Kiểm tra gói sâu (DPI)là một công nghệ được sử dụng trong các nhà môi giới gói mạng (NPBS) để kiểm tra và phân tích nội dung của các gói mạng ở cấp độ hạt. Nó liên quan đến việc kiểm tra tải trọng, tiêu đề và thông tin dành riêng cho giao thức khác trong các gói để đạt được những hiểu biết chi tiết về lưu lượng truy cập mạng.
DPI vượt xa phân tích tiêu đề đơn giản và cung cấp sự hiểu biết sâu sắc về dữ liệu chảy qua mạng. Nó cho phép kiểm tra chuyên sâu các giao thức lớp ứng dụng, chẳng hạn như HTTP, FTP, SMTP, VoIP hoặc các giao thức truyền phát video. Bằng cách kiểm tra nội dung thực tế trong các gói, DPI có thể phát hiện và xác định các ứng dụng, giao thức cụ thể hoặc thậm chí các mẫu dữ liệu cụ thể.
Ngoài phân tích phân cấp các địa chỉ nguồn, địa chỉ đích, cổng nguồn, cổng đích và loại giao thức, DPI cũng thêm phân tích lớp ứng dụng để xác định các ứng dụng khác nhau và nội dung của chúng. Khi gói dữ liệu 1p, TCP hoặc UDP qua hệ thống quản lý băng thông dựa trên công nghệ DPI, hệ thống sẽ đọc nội dung của tải gói 1P để sắp xếp lại thông tin lớp ứng dụng trong giao thức Lớp 7, để có được nội dung của toàn bộ chương trình ứng dụng.
DPI hoạt động như thế nào?
Tường lửa truyền thống thường thiếu sức mạnh xử lý để thực hiện kiểm tra thời gian thực kỹ lưỡng trên lưu lượng truy cập lớn. Khi công nghệ tiến bộ, DPI có thể được sử dụng để thực hiện kiểm tra phức tạp hơn để kiểm tra các tiêu đề và dữ liệu. Thông thường, tường lửa với các hệ thống phát hiện xâm nhập thường sử dụng DPI. Trong một thế giới nơi thông tin kỹ thuật số là tối quan trọng, mọi thông tin kỹ thuật số được gửi qua internet trong các gói nhỏ. Điều này bao gồm email, tin nhắn được gửi qua ứng dụng, các trang web được truy cập, các cuộc trò chuyện video và nhiều hơn nữa. Ngoài dữ liệu thực tế, các gói này bao gồm siêu dữ liệu xác định nguồn lưu lượng, nội dung, điểm đến và thông tin quan trọng khác. Với công nghệ lọc gói, dữ liệu có thể được giám sát và quản lý liên tục để đảm bảo nó được chuyển tiếp đến đúng nơi. Nhưng để đảm bảo bảo mật mạng, việc lọc gói truyền thống là đủ. Một số phương pháp chính của kiểm tra gói sâu trong quản lý mạng được liệt kê dưới đây:
Chế độ phù hợp/Chữ ký
Mỗi gói được kiểm tra một trận đấu với cơ sở dữ liệu các cuộc tấn công mạng đã biết bởi tường lửa với các khả năng của Hệ thống phát hiện xâm nhập (IDS). IDS tìm kiếm các mẫu cụ thể độc hại đã biết và vô hiệu hóa lưu lượng khi tìm thấy các mẫu độc hại. Nhược điểm của chính sách khớp chữ ký là nó chỉ áp dụng cho các chữ ký được cập nhật thường xuyên. Ngoài ra, công nghệ này chỉ có thể bảo vệ chống lại các mối đe dọa hoặc tấn công đã biết.
Ngoại lệ giao thức
Do kỹ thuật ngoại lệ giao thức không chỉ đơn giản cho phép tất cả dữ liệu không khớp với cơ sở dữ liệu chữ ký, nên kỹ thuật ngoại lệ giao thức được sử dụng bởi tường lửa IDS không có lỗ hổng vốn có của phương thức khớp mẫu/chữ ký. Thay vào đó, nó áp dụng chính sách từ chối mặc định. Theo định nghĩa giao thức, tường lửa quyết định lưu lượng truy cập nào được cho phép và bảo vệ mạng khỏi các mối đe dọa chưa biết.
Hệ thống phòng chống xâm nhập (IPS)
Các giải pháp IPS có thể chặn việc truyền các gói có hại dựa trên nội dung của chúng, do đó dừng các cuộc tấn công bị nghi ngờ trong thời gian thực. Điều này có nghĩa là nếu một gói thể hiện rủi ro bảo mật đã biết, IPS sẽ chủ động chặn lưu lượng mạng dựa trên một bộ quy tắc được xác định. Một nhược điểm của IPS là sự cần thiết phải cập nhật cơ sở dữ liệu đe dọa mạng với các chi tiết về các mối đe dọa mới và khả năng tích cực sai. Nhưng mối nguy hiểm này có thể được giảm thiểu bằng cách tạo ra các chính sách bảo thủ và ngưỡng tùy chỉnh, thiết lập hành vi cơ bản thích hợp cho các thành phần mạng và đánh giá định kỳ các cảnh báo và báo cáo các sự kiện để tăng cường giám sát và cảnh báo.
1- DPI (kiểm tra gói sâu) trong nhà môi giới gói mạng
"Deep" là mức độ phân tích gói thông thường và "Kiểm tra gói thông thường" chỉ phân tích sau đây của lớp IP 4, bao gồm địa chỉ nguồn, địa chỉ đích, cổng nguồn, cổng đích và loại giao thức và DPI ngoại trừ phân tích phân cấp, cũng tăng phân tích lớp ứng dụng, xác định các ứng dụng và nội dung khác nhau, để nhận ra các đặc điểm chính:
1) Phân tích ứng dụng - Phân tích thành phần lưu lượng mạng, phân tích hiệu suất và phân tích dòng chảy
2) Phân tích người dùng - Phân biệt nhóm người dùng, phân tích hành vi, phân tích thiết bị đầu cuối, phân tích xu hướng, v.v.
3) Phân tích yếu tố mạng - Phân tích dựa trên các thuộc tính khu vực (thành phố, quận, đường phố, v.v.) và tải trọng trạm cơ sở
4) Kiểm soát giao thông - Giới hạn tốc độ P2P, đảm bảo QoS, đảm bảo băng thông, tối ưu hóa tài nguyên mạng, v.v.
5) Đảm bảo an ninh - Các cuộc tấn công DDoS, bão dữ liệu, phòng ngừa các cuộc tấn công virus độc hại, v.v.
2- Phân loại chung các ứng dụng mạng
Ngày nay, có vô số ứng dụng trên internet, nhưng các ứng dụng web phổ biến có thể đầy đủ.
Theo như tôi biết, công ty nhận dạng ứng dụng tốt nhất là Huawei, tuyên bố sẽ nhận ra 4.000 ứng dụng. Phân tích giao thức là mô -đun cơ bản của nhiều công ty tường lửa (Huawei, ZTE, v.v.), và nó cũng là một mô -đun rất quan trọng, hỗ trợ việc thực hiện các mô -đun chức năng khác, nhận dạng ứng dụng chính xác và cải thiện đáng kể hiệu suất và độ tin cậy của sản phẩm. Trong mô hình hóa nhận dạng phần mềm độc hại dựa trên các đặc điểm lưu lượng mạng, như tôi đang làm bây giờ, nhận dạng giao thức chính xác và rộng rãi cũng rất quan trọng. Không bao gồm lưu lượng mạng của các ứng dụng chung từ lưu lượng truy cập xuất khẩu của công ty, lưu lượng còn lại sẽ chiếm một tỷ lệ nhỏ, tốt hơn cho phân tích và báo động phần mềm độc hại.
Dựa trên kinh nghiệm của tôi, các ứng dụng thường được sử dụng hiện có được phân loại theo chức năng của chúng:
Tái bút: Theo sự hiểu biết cá nhân về phân loại ứng dụng, bạn có bất kỳ đề xuất tốt nào được chào đón để để lại một đề xuất tin nhắn
1). E-mail
2). Băng hình
3). Trò chơi
4). Lớp OA OA
5). Cập nhật phần mềm
6). Tài chính (Ngân hàng, Alipay)
7). Cổ phiếu
8). Giao tiếp xã hội (phần mềm IM)
9). Duyệt web (có thể được xác định tốt hơn với URL)
10). Tải xuống các công cụ (đĩa web, tải xuống P2P, liên quan đến BT)
Sau đó, cách DPI (Kiểm tra gói sâu) hoạt động trong NPB:
1). Chụp gói: NPB nắm bắt lưu lượng mạng từ nhiều nguồn khác nhau, chẳng hạn như công tắc, bộ định tuyến hoặc vòi. Nó nhận được các gói chảy qua mạng.
2). Phân tích cú pháp gói: Các gói bị bắt được phân tích cú pháp bởi NPB để trích xuất các lớp giao thức khác nhau và dữ liệu liên quan. Quá trình phân tích cú pháp này giúp xác định các thành phần khác nhau trong các gói, chẳng hạn như tiêu đề Ethernet, tiêu đề IP, tiêu đề lớp vận chuyển (ví dụ: TCP hoặc UDP) và các giao thức lớp ứng dụng.
3). Phân tích tải trọng: Với DPI, NPB vượt xa kiểm tra tiêu đề và tập trung vào tải trọng, bao gồm cả dữ liệu thực tế trong các gói. Nó kiểm tra nội dung tải trọng theo chiều sâu, không phân biệt ứng dụng hoặc giao thức được sử dụng, để trích xuất thông tin liên quan.
4). Nhận dạng giao thức: DPI cho phép NPB xác định các giao thức và ứng dụng cụ thể đang được sử dụng trong lưu lượng mạng. Nó có thể phát hiện và phân loại các giao thức như HTTP, FTP, SMTP, DNS, VoIP hoặc các giao thức truyền phát video.
5). Kiểm tra nội dung: DPI cho phép NPB kiểm tra nội dung của các gói cho các mẫu, chữ ký hoặc từ khóa cụ thể. Điều này cho phép phát hiện các mối đe dọa mạng, chẳng hạn như phần mềm độc hại, virus, nỗ lực xâm nhập hoặc các hoạt động đáng ngờ. DPI cũng có thể được sử dụng để lọc nội dung, thực thi các chính sách mạng hoặc xác định vi phạm tuân thủ dữ liệu.
6). Trích xuất siêu dữ liệu: Trong DPI, NPB trích xuất siêu dữ liệu có liên quan từ các gói. Điều này có thể bao gồm thông tin như địa chỉ IP nguồn và đích, số cổng, chi tiết phiên, dữ liệu giao dịch hoặc bất kỳ thuộc tính có liên quan nào khác.
7). Định tuyến hoặc lọc giao thông: Dựa trên phân tích DPI, NPB có thể định tuyến các gói cụ thể đến các điểm đến được chỉ định để xử lý thêm, chẳng hạn như các thiết bị bảo mật, công cụ giám sát hoặc nền tảng phân tích. Nó cũng có thể áp dụng các quy tắc lọc để loại bỏ hoặc chuyển hướng các gói dựa trên nội dung hoặc mẫu được xác định.
Thời gian đăng: Tháng 6-25-2023
