelyore siveyans ak alèt.
1- DPI a (Deep Packet Inspection) nan Network Packet Broker
"Gwo twou san fon an" se nivo ak konparezon analiz òdinè pake, "enspeksyon pake òdinè" sèlman analiz sa a nan IP pake 4 kouch, ki gen ladan adrès la sous, adrès destinasyon, pò sous, pò destinasyon ak kalite pwotokòl, ak DPI eksepte ak yerarchize a. analiz, ogmante tou analiz kouch aplikasyon an, idantifye aplikasyon yo divès kalite ak kontni, reyalize fonksyon prensipal yo:
1) Analiz aplikasyon - analiz konpozisyon trafik rezo a, analiz pèfòmans, ak analiz koule
2) Analiz itilizatè - diferansyasyon gwoup itilizatè, analiz konpòtman, analiz tèminal, analiz tandans, elatriye.
3) Analiz Eleman Rezo - analiz ki baze sou atribi rejyonal yo (vil, distri, lari, elatriye) ak chaj estasyon debaz
4) Kontwòl trafik -- Limitasyon vitès P2P, asirans QoS, asirans Pleasant, optimize resous rezo, elatriye.
5) Asirans Sekirite -- Atak DDoS, tanpèt emisyon done, prevansyon atak viris move, elatriye.
2- Klasifikasyon Jeneral Aplikasyon Rezo yo
Jodi a gen anpil aplikasyon sou entènèt la, men aplikasyon entènèt komen yo ka konplè.
Osi lwen ke mwen konnen, pi bon konpayi an rekonesans app se Huawei, ki reklamasyon yo rekonèt 4,000 apps. Analiz pwotokòl se modil debaz nan anpil konpayi firewall (Huawei, ZTE, elatriye), epi li se tou yon modil trè enpòtan, sipòte realizasyon an nan lòt modil fonksyonèl, idantifikasyon aplikasyon egzat, ak anpil amelyore pèfòmans nan ak fyab nan pwodwi yo. Nan modèl idantifikasyon malveyan ki baze sou karakteristik trafik rezo a, jan m ap fè kounye a, idantifikasyon pwotokòl egzat ak vaste enpòtan tou. Eksepte trafik rezo a nan aplikasyon komen nan trafik ekspòtasyon konpayi an, trafik ki rete a pral kont pou yon ti pwopòsyon, ki se pi bon pou analiz malveyan ak alam.
Dapre eksperyans mwen, aplikasyon yo ki deja egziste souvan yo klase dapre fonksyon yo:
PS: Dapre konpreyansyon pèsonèl klasifikasyon aplikasyon an, ou gen nenpòt sijesyon bon akeyi yo kite yon pwopozisyon mesaj
1). Imèl
2). Videyo
3). Jwèt
4). Biwo OA klas
5). Mizajou lojisyèl
6). Finansye (bank, Alipay)
7). Aksyon
8). Kominikasyon Sosyal (Lojisyèl IM)
9). Navigasyon entènèt (pwobableman pi byen idantifye ak URL)
10). Telechaje zouti (disk entènèt, telechaje P2P, ki gen rapò ak BT)
Lè sa a, ki jan DPI (Deep Packet Inspection) travay nan yon NPB:
1). Capture Pake: NPB a kaptire trafik rezo ki soti nan divès sous, tankou switch, routè, oswa tiyo. Li resevwa pakè k ap koule nan rezo a.
2). Analiz Pake: NPB analize pake yo kaptire yo pou ekstrè plizyè kouch pwotokòl ak done ki asosye yo. Pwosesis analiz sa a ede idantifye diferan eleman ki nan pake yo, tankou headers Ethernet, headers IP, headers kouch transpò (pa egzanp, TCP oswa UDP), ak pwotokòl kouch aplikasyon.
3). Analiz chaj: Avèk DPI, NPB ale pi lwen pase enspeksyon header epi konsantre sou chaj la, ki gen ladan done aktyèl yo nan pake yo. Li egzamine kontni chaj la an pwofondè, kèlkeswa aplikasyon an oswa pwotokòl yo itilize, pou ekstrè enfòmasyon ki enpòtan.
4). Idantifikasyon Pwotokòl: DPI pèmèt NPB a idantifye pwotokòl espesifik ak aplikasyon yo itilize nan trafik rezo a. Li ka detekte ak klasifye pwotokòl tankou HTTP, FTP, SMTP, DNS, VoIP, oswa pwotokòl difizyon videyo.
5). Enspeksyon kontni: DPI pèmèt NPB a enspekte kontni an nan pake pou modèl espesifik, siyati, oswa mo kle. Sa a pèmèt deteksyon menas rezo a, tankou malveyan, viris, tantativ entrizyon, oswa aktivite sispèk. DPI ka itilize tou pou filtre kontni, fè respekte règleman rezo a, oswa idantifye vyolasyon konfòmite done yo.
6). Ekstraksyon Metadata: Pandan DPI, NPB a ekstrè metadata ki enpòtan nan pake yo. Sa a ka gen ladan enfòmasyon tankou adrès IP sous ak destinasyon, nimewo pò, detay sesyon, done tranzaksyon, oswa nenpòt lòt atribi ki enpòtan.
7). Wout Trafik oswa Filtraj: Dapre analiz DPI a, NPB a kapab dirije pake espesifik nan destinasyon deziyen pou plis pwosesis, tankou aparèy sekirite, zouti siveyans, oswa platfòm analiz. Li kapab tou aplike règ filtraj pou jete oswa redireksyon pake ki baze sou kontni oswa modèl yo idantifye.
Tan pòs: Jun-25-2023