Kiểm tra gói sâu ((DPI)là một công nghệ được sử dụng trong Network Packet Broker (NPB) để kiểm tra và phân tích nội dung của các gói tin mạng ở cấp độ chi tiết. Công nghệ này bao gồm việc kiểm tra tải trọng, tiêu đề và các thông tin cụ thể khác của giao thức trong các gói tin để có được cái nhìn sâu sắc về lưu lượng mạng.
DPI không chỉ đơn thuần là phân tích tiêu đề mà còn cung cấp hiểu biết sâu sắc về luồng dữ liệu qua mạng. Nó cho phép kiểm tra chuyên sâu các giao thức lớp ứng dụng, chẳng hạn như HTTP, FTP, SMTP, VoIP hoặc giao thức phát trực tuyến video. Bằng cách kiểm tra nội dung thực tế trong các gói tin, DPI có thể phát hiện và xác định các ứng dụng, giao thức hoặc thậm chí các mẫu dữ liệu cụ thể.
Ngoài việc phân tích phân cấp địa chỉ nguồn, địa chỉ đích, cổng nguồn, cổng đích và loại giao thức, DPI còn bổ sung phân tích tầng ứng dụng để xác định các ứng dụng khác nhau và nội dung của chúng. Khi gói dữ liệu 1P, TCP hoặc UDP chạy qua hệ thống quản lý băng thông dựa trên công nghệ DPI, hệ thống sẽ đọc nội dung tải gói 1P để sắp xếp lại thông tin tầng ứng dụng trong giao thức OSI Layer 7, từ đó thu thập nội dung của toàn bộ chương trình ứng dụng, sau đó định hình lưu lượng theo chính sách quản lý do hệ thống quy định.
DPI hoạt động như thế nào?
Tường lửa truyền thống thường thiếu sức mạnh xử lý để thực hiện kiểm tra toàn diện theo thời gian thực đối với lưu lượng lớn. Khi công nghệ phát triển, DPI có thể được sử dụng để thực hiện các kiểm tra phức tạp hơn nhằm kiểm tra tiêu đề và dữ liệu. Thông thường, tường lửa có hệ thống phát hiện xâm nhập thường sử dụng DPI. Trong một thế giới mà thông tin kỹ thuật số là tối quan trọng, mọi thông tin kỹ thuật số đều được truyền qua Internet dưới dạng các gói nhỏ. Điều này bao gồm email, tin nhắn được gửi qua ứng dụng, các trang web đã truy cập, các cuộc trò chuyện video, v.v. Ngoài dữ liệu thực tế, các gói này còn bao gồm siêu dữ liệu xác định nguồn lưu lượng, nội dung, đích và các thông tin quan trọng khác. Với công nghệ lọc gói, dữ liệu có thể được giám sát và quản lý liên tục để đảm bảo dữ liệu được chuyển tiếp đến đúng nơi. Nhưng để đảm bảo an ninh mạng, lọc gói truyền thống là không đủ. Một số phương pháp chính để kiểm tra gói sâu trong quản lý mạng được liệt kê dưới đây:
Chế độ khớp/Chữ ký
Mỗi gói tin được kiểm tra để so khớp với cơ sở dữ liệu các cuộc tấn công mạng đã biết bằng tường lửa có chức năng phát hiện xâm nhập (IDS). IDS tìm kiếm các mẫu mã độc hại cụ thể đã biết và vô hiệu hóa lưu lượng khi phát hiện ra các mẫu mã độc hại. Nhược điểm của chính sách so khớp chữ ký là nó chỉ áp dụng cho các chữ ký được cập nhật thường xuyên. Ngoài ra, công nghệ này chỉ có thể bảo vệ chống lại các mối đe dọa hoặc tấn công đã biết.
Ngoại lệ giao thức
Vì kỹ thuật ngoại lệ giao thức không chỉ đơn giản cho phép tất cả dữ liệu không khớp với cơ sở dữ liệu chữ ký, nên kỹ thuật ngoại lệ giao thức được tường lửa IDS sử dụng không có những nhược điểm cố hữu của phương pháp so khớp mẫu/chữ ký. Thay vào đó, nó áp dụng chính sách từ chối mặc định. Theo định nghĩa giao thức, tường lửa quyết định lưu lượng nào được phép và bảo vệ mạng khỏi các mối đe dọa chưa biết.
Hệ thống phòng chống xâm nhập (IPS)
Giải pháp IPS có thể chặn việc truyền các gói tin độc hại dựa trên nội dung của chúng, do đó ngăn chặn các cuộc tấn công đáng ngờ theo thời gian thực. Điều này có nghĩa là nếu một gói tin đại diện cho một rủi ro bảo mật đã biết, IPS sẽ chủ động chặn lưu lượng mạng dựa trên một bộ quy tắc được xác định. Một nhược điểm của IPS là cần phải thường xuyên cập nhật cơ sở dữ liệu về các mối đe dọa mạng với thông tin chi tiết về các mối đe dọa mới và khả năng phát hiện cảnh báo giả. Tuy nhiên, mối nguy hiểm này có thể được giảm thiểu bằng cách tạo các chính sách thận trọng và ngưỡng tùy chỉnh, thiết lập hành vi cơ sở phù hợp cho các thành phần mạng và định kỳ đánh giá các cảnh báo và sự kiện được báo cáo để tăng cường giám sát và cảnh báo.
1- DPI (Kiểm tra gói sâu) trong Network Packet Broker
"Sâu" là mức độ và phân tích gói thông thường so sánh, "kiểm tra gói thông thường" chỉ phân tích sau đây của gói IP lớp 4, bao gồm địa chỉ nguồn, địa chỉ đích, cổng nguồn, cổng đích và loại giao thức, và DPI ngoại trừ phân tích phân cấp, cũng tăng cường phân tích lớp ứng dụng, xác định các ứng dụng và nội dung khác nhau, để thực hiện các chức năng chính:
1) Phân tích ứng dụng -- phân tích thành phần lưu lượng mạng, phân tích hiệu suất và phân tích luồng
2) Phân tích người dùng -- phân biệt nhóm người dùng, phân tích hành vi, phân tích thiết bị đầu cuối, phân tích xu hướng, v.v.
3) Phân tích phần tử mạng -- phân tích dựa trên các thuộc tính khu vực (thành phố, quận, đường phố, v.v.) và tải trạm gốc
4) Kiểm soát lưu lượng -- Giới hạn tốc độ P2P, đảm bảo QoS, đảm bảo băng thông, tối ưu hóa tài nguyên mạng, v.v.
5) Đảm bảo an ninh -- Tấn công DDoS, bão phát sóng dữ liệu, ngăn chặn các cuộc tấn công của virus độc hại, v.v.
2- Phân loại chung các ứng dụng mạng
Ngày nay có vô số ứng dụng trên Internet, nhưng các ứng dụng web phổ biến có thể rất đầy đủ.
Theo tôi biết, công ty nhận dạng ứng dụng tốt nhất là Huawei, với khả năng nhận dạng 4.000 ứng dụng. Phân tích giao thức là module cơ bản của nhiều công ty tường lửa (Huawei, ZTE, v.v.), và cũng là một module rất quan trọng, hỗ trợ việc triển khai các module chức năng khác, nhận dạng ứng dụng chính xác, đồng thời cải thiện đáng kể hiệu suất và độ tin cậy của sản phẩm. Trong việc mô hình hóa nhận dạng phần mềm độc hại dựa trên đặc điểm lưu lượng mạng, như tôi đang làm hiện nay, việc nhận dạng giao thức chính xác và toàn diện cũng rất quan trọng. Nếu không tính lưu lượng mạng của các ứng dụng phổ biến khỏi lưu lượng xuất khẩu của công ty, phần lưu lượng còn lại sẽ chiếm một tỷ lệ nhỏ, tốt hơn cho việc phân tích và cảnh báo phần mềm độc hại.
Dựa trên kinh nghiệm của tôi, các ứng dụng phổ biến hiện nay được phân loại theo chức năng của chúng:
PS: Theo hiểu biết cá nhân về phân loại ứng dụng, bạn có bất kỳ đề xuất hay nào vui lòng để lại tin nhắn đề xuất
1). Thư điện tử
2). Video
3). Trò chơi
4). Lớp OA văn phòng
5). Cập nhật phần mềm
6). Tài chính (ngân hàng, Alipay)
7). Cổ phiếu
8). Giao tiếp xã hội (phần mềm nhắn tin)
9). Duyệt web (có lẽ được xác định tốt hơn bằng URL)
10). Công cụ tải xuống (đĩa web, tải xuống P2P, liên quan đến BT)
Vậy thì DPI (Kiểm tra gói sâu) hoạt động như thế nào trong NPB:
1). Bắt gói tin: NPB bắt lưu lượng mạng từ nhiều nguồn khác nhau, chẳng hạn như bộ chuyển mạch, bộ định tuyến hoặc thiết bị đầu cuối. Nó nhận các gói tin đang chạy qua mạng.
2). Phân tích gói tin: Các gói tin đã thu thập được sẽ được NPB phân tích để trích xuất các lớp giao thức khác nhau và dữ liệu liên quan. Quá trình phân tích này giúp xác định các thành phần khác nhau trong gói tin, chẳng hạn như tiêu đề Ethernet, tiêu đề IP, tiêu đề lớp vận chuyển (ví dụ: TCP hoặc UDP) và giao thức lớp ứng dụng.
3). Phân tích tải trọng: Với DPI, NPB không chỉ kiểm tra tiêu đề mà còn tập trung vào tải trọng, bao gồm cả dữ liệu thực tế trong các gói tin. Nó kiểm tra nội dung tải trọng một cách chuyên sâu, bất kể ứng dụng hay giao thức được sử dụng, để trích xuất thông tin có liên quan.
4). Nhận dạng Giao thức: DPI cho phép NPB xác định các giao thức và ứng dụng cụ thể đang được sử dụng trong lưu lượng mạng. Nó có thể phát hiện và phân loại các giao thức như HTTP, FTP, SMTP, DNS, VoIP hoặc giao thức phát trực tuyến video.
5). Kiểm tra Nội dung: DPI cho phép NPB kiểm tra nội dung của các gói tin để tìm các mẫu, chữ ký hoặc từ khóa cụ thể. Điều này cho phép phát hiện các mối đe dọa mạng, chẳng hạn như phần mềm độc hại, vi-rút, nỗ lực xâm nhập hoặc các hoạt động đáng ngờ. DPI cũng có thể được sử dụng để lọc nội dung, thực thi chính sách mạng hoặc xác định các vi phạm tuân thủ dữ liệu.
6). Trích xuất siêu dữ liệu: Trong quá trình DPI, NPB trích xuất siêu dữ liệu liên quan từ các gói tin. Siêu dữ liệu này có thể bao gồm thông tin như địa chỉ IP nguồn và đích, số cổng, chi tiết phiên, dữ liệu giao dịch hoặc bất kỳ thuộc tính liên quan nào khác.
7). Định tuyến hoặc Lọc Lưu lượng: Dựa trên phân tích DPI, NPB có thể định tuyến các gói tin cụ thể đến các đích được chỉ định để xử lý thêm, chẳng hạn như thiết bị bảo mật, công cụ giám sát hoặc nền tảng phân tích. NPB cũng có thể áp dụng các quy tắc lọc để loại bỏ hoặc chuyển hướng các gói tin dựa trên nội dung hoặc mẫu được xác định.
Thời gian đăng: 25-06-2023
