Kiểm tra gói sâu (Chỉ số đo lường (DPI)là công nghệ được sử dụng trong Network Packet Brokers (NPB) để kiểm tra và phân tích nội dung của các gói tin mạng ở cấp độ chi tiết. Công nghệ này bao gồm việc kiểm tra tải trọng, tiêu đề và các thông tin cụ thể khác của giao thức trong các gói tin để có được thông tin chi tiết về lưu lượng mạng.
DPI vượt xa phân tích tiêu đề đơn giản và cung cấp hiểu biết sâu sắc về dữ liệu chảy qua mạng. Nó cho phép kiểm tra chuyên sâu các giao thức lớp ứng dụng, chẳng hạn như HTTP, FTP, SMTP, VoIP hoặc giao thức phát trực tuyến video. Bằng cách kiểm tra nội dung thực tế trong các gói, DPI có thể phát hiện và xác định các ứng dụng, giao thức hoặc thậm chí các mẫu dữ liệu cụ thể.
Ngoài phân tích phân cấp địa chỉ nguồn, địa chỉ đích, cổng nguồn, cổng đích và loại giao thức, DPI còn bổ sung phân tích lớp ứng dụng để xác định các ứng dụng khác nhau và nội dung của chúng. Khi gói 1P, dữ liệu TCP hoặc UDP chảy qua hệ thống quản lý băng thông dựa trên công nghệ DPI, hệ thống sẽ đọc nội dung của tải gói 1P để sắp xếp lại thông tin lớp ứng dụng trong giao thức OSI Layer 7, để có được nội dung của toàn bộ chương trình ứng dụng, sau đó định hình lưu lượng theo chính sách quản lý do hệ thống xác định.
DPI hoạt động như thế nào?
Tường lửa truyền thống thường thiếu sức mạnh xử lý để thực hiện kiểm tra toàn diện theo thời gian thực đối với khối lượng lưu lượng lớn. Khi công nghệ tiến bộ, DPI có thể được sử dụng để thực hiện các kiểm tra phức tạp hơn để kiểm tra tiêu đề và dữ liệu. Thông thường, tường lửa có hệ thống phát hiện xâm nhập thường sử dụng DPI. Trong một thế giới mà thông tin kỹ thuật số là tối quan trọng, mọi thông tin kỹ thuật số đều được phân phối qua Internet theo các gói nhỏ. Điều này bao gồm email, tin nhắn được gửi qua ứng dụng, các trang web đã truy cập, các cuộc trò chuyện video, v.v. Ngoài dữ liệu thực tế, các gói này bao gồm siêu dữ liệu xác định nguồn lưu lượng, nội dung, đích và các thông tin quan trọng khác. Với công nghệ lọc gói, dữ liệu có thể được giám sát và quản lý liên tục để đảm bảo dữ liệu được chuyển tiếp đến đúng nơi. Nhưng để đảm bảo an ninh mạng, lọc gói truyền thống là không đủ. Một số phương pháp chính để kiểm tra gói sâu trong quản lý mạng được liệt kê dưới đây:
Chế độ khớp/Chữ ký
Mỗi gói tin được kiểm tra để khớp với cơ sở dữ liệu về các cuộc tấn công mạng đã biết bằng tường lửa có khả năng phát hiện xâm nhập (IDS). IDS tìm kiếm các mẫu cụ thể độc hại đã biết và vô hiệu hóa lưu lượng khi tìm thấy các mẫu độc hại. Nhược điểm của chính sách khớp chữ ký là nó chỉ áp dụng cho các chữ ký được cập nhật thường xuyên. Ngoài ra, công nghệ này chỉ có thể bảo vệ chống lại các mối đe dọa hoặc cuộc tấn công đã biết.
Ngoại lệ giao thức
Vì kỹ thuật ngoại lệ giao thức không chỉ đơn giản cho phép tất cả dữ liệu không khớp với cơ sở dữ liệu chữ ký, nên kỹ thuật ngoại lệ giao thức được tường lửa IDS sử dụng không có những sai sót cố hữu của phương pháp khớp mẫu/chữ ký. Thay vào đó, nó áp dụng chính sách từ chối mặc định. Theo định nghĩa giao thức, tường lửa quyết định lưu lượng nào sẽ được phép và bảo vệ mạng khỏi các mối đe dọa chưa biết.
Hệ thống phòng chống xâm nhập (IPS)
Các giải pháp IPS có thể chặn việc truyền các gói tin có hại dựa trên nội dung của chúng, do đó ngăn chặn các cuộc tấn công bị nghi ngờ theo thời gian thực. Điều này có nghĩa là nếu một gói tin đại diện cho một rủi ro bảo mật đã biết, IPS sẽ chủ động chặn lưu lượng mạng dựa trên một bộ quy tắc được xác định. Một nhược điểm của IPS là cần phải thường xuyên cập nhật cơ sở dữ liệu về mối đe dọa mạng với các chi tiết về các mối đe dọa mới và khả năng xảy ra kết quả dương tính giả. Nhưng mối nguy hiểm này có thể được giảm thiểu bằng cách tạo các chính sách bảo thủ và ngưỡng tùy chỉnh, thiết lập hành vi cơ sở phù hợp cho các thành phần mạng và định kỳ đánh giá các cảnh báo và sự kiện được báo cáo để tăng cường giám sát và cảnh báo.
1- DPI (Kiểm tra gói sâu) trong Network Packet Broker
"Sâu" là mức độ và phân tích gói tin thông thường so sánh, "kiểm tra gói tin thông thường" chỉ phân tích sau đây của gói tin IP lớp 4, bao gồm địa chỉ nguồn, địa chỉ đích, cổng nguồn, cổng đích và loại giao thức, và DPI ngoại trừ phân tích phân cấp, cũng tăng cường phân tích lớp ứng dụng, xác định các ứng dụng và nội dung khác nhau, để nhận ra các chức năng chính:
1) Phân tích ứng dụng -- phân tích thành phần lưu lượng mạng, phân tích hiệu suất và phân tích luồng
2) Phân tích người dùng -- phân biệt nhóm người dùng, phân tích hành vi, phân tích thiết bị đầu cuối, phân tích xu hướng, v.v.
3) Phân tích phần tử mạng -- phân tích dựa trên các thuộc tính khu vực (thành phố, quận, đường phố, v.v.) và tải trạm gốc
4) Kiểm soát lưu lượng -- Giới hạn tốc độ P2P, đảm bảo QoS, đảm bảo băng thông, tối ưu hóa tài nguyên mạng, v.v.
5) Đảm bảo an ninh -- Tấn công DDoS, bão phát sóng dữ liệu, ngăn chặn các cuộc tấn công của virus độc hại, v.v.
2- Phân loại chung các ứng dụng mạng
Ngày nay có vô số ứng dụng trên Internet, nhưng các ứng dụng web phổ biến có thể rất đầy đủ.
Theo tôi biết, công ty nhận dạng ứng dụng tốt nhất là Huawei, công ty này tuyên bố nhận dạng được 4.000 ứng dụng. Phân tích giao thức là mô-đun cơ bản của nhiều công ty tường lửa (Huawei, ZTE, v.v.) và đây cũng là một mô-đun rất quan trọng, hỗ trợ thực hiện các mô-đun chức năng khác, nhận dạng ứng dụng chính xác và cải thiện đáng kể hiệu suất và độ tin cậy của sản phẩm. Trong mô hình nhận dạng phần mềm độc hại dựa trên đặc điểm lưu lượng mạng, như tôi đang làm hiện nay, việc nhận dạng giao thức chính xác và toàn diện cũng rất quan trọng. Loại trừ lưu lượng mạng của các ứng dụng phổ biến khỏi lưu lượng xuất của công ty, lưu lượng còn lại sẽ chiếm một tỷ lệ nhỏ, tốt hơn cho việc phân tích và báo động phần mềm độc hại.
Dựa trên kinh nghiệm của tôi, các ứng dụng phổ biến hiện nay được phân loại theo chức năng của chúng:
PS: Theo hiểu biết cá nhân về phân loại ứng dụng, bạn có bất kỳ đề xuất tốt nào, vui lòng để lại tin nhắn đề xuất
1). Thư điện tử
2). Video
3) Trò chơi
4). Lớp OA văn phòng
5). Cập nhật phần mềm
6). Tài chính (ngân hàng, Alipay)
7) Cổ phiếu
8). Giao tiếp xã hội (phần mềm IM)
9). Duyệt web (có thể được xác định tốt hơn bằng URL)
10). Tải xuống các công cụ (web disk, tải xuống P2P, liên quan đến BT)
Vậy thì DPI (Kiểm tra gói sâu) hoạt động như thế nào trong NPB:
1). Bắt gói tin: NPB bắt lưu lượng mạng từ nhiều nguồn khác nhau, chẳng hạn như bộ chuyển mạch, bộ định tuyến hoặc vòi. Nó nhận các gói tin chảy qua mạng.
2). Phân tích gói tin: Các gói tin đã thu thập được sẽ được NPB phân tích để trích xuất nhiều lớp giao thức và dữ liệu liên quan. Quá trình phân tích này giúp xác định các thành phần khác nhau trong các gói tin, chẳng hạn như tiêu đề Ethernet, tiêu đề IP, tiêu đề lớp vận chuyển (ví dụ: TCP hoặc UDP) và giao thức lớp ứng dụng.
3). Phân tích tải trọng: Với DPI, NPB không chỉ kiểm tra tiêu đề mà còn tập trung vào tải trọng, bao gồm dữ liệu thực tế trong các gói. Nó kiểm tra nội dung tải trọng một cách chuyên sâu, bất kể ứng dụng hoặc giao thức nào được sử dụng, để trích xuất thông tin có liên quan.
4). Nhận dạng giao thức: DPI cho phép NPB nhận dạng các giao thức và ứng dụng cụ thể đang được sử dụng trong lưu lượng mạng. Nó có thể phát hiện và phân loại các giao thức như HTTP, FTP, SMTP, DNS, VoIP hoặc giao thức phát trực tuyến video.
5). Kiểm tra nội dung: DPI cho phép NPB kiểm tra nội dung của các gói tin để tìm các mẫu, chữ ký hoặc từ khóa cụ thể. Điều này cho phép phát hiện các mối đe dọa mạng, chẳng hạn như phần mềm độc hại, vi-rút, nỗ lực xâm nhập hoặc các hoạt động đáng ngờ. DPI cũng có thể được sử dụng để lọc nội dung, thực thi chính sách mạng hoặc xác định các vi phạm tuân thủ dữ liệu.
6). Trích xuất siêu dữ liệu: Trong DPI, NPB trích xuất siêu dữ liệu có liên quan từ các gói tin. Điều này có thể bao gồm thông tin như địa chỉ IP nguồn và đích, số cổng, chi tiết phiên, dữ liệu giao dịch hoặc bất kỳ thuộc tính có liên quan nào khác.
7). Định tuyến hoặc lọc lưu lượng: Dựa trên phân tích DPI, NPB có thể định tuyến các gói tin cụ thể đến các đích được chỉ định để xử lý thêm, chẳng hạn như thiết bị bảo mật, công cụ giám sát hoặc nền tảng phân tích. Nó cũng có thể áp dụng các quy tắc lọc để loại bỏ hoặc chuyển hướng các gói tin dựa trên nội dung hoặc mẫu đã xác định.
Thời gian đăng: 25-06-2023
