Тармак пакетинин брокеринин тиркемесин аныктоо DPI негизинде – Deep Packet Inspection

Deep Packet Inspection (DPI)Тармак пакеттеринин брокерлеринде (NPBs) тармак пакеттеринин мазмунун майдаланган деңгээлде текшерүү жана талдоо үчүн колдонулган технология. Бул тармак трафиги боюнча деталдуу түшүнүк алуу үчүн пакеттердин ичиндеги пайдалуу жүктү, аталыштарды жана башка протоколго тиешелүү маалыматты текшерүүнү камтыйт.

DPI жөнөкөй баш талдоодон тышкары жана тармак аркылуу агып жаткан маалыматтарды терең түшүнүүнү камсыз кылат. Бул HTTP, FTP, SMTP, VoIP же видео агым протоколдору сыяктуу тиркеме катмарынын протоколдорун тереңдетилген текшерүүгө мүмкүндүк берет. Пакеттердин ичиндеги иш жүзүндөгү мазмунду изилдөө менен, DPI конкреттүү тиркемелерди, протоколдорду, атүгүл белгилүү бир маалымат үлгүлөрүн таап, аныктай алат.

Булак даректерин, көздөгөн даректерин, булак портторун, көздөгөн портторун жана протокол түрлөрүн иерархиялык талдоодон тышкары, DPI ар кандай тиркемелерди жана алардын мазмунун аныктоо үчүн тиркеме катмарынын анализин кошот. 1P пакети, TCP же UDP маалыматтары DPI технологиясына негизделген өткөрүү жөндөмдүүлүгүн башкаруу тутуму аркылуу агып өткөндө, система OSI Layer 7 протоколундагы тиркеме катмарынын маалыматын кайра уюштуруу үчүн 1P пакет жүктөмүнүн мазмунун окуйт. толугу менен колдонмо программасы, андан кийин система тарабынан аныкталган башкаруу саясатына ылайык трафикти калыптандыруу.

DPI кантип иштейт?

Салттуу брандмауэрлер көбүнчө трафиктин чоң көлөмүн реалдуу убакыт режиминде кылдат текшерүү үчүн иштетүүчү кубаттуулукка ээ эмес. Технология өнүккөн сайын, DPI темаларды жана маалыматтарды текшерүү үчүн татаал текшерүүлөрдү жүргүзүү үчүн колдонулушу мүмкүн. Адатта, интрузияны аныктоо системалары бар брандмауэрлер көбүнчө DPI колдонушат. Санариптик маалымат Paramount болгон дүйнөдө ар бир санариптик маалымат кичинекей пакеттерде Интернет аркылуу жеткирилет. Буга электрондук почта, колдонмо аркылуу жөнөтүлгөн билдирүүлөр, кирген веб-сайттар, видео сүйлөшүүлөр жана башкалар кирет. Иш жүзүндөгү маалыматтардан тышкары, бул пакеттер трафик булагын, мазмунун, көздөгөн жерин жана башка маанилүү маалыматты аныктаган метаберилиштерди камтыйт. Пакетти чыпкалоо технологиясы менен маалыматтарды тынымсыз көзөмөлдөп, туура жерге жөнөтүү үчүн башкарса болот. Бирок тармактын коопсуздугун камсыз кылуу үчүн салттуу пакет чыпкалоо жетиштүү эмес. Тармакты башкарууда пакеттерди терең текшерүүнүн негизги ыкмаларынын айрымдары төмөндө келтирилген:

Дал келүү режими/Кол коюу

Ар бир пакет интрузияларды аныктоо тутумунун (IDS) мүмкүнчүлүктөрү бар брандмауэр тарабынан белгилүү тармактык чабуулдардын маалымат базасына дал келүүсү текшерилет. IDS белгилүү зыяндуу үлгүлөрдү издейт жана зыяндуу үлгүлөр табылганда трафикти өчүрөт. Кол коюунун дал келүү саясатынын кемчилиги - ал тез-тез жаңыланып турган кол тамгаларга гана тиешелүү. Мындан тышкары, бул технология белгилүү коркунучтардан же кол салуулардан гана коргой алат.

DPI

Протоколдун өзгөчөлүгү

Протоколдук өзгөчөлүк техникасы кол тамгалар базасына дал келбеген бардык маалыматтарга жөн эле жол бербегендиктен, IDS брандмауэри тарабынан колдонулган протоколдон тышкаркы ыкмада үлгү/кол тамганы дал келүү ыкмасынын мүнөздүү кемчиликтери жок. Анын ордуна, демейки четке кагуу саясатын кабыл алат. Протоколдун аныктамасы боюнча, брандмауэрлер кандай трафикке уруксат берилиши керектигин чечет жана тармакты белгисиз коркунучтардан коргойт.

Кирүүнү алдын алуу системасы (IPS)

IPS чечимдери алардын мазмунуна жараша зыяндуу пакеттерди берүүнү бөгөттөп, ошону менен реалдуу убакытта шектүү чабуулдарды токтото алат. Бул эгер пакет белгилүү коопсуздук коркунучун билдирсе, IPS эрежелердин аныкталган жыйындысынын негизинде тармактык трафикти активдүү түрдө бөгөттөйт дегенди билдирет. IPSтин бир кемчилиги - жаңы коркунучтар жана жалган позитивдердин ыктымалдыгы менен киберкоркунучтар боюнча маалымат базасын такай жаңыртып туруу зарылчылыгы. Бирок бул коркунучту консервативдик саясаттарды жана ыңгайлаштырылган босоголорду түзүү, тармак компоненттери үчүн тийиштүү базалык жүрүм-турумду түзүү жана мониторингди жана эскертүүнү жакшыртуу үчүн мезгил-мезгили менен эскертүүлөрдү жана кабарланган окуяларды баалоо менен азайтса болот.

1- Тармак пакеттер брокериндеги DPI (Deep Packet Inspection).

"Терең" деңгээлди жана кадимки пакеттик анализди салыштыруу, "жөнөкөй пакеттик текшерүү" IP-пакет 4 катмарынын төмөнкү анализи, анын ичинде булак дареги, көздөгөн дареги, булак порту, көздөлүүчү порт жана протоколдун түрү, жана иерархиялык эмес DPI. талдоо, ошондой эле колдонмо катмарын талдоо көбөйдү, негизги функцияларды ишке ашыруу үчүн ар кандай колдонмолорду жана мазмунду аныктоо:

1) Колдонмолорду талдоо -- тармак трафигинин курамын талдоо, аткарууну талдоо жана агымды талдоо

2) Колдонуучулардын анализи -- колдонуучулардын тобун дифференциациялоо, жүрүм-турумун талдоо, терминалдык анализ, трендди талдоо ж.б.

3) Тармактын элементтерин талдоо -- аймактык атрибуттарга (шаар, район, көчө ж.б.) жана базалык станциянын жүгүнө негизделген талдоо

4) Traffic Control -- P2P ылдамдыгын чектөө, QoS кепилдиги, өткөрүү жөндөмдүүлүгүн камсыздоо, тармак ресурстарын оптималдаштыруу ж.б.

5) Коопсуздук кепилдиги -- DDoS чабуулдары, маалыматтарды таратуу бороону, зыяндуу вирустук чабуулдардын алдын алуу ж.б.

2- Тармактык колдонмолордун жалпы классификациясы

Бүгүнкү күндө Интернетте сансыз тиркемелер бар, бирок жалпы веб-тиркемелер толук болушу мүмкүн.

Менин билишимче, колдонмону таануу боюнча эң мыкты компания бул Huawei, ал 4000 тиркемени тааныйт деп ырастайт. Протоколдук талдоо көптөгөн брандмауэр компаниялардын (Huawei, ZTE ж.б.) негизги модулу болуп саналат, ошондой эле башка функционалдык модулдарды ишке ашырууну, тиркемени так аныктоону колдоочу жана өнүмдөрдүн иштешин жана ишенимдүүлүгүн бир топ жакшыртуучу абдан маанилүү модуль. Тармак трафигинин өзгөчөлүктөрүнө негизделген кесепеттүү программаны идентификациялоону моделдөөдө, мен азыр жасап жатканымдай, так жана кеңири протоколду аныктоо да абдан маанилүү. Компаниянын экспорттук трафигинен жалпы тиркемелердин тармактык трафигин кошпогондо, калган трафик азыраак үлүшүн түзөт, бул зыяндуу программаларды талдоо жана сигнализация үчүн жакшыраак.

Менин тажрыйбамдын негизинде, учурдагы кеңири колдонулган колдонмолор функцияларына жараша классификацияланган:

PS: Колдонмонун классификациясын жеке түшүнүүгө ылайык, сизде жакшы сунуштар бар, билдирүү сунушун калтырууга кош келиңиз

1). E-mail

2). Video

3). Оюндар

4). Office OA классы

5). Программалык камсыздоону жаңыртуу

6). Каржылык (банк, Alipay)

7). Акциялар

8). Коомдук байланыш (IM программалык камсыздоо)

9). Интернетте серептөө (URL даректери менен жакшыраак аныкталат)

10). Жүктөө куралдары (веб диск, P2P жүктөө, BT байланыштуу)

20191210153150_32811

Андан кийин, DPI (Deep Packet Inspection) NPBде кантип иштейт:

1). Пакетти басып алуу: NPB ар кандай булактардан, мисалы, өчүргүчтөр, роутер же кран сыяктуу тармак трафигин тартып алат. Ал тармак аркылуу агып жаткан пакеттерди кабыл алат.

2). Пакет талдоо: басып алынган пакеттер ар кандай протокол катмарларын жана тиешелүү маалыматтарды алуу үчүн NPB тарабынан талданат. Бул талдоо процесси Ethernet аталыштары, IP аталыштары, транспорт катмарынын аталыштары (мисалы, TCP же UDP) жана колдонмо катмарынын протоколдору сыяктуу пакеттердин ичиндеги ар кандай компоненттерди аныктоого жардам берет.

3). Пайдалуу жүктөмдү талдоо: DPI менен NPB башты текшерүүнүн чегинен чыгып, пайдалуу жүккө, анын ичинде пакеттердин ичиндеги чыныгы маалыматтардын көңүлүн бурат. Тиешелүү маалыматты алуу үчүн колдонулган колдонмого же протоколго карабастан, пайдалуу жүктүн мазмунун терең изилдейт.

4). Протоколду идентификациялоо: DPI NPBге тармак трафигинде колдонулуп жаткан конкреттүү протоколдорду жана тиркемелерди аныктоого мүмкүндүк берет. Ал HTTP, FTP, SMTP, DNS, VoIP же видео агым протоколдору сыяктуу протоколдорду таап, классификациялай алат.

5). Мазмунду текшерүү: DPI NPBге пакеттердин мазмунун белгилүү үлгүлөр, кол тамгалар же ачкыч сөздөр үчүн текшерүүгө мүмкүндүк берет. Бул кесепеттүү программа, вирустар, интрузия аракеттери же шектүү аракеттер сыяктуу тармактык коркунучтарды аныктоого мүмкүндүк берет. DPI ошондой эле мазмунду чыпкалоо, тармактык саясаттарды ишке ашыруу же маалыматтардын шайкештигин бузууларды аныктоо үчүн колдонулушу мүмкүн.

6). Метаберилиштерди чыгаруу: DPI учурунда, NPB пакеттерден тиешелүү метаберилиштерди чыгарат. Бул булак жана көздөгөн IP даректери, порт номерлери, сессиянын чоо-жайы, транзакция маалыматтары же башка тиешелүү атрибуттар сыяктуу маалыматты камтышы мүмкүн.

7). Трафикти багыттоо же чыпкалоо: DPI анализинин негизинде, NPB коопсуздук шаймандары, мониторинг куралдары же аналитика платформалары сыяктуу андан ары кайра иштетүү үчүн атайын пакеттерди белгиленген жерлерге багыттай алат. Ал ошондой эле аныкталган мазмундун же үлгүлөрдүн негизинде пакеттерди жокко чыгаруу же багыттоо үчүн чыпкалоо эрежелерин колдоно алат.

ML-NPB-5660 3d


Посттун убактысы: 25-июнь-2023