Kiểm tra gói dữ liệu chuyên sâu (DPI)Đây là một công nghệ được sử dụng trong các bộ điều khiển gói mạng (NPB) để kiểm tra và phân tích nội dung của các gói mạng ở mức độ chi tiết. Nó bao gồm việc kiểm tra phần dữ liệu, tiêu đề và các thông tin cụ thể khác của giao thức bên trong các gói để có được những hiểu biết chi tiết về lưu lượng mạng.
DPI không chỉ đơn thuần phân tích tiêu đề mà còn cung cấp sự hiểu biết sâu sắc về dữ liệu truyền qua mạng. Nó cho phép kiểm tra chuyên sâu các giao thức lớp ứng dụng, chẳng hạn như HTTP, FTP, SMTP, VoIP hoặc các giao thức truyền phát video. Bằng cách kiểm tra nội dung thực tế bên trong các gói dữ liệu, DPI có thể phát hiện và xác định các ứng dụng, giao thức cụ thể, hoặc thậm chí cả các mẫu dữ liệu cụ thể.
Ngoài việc phân tích theo thứ bậc các địa chỉ nguồn, địa chỉ đích, cổng nguồn, cổng đích và loại giao thức, DPI còn bổ sung thêm phân tích lớp ứng dụng để xác định các ứng dụng khác nhau và nội dung của chúng. Khi gói tin 1P, dữ liệu TCP hoặc UDP truyền qua hệ thống quản lý băng thông dựa trên công nghệ DPI, hệ thống sẽ đọc nội dung của gói tin 1P để sắp xếp lại thông tin lớp ứng dụng trong giao thức lớp 7 của mô hình OSI, nhằm thu được nội dung của toàn bộ chương trình ứng dụng, và sau đó định hình lưu lượng truy cập theo chính sách quản lý do hệ thống xác định.
DPI hoạt động như thế nào?
Các tường lửa truyền thống thường thiếu sức mạnh xử lý để thực hiện kiểm tra thời gian thực kỹ lưỡng trên khối lượng lớn lưu lượng truy cập. Khi công nghệ phát triển, DPI (Deep Packet Inspection) có thể được sử dụng để thực hiện các kiểm tra phức tạp hơn nhằm kiểm tra tiêu đề và dữ liệu. Thông thường, các tường lửa có hệ thống phát hiện xâm nhập thường sử dụng DPI. Trong một thế giới mà thông tin kỹ thuật số là tối quan trọng, mọi mẩu thông tin kỹ thuật số đều được truyền tải qua Internet dưới dạng các gói nhỏ. Điều này bao gồm email, tin nhắn được gửi qua ứng dụng, các trang web đã truy cập, các cuộc trò chuyện video, v.v. Ngoài dữ liệu thực tế, các gói này còn bao gồm siêu dữ liệu xác định nguồn lưu lượng, nội dung, đích đến và các thông tin quan trọng khác. Với công nghệ lọc gói, dữ liệu có thể được giám sát và quản lý liên tục để đảm bảo nó được chuyển tiếp đến đúng nơi. Nhưng để đảm bảo an ninh mạng, lọc gói truyền thống vẫn chưa đủ. Một số phương pháp chính của kiểm tra gói sâu trong quản lý mạng được liệt kê dưới đây:
Chế độ khớp/Chữ ký
Mỗi gói dữ liệu được tường lửa có khả năng phát hiện xâm nhập (IDS) kiểm tra xem có trùng khớp với cơ sở dữ liệu các cuộc tấn công mạng đã biết hay không. IDS tìm kiếm các mẫu đặc trưng độc hại đã biết và vô hiệu hóa lưu lượng truy cập khi phát hiện thấy các mẫu độc hại. Nhược điểm của chính sách đối sánh chữ ký là nó chỉ áp dụng cho các chữ ký được cập nhật thường xuyên. Ngoài ra, công nghệ này chỉ có thể chống lại các mối đe dọa hoặc cuộc tấn công đã biết.
Ngoại lệ giao thức
Vì kỹ thuật xử lý ngoại lệ giao thức không đơn giản cho phép tất cả dữ liệu không khớp với cơ sở dữ liệu chữ ký, nên kỹ thuật xử lý ngoại lệ giao thức được tường lửa IDS sử dụng không có những nhược điểm cố hữu của phương pháp khớp mẫu/chữ ký. Thay vào đó, nó áp dụng chính sách từ chối mặc định. Theo định nghĩa giao thức, tường lửa quyết định lưu lượng truy cập nào được cho phép và bảo vệ mạng khỏi các mối đe dọa chưa biết.
Hệ thống ngăn chặn xâm nhập (IPS)
Các giải pháp IPS có thể chặn việc truyền tải các gói dữ liệu độc hại dựa trên nội dung của chúng, từ đó ngăn chặn các cuộc tấn công đáng ngờ trong thời gian thực. Điều này có nghĩa là nếu một gói dữ liệu đại diện cho một rủi ro bảo mật đã biết, IPS sẽ chủ động chặn lưu lượng mạng dựa trên một tập hợp các quy tắc được xác định. Một nhược điểm của IPS là cần phải thường xuyên cập nhật cơ sở dữ liệu về các mối đe dọa mạng với thông tin chi tiết về các mối đe dọa mới, và khả năng xảy ra cảnh báo sai. Nhưng nguy cơ này có thể được giảm thiểu bằng cách tạo ra các chính sách thận trọng và ngưỡng tùy chỉnh, thiết lập hành vi cơ bản phù hợp cho các thành phần mạng và định kỳ đánh giá các cảnh báo và sự kiện được báo cáo để tăng cường giám sát và cảnh báo.
1- Chức năng DPI (Kiểm tra gói tin chuyên sâu) trong Network Packet Broker
"Phân tích sâu" (DPI) là sự so sánh giữa phân tích gói tin cấp độ sâu và phân tích gói tin thông thường. "Kiểm tra gói tin thông thường" chỉ phân tích gói tin IP ở lớp 4, bao gồm địa chỉ nguồn, địa chỉ đích, cổng nguồn, cổng đích và loại giao thức, trong khi DPI không chỉ phân tích theo cấp bậc mà còn tăng cường phân tích ở lớp ứng dụng, xác định các ứng dụng và nội dung khác nhau để thực hiện các chức năng chính:
1) Phân tích ứng dụng -- phân tích thành phần lưu lượng mạng, phân tích hiệu suất và phân tích luồng.
2) Phân tích người dùng -- phân biệt nhóm người dùng, phân tích hành vi, phân tích thiết bị đầu cuối, phân tích xu hướng, v.v.
3) Phân tích phần tử mạng -- phân tích dựa trên các thuộc tính khu vực (thành phố, quận, đường phố, v.v.) và tải của trạm gốc
4) Kiểm soát lưu lượng truy cập -- Giới hạn tốc độ P2P, đảm bảo chất lượng dịch vụ (QoS), đảm bảo băng thông, tối ưu hóa tài nguyên mạng, v.v.
5) Đảm bảo an ninh -- Các cuộc tấn công DDoS, bão phát tán dữ liệu, ngăn chặn các cuộc tấn công virus độc hại, v.v.
2- Phân loại chung các ứng dụng mạng
Ngày nay có vô số ứng dụng trên Internet, nhưng các ứng dụng web phổ biến có thể rất đa dạng.
Theo như tôi biết, công ty nhận diện ứng dụng tốt nhất là Huawei, họ tuyên bố có thể nhận diện 4.000 ứng dụng. Phân tích giao thức là mô-đun cơ bản của nhiều công ty tường lửa (Huawei, ZTE, v.v.), và cũng là một mô-đun rất quan trọng, hỗ trợ việc thực hiện các mô-đun chức năng khác, nhận diện ứng dụng chính xác và cải thiện đáng kể hiệu suất và độ tin cậy của sản phẩm. Trong việc mô hình hóa nhận diện phần mềm độc hại dựa trên đặc điểm lưu lượng mạng, như tôi đang làm hiện nay, việc nhận diện giao thức chính xác và toàn diện cũng rất quan trọng. Loại trừ lưu lượng mạng của các ứng dụng thông thường khỏi lưu lượng xuất của công ty, lưu lượng còn lại sẽ chiếm tỷ lệ nhỏ, điều này tốt hơn cho việc phân tích và cảnh báo phần mềm độc hại.
Theo kinh nghiệm của tôi, các ứng dụng thông dụng hiện nay được phân loại theo chức năng của chúng:
PS: Theo hiểu biết cá nhân về phân loại ứng dụng, nếu bạn có bất kỳ đề xuất hay nào, vui lòng để lại lời nhắn.
1). Email
2). Video
3). Trò chơi
4). Lớp học OA văn phòng
5). Cập nhật phần mềm
6). Tài chính (ngân hàng, Alipay)
7). Cổ phiếu
8). Giao tiếp xã hội (phần mềm nhắn tin tức thời)
9). Duyệt web (có lẽ nên được hiểu rõ hơn qua URL)
10). Công cụ tải xuống (ổ đĩa web, tải xuống P2P, liên quan đến BT)
Vậy, DPI (Kiểm tra gói tin sâu) hoạt động như thế nào trong NPB?
1). Thu thập gói tin: NPB thu thập lưu lượng mạng từ nhiều nguồn khác nhau, chẳng hạn như bộ chuyển mạch, bộ định tuyến hoặc thiết bị thu tín hiệu. Nó nhận các gói tin truyền qua mạng.
2). Phân tích gói tin: Các gói tin được thu thập sẽ được NPB phân tích để trích xuất các lớp giao thức khác nhau và dữ liệu liên quan. Quá trình phân tích này giúp xác định các thành phần khác nhau trong gói tin, chẳng hạn như tiêu đề Ethernet, tiêu đề IP, tiêu đề lớp vận chuyển (ví dụ: TCP hoặc UDP) và các giao thức lớp ứng dụng.
3). Phân tích tải trọng: Với DPI, NPB không chỉ kiểm tra tiêu đề mà còn tập trung vào tải trọng, bao gồm cả dữ liệu thực tế bên trong các gói tin. Nó kiểm tra nội dung tải trọng một cách chuyên sâu, bất kể ứng dụng hoặc giao thức được sử dụng, để trích xuất thông tin liên quan.
4). Nhận dạng giao thức: DPI cho phép NPB xác định các giao thức và ứng dụng cụ thể đang được sử dụng trong lưu lượng mạng. Nó có thể phát hiện và phân loại các giao thức như HTTP, FTP, SMTP, DNS, VoIP hoặc các giao thức truyền phát video.
5). Kiểm tra nội dung: DPI cho phép NPB kiểm tra nội dung của các gói dữ liệu để tìm các mẫu, chữ ký hoặc từ khóa cụ thể. Điều này giúp phát hiện các mối đe dọa mạng, chẳng hạn như phần mềm độc hại, vi-rút, các nỗ lực xâm nhập hoặc các hoạt động đáng ngờ. DPI cũng có thể được sử dụng để lọc nội dung, thực thi các chính sách mạng hoặc xác định các vi phạm tuân thủ dữ liệu.
6). Trích xuất siêu dữ liệu: Trong quá trình DPI, NPB trích xuất siêu dữ liệu liên quan từ các gói tin. Điều này có thể bao gồm thông tin như địa chỉ IP nguồn và đích, số cổng, chi tiết phiên, dữ liệu giao dịch hoặc bất kỳ thuộc tính liên quan nào khác.
7). Định tuyến hoặc lọc lưu lượng: Dựa trên phân tích DPI, NPB có thể định tuyến các gói dữ liệu cụ thể đến các đích được chỉ định để xử lý tiếp, chẳng hạn như thiết bị bảo mật, công cụ giám sát hoặc nền tảng phân tích. Nó cũng có thể áp dụng các quy tắc lọc để loại bỏ hoặc chuyển hướng các gói dữ liệu dựa trên nội dung hoặc mẫu được xác định.
Thời gian đăng bài: 25 tháng 6 năm 2023
