Kiểm tra gói sâu (dpi)là công nghệ được sử dụng trong Network Packet Brokers (NPB) để kiểm tra và phân tích nội dung của các gói mạng ở cấp độ chi tiết. Nó liên quan đến việc kiểm tra tải trọng, tiêu đề và thông tin cụ thể về giao thức khác trong các gói để có được thông tin chi tiết về lưu lượng mạng.
DPI vượt xa khả năng phân tích tiêu đề đơn giản và cung cấp sự hiểu biết sâu sắc về dữ liệu truyền qua mạng. Nó cho phép kiểm tra chuyên sâu các giao thức lớp ứng dụng, chẳng hạn như HTTP, FTP, SMTP, VoIP hoặc các giao thức truyền phát video. Bằng cách kiểm tra nội dung thực tế trong các gói, Sở Di Trú có thể phát hiện và xác định các ứng dụng, giao thức hoặc thậm chí các mẫu dữ liệu cụ thể.
Ngoài việc phân tích phân cấp địa chỉ nguồn, địa chỉ đích, cổng nguồn, cổng đích và loại giao thức, DPI còn bổ sung phân tích lớp ứng dụng để xác định các ứng dụng khác nhau và nội dung của chúng. Khi gói 1P, dữ liệu TCP hoặc UDP truyền qua hệ thống quản lý băng thông dựa trên công nghệ DPI, hệ thống sẽ đọc nội dung của tải gói 1P để sắp xếp lại thông tin lớp ứng dụng trong giao thức OSI Lớp 7, để lấy nội dung của toàn bộ chương trình ứng dụng, sau đó định hình lưu lượng theo chính sách quản lý do hệ thống xác định.
DP hoạt động như thế nào?
Tường lửa truyền thống thường thiếu khả năng xử lý để thực hiện kiểm tra kỹ lưỡng theo thời gian thực đối với lưu lượng truy cập lớn. Khi công nghệ tiến bộ, bạn có thể sử dụng dpi để thực hiện các bước kiểm tra phức tạp hơn như kiểm tra tiêu đề và dữ liệu. Thông thường, các tường lửa có hệ thống phát hiện xâm nhập thường sử dụng dpi. Trong một thế giới mà thông tin kỹ thuật số là tối quan trọng, mọi thông tin kỹ thuật số đều được truyền qua Internet dưới dạng các gói nhỏ. Điều này bao gồm email, tin nhắn được gửi qua ứng dụng, các trang web đã truy cập, cuộc trò chuyện video, v.v. Ngoài dữ liệu thực tế, các gói này còn bao gồm siêu dữ liệu xác định nguồn lưu lượng, nội dung, đích và thông tin quan trọng khác. Với công nghệ lọc gói, dữ liệu có thể được theo dõi và quản lý liên tục để đảm bảo dữ liệu được chuyển tiếp đến đúng nơi. Nhưng để đảm bảo an ninh mạng, việc lọc gói truyền thống là chưa đủ. Một số phương pháp chính để kiểm tra gói sâu trong quản lý mạng được liệt kê dưới đây:
Chế độ khớp/Chữ ký
Mỗi gói được kiểm tra xem có trùng khớp với cơ sở dữ liệu về các cuộc tấn công mạng đã biết bằng tường lửa có khả năng của hệ thống phát hiện xâm nhập (IDS). IDS tìm kiếm các mẫu độc hại cụ thể đã biết và vô hiệu hóa lưu lượng truy cập khi tìm thấy mẫu độc hại. Nhược điểm của chính sách khớp chữ ký là nó chỉ áp dụng cho những chữ ký được cập nhật thường xuyên. Ngoài ra, công nghệ này chỉ có thể chống lại các mối đe dọa hoặc cuộc tấn công đã biết.
Ngoại lệ giao thức
Vì kỹ thuật ngoại lệ giao thức không chỉ đơn giản cho phép tất cả dữ liệu không khớp với cơ sở dữ liệu chữ ký, nên kỹ thuật ngoại lệ giao thức được tường lửa IDS sử dụng không có những sai sót vốn có của phương pháp khớp mẫu/chữ ký. Thay vào đó, nó áp dụng chính sách từ chối mặc định. Theo định nghĩa giao thức, tường lửa quyết định lưu lượng nào sẽ được phép và bảo vệ mạng khỏi các mối đe dọa không xác định.
Hệ thống ngăn chặn xâm nhập (IPS)
Các giải pháp IPS có thể chặn việc truyền các gói có hại dựa trên nội dung của chúng, từ đó ngăn chặn các cuộc tấn công đáng ngờ trong thời gian thực. Điều này có nghĩa là nếu một gói có nguy cơ bảo mật đã biết, IPS sẽ chủ động chặn lưu lượng truy cập mạng dựa trên một bộ quy tắc đã xác định. Một nhược điểm của IPS là cần phải thường xuyên cập nhật cơ sở dữ liệu về mối đe dọa mạng với thông tin chi tiết về các mối đe dọa mới và khả năng xảy ra kết quả dương tính giả. Tuy nhiên, mối nguy hiểm này có thể được giảm thiểu bằng cách tạo ra các chính sách thận trọng và ngưỡng tùy chỉnh, thiết lập hành vi cơ bản phù hợp cho các thành phần mạng cũng như đánh giá định kỳ các cảnh báo và sự kiện được báo cáo để tăng cường giám sát và cảnh báo.
1- Kiểm tra gói sâu (Deep Packet Inspection) trong Network Packet Broker
"Sâu" là so sánh phân tích gói thông thường và cấp độ, "kiểm tra gói thông thường" chỉ phân tích sau đây của lớp gói IP 4, bao gồm địa chỉ nguồn, địa chỉ đích, cổng nguồn, cổng đích và loại giao thức, và DPI ngoại trừ phân cấp phân tích, cũng tăng cường phân tích lớp ứng dụng, xác định các ứng dụng và nội dung khác nhau, để nhận ra các chức năng chính:
1) Phân tích ứng dụng - phân tích thành phần lưu lượng mạng, phân tích hiệu suất và phân tích luồng
2) Phân tích người dùng - phân biệt nhóm người dùng, phân tích hành vi, phân tích thiết bị đầu cuối, phân tích xu hướng, v.v.
3) Phân tích phần tử mạng - phân tích dựa trên các thuộc tính khu vực (thành phố, quận, đường, v.v.) và tải trạm gốc
4) Kiểm soát lưu lượng - Giới hạn tốc độ P2P, đảm bảo QoS, đảm bảo băng thông, tối ưu hóa tài nguyên mạng, v.v.
5) Đảm bảo an ninh - Tấn công DDoS, bão phát sóng dữ liệu, ngăn chặn các cuộc tấn công của vi rút độc hại, v.v.
2- Phân loại chung các ứng dụng mạng
Ngày nay có vô số ứng dụng trên Internet, nhưng các ứng dụng web phổ biến có thể rất đầy đủ.
Theo như tôi biết, công ty nhận dạng ứng dụng tốt nhất là Huawei, công ty tuyên bố nhận dạng được 4.000 ứng dụng. Phân tích giao thức là mô-đun cơ bản của nhiều công ty tường lửa (Huawei, ZTE, v.v.) và cũng là mô-đun rất quan trọng, hỗ trợ hiện thực hóa các mô-đun chức năng khác, nhận dạng ứng dụng chính xác và cải thiện đáng kể hiệu suất và độ tin cậy của sản phẩm. Trong mô hình nhận dạng phần mềm độc hại dựa trên đặc điểm lưu lượng mạng, như tôi đang làm bây giờ, việc xác định giao thức chính xác và rộng rãi cũng rất quan trọng. Loại trừ lưu lượng mạng của các ứng dụng thông thường khỏi lưu lượng xuất của công ty, lưu lượng còn lại sẽ chiếm tỷ lệ nhỏ, sẽ tốt hơn cho việc phân tích và cảnh báo phần mềm độc hại.
Dựa trên kinh nghiệm của tôi, các ứng dụng phổ biến hiện có được phân loại theo chức năng của chúng:
PS: Theo hiểu biết cá nhân về phân loại ứng dụng, bạn có bất kỳ đề xuất hay nào vui lòng để lại tin nhắn đề xuất
1). E-mail
2). Băng hình
3). Trò chơi
4). Lớp OA văn phòng
5). Cập nhật phần mềm
6). Tài chính (ngân hàng, Alipay)
7). Cổ phiếu
8). Truyền thông xã hội (phần mềm IM)
9). Duyệt web (có thể được xác định tốt hơn bằng URL)
10). Công cụ tải xuống (đĩa web, tải xuống P2P, liên quan đến BT)
Sau đó, cách hoạt động của DPI (Kiểm tra gói sâu) trong NPB:
1). Chụp gói: NPB nắm bắt lưu lượng mạng từ nhiều nguồn khác nhau, chẳng hạn như bộ chuyển mạch, bộ định tuyến hoặc vòi. Nó nhận các gói đi qua mạng.
2). Phân tích gói: Các gói đã bắt được NPB phân tích cú pháp để trích xuất các lớp giao thức khác nhau và dữ liệu liên quan. Quá trình phân tích cú pháp này giúp xác định các thành phần khác nhau trong các gói, chẳng hạn như tiêu đề Ethernet, tiêu đề IP, tiêu đề lớp vận chuyển (ví dụ: TCP hoặc UDP) và các giao thức lớp ứng dụng.
3). Phân tích tải trọng: VớiDPI, NPB vượt xa việc kiểm tra tiêu đề và tập trung vào tải trọng, bao gồm cả dữ liệu thực tế trong các gói. Nó kiểm tra sâu nội dung tải trọng, bất kể ứng dụng hoặc giao thức được sử dụng, để trích xuất thông tin liên quan.
4). Nhận dạng giao thức:DPI cho phép NPB xác định các giao thức và ứng dụng cụ thể đang được sử dụng trong lưu lượng mạng. Nó có thể phát hiện và phân loại các giao thức như HTTP, FTP, SMTP, DNS, VoIP hoặc các giao thức truyền phát video.
5). Kiểm tra nội dung:DPI cho phép NPB kiểm tra nội dung của các gói để tìm các mẫu, chữ ký hoặc từ khóa cụ thể. Điều này cho phép phát hiện các mối đe dọa mạng, chẳng hạn như phần mềm độc hại, vi-rút, nỗ lực xâm nhập hoặc hoạt động đáng ngờ. DPI cũng có thể được sử dụng để lọc nội dung, thực thi chính sách mạng hoặc xác định các vi phạm tuân thủ dữ liệu.
6). Trích xuất siêu dữ liệu: Trong suốt quá trình thực hiệnDPI, NPB trích xuất siêu dữ liệu có liên quan từ các gói. Điều này có thể bao gồm thông tin như địa chỉ IP nguồn và đích, số cổng, chi tiết phiên, dữ liệu giao dịch hoặc bất kỳ thuộc tính liên quan nào khác.
7). Định tuyến hoặc lọc lưu lượng truy cập: Dựa trên phân tích DPI, NPB có thể định tuyến các gói cụ thể đến các điểm đến được chỉ định để xử lý thêm, chẳng hạn như thiết bị bảo mật, công cụ giám sát hoặc nền tảng phân tích. Nó cũng có thể áp dụng các quy tắc lọc để loại bỏ hoặc chuyển hướng các gói dựa trên nội dung hoặc mẫu đã xác định.
Thời gian đăng: 25-06-2023