Терең пакеттик текшерүү (DPI)– бул тармактык пакеттердин мазмунун майда-чүйдөсүнө чейин текшерүү жана талдоо үчүн тармактык пакет брокерлеринде (NPB) колдонулган технология. Ал тармактык трафик жөнүндө толук маалымат алуу үчүн пакеттердин ичиндеги пайдалуу жүктөмдү, аталыштарды жана башка протоколго тиешелүү маалыматты изилдөөнү камтыйт.
DPI жөнөкөй аталыштарды талдоодон тышкары, тармак аркылуу агып жаткан маалыматтарды терең түшүнүүгө мүмкүндүк берет. Ал HTTP, FTP, SMTP, VoIP же видео агым протоколдору сыяктуу тиркеме катмарынын протоколдорун терең текшерүүгө мүмкүндүк берет. Пакеттердин ичиндеги чыныгы мазмунду карап чыгуу менен, DPI белгилүү бир тиркемелерди, протоколдорду же ал тургай белгилүү бир маалымат үлгүлөрүн аныктай жана аныктай алат.
Булак даректеринин, көздөгөн даректеринин, булак портторунун, көздөгөн портторунун жана протокол түрлөрүнүн иерархиялык анализинен тышкары, DPI ар кандай тиркемелерди жана алардын мазмунун аныктоо үчүн тиркеме катмарынын анализин да кошот. 1P пакети, TCP же UDP маалыматтары DPI технологиясына негизделген өткөрүү жөндөмдүүлүгүн башкаруу системасы аркылуу агып өткөндө, система OSI 7-катмар протоколундагы тиркеме катмарынын маалыматын кайра уюштуруу үчүн 1P пакет жүктөмүнүн мазмунун окуп, бүтүндөй тиркеме программасынын мазмунун алат жана андан кийин система тарабынан аныкталган башкаруу саясатына ылайык трафикти түзөт.
DPI кантип иштейт?
Салттуу брандмауэрлер көп учурда чоң көлөмдөгү трафикти реалдуу убакыт режиминде кылдат текшерүүлөрдү жүргүзүү үчүн иштетүү күчүн жоготушат. Технология өнүккөн сайын, DPI аталыштарды жана маалыматтарды текшерүү үчүн татаалыраак текшерүүлөрдү жүргүзүү үчүн колдонулушу мүмкүн. Адатта, басып кирүүнү аныктоо системалары бар брандмауэрлер көп учурда DPI колдонушат. Санариптик маалымат эң маанилүү болгон дүйнөдө ар бир санариптик маалымат Интернет аркылуу кичинекей пакеттерде жеткирилет. Буга электрондук почта, колдонмо аркылуу жөнөтүлгөн билдирүүлөр, кирген веб-сайттар, видео сүйлөшүүлөр жана башкалар кирет. Чыныгы маалыматтардан тышкары, бул пакеттерге трафик булагын, мазмунун, көздөгөн жерин жана башка маанилүү маалыматты аныктоочу метадайындар кирет. Пакеттерди чыпкалоо технологиясы менен маалыматтарды туура жерге жөнөтүү үчүн үзгүлтүксүз көзөмөлдөп жана башкарууга болот. Бирок тармактын коопсуздугун камсыз кылуу үчүн салттуу пакеттерди чыпкалоо жетиштүү эмес. Тармакты башкарууда терең пакеттерди текшерүүнүн негизги ыкмаларынын айрымдары төмөндө келтирилген:
Дал келтирүү режими/кол тамга
Ар бир пакет белгилүү тармактык чабуулдардын маалымат базасына дал келүүсү үчүн басып кирүүнү аныктоо системасы (IDS) мүмкүнчүлүктөрү бар брандмауэр тарабынан текшерилет. IDS белгилүү зыяндуу белгилүү үлгүлөрдү издейт жана зыяндуу үлгүлөр табылганда трафикти өчүрөт. Кол тамганы дал келтирүү саясатынын кемчилиги - ал тез-тез жаңыланып турган кол тамгаларга гана тиешелүү. Мындан тышкары, бул технология белгилүү коркунучтардан же чабуулдардан гана коргой алат.
Протоколдун өзгөчөлүгү
Протоколдук өзгөчө учур ыкмасы кол тамга базасына дал келбеген бардык маалыматтарга жөн гана жол бербегендиктен, IDS брандмауэри тарабынан колдонулган протоколдук өзгөчө учур ыкмасы үлгү/кол тамга дал келтирүү ыкмасынын кемчиликтерине ээ эмес. Анын ордуна, ал демейки баш тартуу саясатын кабыл алат. Протоколдун аныктамасы боюнча, брандмауэрлер кандай трафикке уруксат берилиши керектигин чечет жана тармакты белгисиз коркунучтардан коргойт.
Кирип кирүүнүн алдын алуу системасы (IPS)
IPS чечимдери зыяндуу пакеттердин мазмунуна жараша берилишин бөгөттөп, ошону менен шектүү чабуулдарды реалдуу убакытта токтото алат. Бул пакет белгилүү коопсуздук коркунучун жаратса, IPS аныкталган эрежелердин жыйындысына негизделип тармактык трафикти алдын ала бөгөттөй турганын билдирет. IPSтин бир кемчилиги - кибер коркунучтар базасын жаңы коркунучтар жана жалган оң натыйжалардын болушу мүмкүндүгү жөнүндө маалыматтар менен үзгүлтүксүз жаңыртып туруу зарылдыгы. Бирок бул коркунучту консервативдик саясаттарды жана ыңгайлаштырылган босоголорду түзүү, тармак компоненттери үчүн тиешелүү баштапкы жүрүм-турумду белгилөө жана мониторингди жана эскертүүнү күчөтүү үчүн эскертүүлөрдү жана кабарланган окуяларды мезгил-мезгили менен баалоо аркылуу азайтууга болот.
1- Тармактык пакет брокериндеги DPI (терең пакет текшерүүсү)
"Терең" деңгээл жана кадимки пакеттик анализди салыштыруу, "кадимки пакеттик текшерүү" булак дарегин, көздөгөн дарегин, булак портун, көздөгөн портту жана протокол түрүн камтыган IP пакетинин 4-кабатынын төмөнкү анализин гана камтыйт жана иерархиялык анализден тышкары DPI, ошондой эле тиркеме катмарынын анализин күчөтүп, ар кандай тиркемелерди жана мазмунду аныктап, негизги функцияларды ишке ашырат:
1) Колдонмолорду талдоо -- тармактык трафиктин курамын талдоо, иштин натыйжалуулугун талдоо жана агымдарды талдоо
2) Колдонуучуларды талдоо -- колдонуучулар тобун дифференциациялоо, жүрүм-турумду талдоо, терминалдык талдоо, тренддерди талдоо ж.б.
3) Тармак элементтерин талдоо -- аймактык атрибуттарга (шаар, район, көчө ж.б.) жана базалык станциянын жүктөмүнө негизделген талдоо
4) Трафикти башкаруу -- P2P ылдамдыгын чектөө, QoS кепилдиги, өткөрүү жөндөмдүүлүгүн кепилдөө, тармак ресурстарын оптималдаштыруу ж.б.
5) Коопсуздукту камсыз кылуу -- DDoS чабуулдары, маалыматтарды жайылтуунун бороону, зыяндуу вирустук чабуулдардын алдын алуу ж.б.
2- Тармактык тиркемелердин жалпы классификациясы
Бүгүнкү күндө Интернетте сансыз тиркемелер бар, бирок кеңири таралган веб тиркемелер толук кандуу болушу мүмкүн.
Менин билишимче, эң мыкты тиркемелерди таануу компаниясы - Huawei, ал 4000 тиркемени тааный турганын ырастайт. Протоколду талдоо көптөгөн брандмауэр компанияларынын (Huawei, ZTE ж.б.) негизги модулу болуп саналат жана ал ошондой эле башка функционалдык модулдарды ишке ашырууну, тиркемелерди так аныктоону жана продукциялардын иштешин жана ишенимдүүлүгүн бир топ жакшыртуучу абдан маанилүү модуль болуп саналат. Азыр жасап жатканымдай, тармактык трафиктин мүнөздөмөлөрүнө негизделген зыяндуу программаларды аныктоону моделдөөдө протоколду так жана кеңири аныктоо да абдан маанилүү. Компаниянын экспорттук трафигинен кеңири таралган тиркемелердин тармактык трафигин алып салсак, калган трафик аз гана үлүштү түзөт, бул зыяндуу программаларды талдоо жана сигнал берүү үчүн жакшыраак.
Менин тажрыйбама таянып, кеңири колдонулган тиркемелер функцияларына жараша төмөнкүдөй классификацияланат:
PS: Колдонмонун классификациясын жеке түшүнүгүңүзгө ылайык, сизде кандайдыр бир жакшы сунуштар болсо, билдирүү калтырсаңыз болот
1). Электрондук почта
2). Видео
3). Оюндар
4). Office OA классы
5). Программалык камсыздоону жаңыртуу
6). Финансылык (банк, Alipay)
7). Акциялар
8). Социалдык коммуникация (IM программасы)
9). Веб-баракчаларды карап чыгуу (URL даректери менен жакшыраак аныкталса керек)
10). Жүктөө куралдары (веб-диск, P2P жүктөө, BT байланыштуу)
Андан кийин, DPI (терең пакеттик текшерүү) NPBде кантип иштейт:
1). Пакеттерди кармоо: NPB тармактык трафикти ар кандай булактардан, мисалы, коммутаторлордон, роутерлерден же крандардан кармап алат. Ал тармак аркылуу агып жаткан пакеттерди кабыл алат.
2). Пакеттерди талдоо: Кармалган пакеттер ар кандай протокол катмарларын жана ага байланыштуу маалыматтарды алуу үчүн NPB тарабынан талданат. Бул талдоо процесси пакеттердин ичиндеги ар кандай компоненттерди, мисалы, Ethernet баштыктарын, IP баштыктарын, транспорттук катмардын баштыктарын (мисалы, TCP же UDP) жана тиркеме катмарынын протоколдорун аныктоого жардам берет.
3). Пайдалуу жүктү талдоо: DPI менен NPB баш текшерүүдөн тышкары, пакеттердин ичиндеги чыныгы маалыматтарды кошо алганда, пайдалуу жүккө көңүл бурат. Ал тиешелүү маалыматты алуу үчүн колдонулган тиркемеге же протоколго карабастан, пайдалуу жүктүн мазмунун терең изилдейт.
4). Протоколду идентификациялоо: DPI NPBге тармактык трафикте колдонулуп жаткан белгилүү бир протоколдорду жана тиркемелерди аныктоого мүмкүндүк берет. Ал HTTP, FTP, SMTP, DNS, VoIP же видео агым протоколдору сыяктуу протоколдорду аныктап жана классификациялай алат.
5). Мазмунду текшерүү: DPI NPBге пакеттердин мазмунун белгилүү бир үлгүлөргө, кол тамгаларга же ачкыч сөздөргө текшерүүгө мүмкүндүк берет. Бул зыяндуу программалар, вирустар, басып кирүү аракеттери же шектүү иш-аракеттер сыяктуу тармактык коркунучтарды аныктоого мүмкүндүк берет. DPI ошондой эле мазмунду чыпкалоо, тармактык саясатты ишке ашыруу же маалыматтардын шайкештигин бузууларды аныктоо үчүн колдонулушу мүмкүн.
6). Метадайындарды алуу: DPI учурунда NPB пакеттерден тиешелүү метадайындарды алат. Буга булак жана көздөгөн IP даректери, порт номерлери, сессиянын чоо-жайы, транзакциянын маалыматтары же башка тиешелүү атрибуттар сыяктуу маалыматтар кириши мүмкүн.
7). Трафикти багыттоо же чыпкалоо: DPI анализинин негизинде, NPB коопсуздук шаймандары, мониторинг куралдары же аналитика платформалары сыяктуу андан ары иштетүү үчүн белгилүү бир пакеттерди белгиленген жерлерге багыттай алат. Ошондой эле, аныкталган мазмунга же үлгүлөргө негизделген пакеттерди жок кылуу же кайра багыттоо үчүн чыпкалоо эрежелерин колдоно алат.
Жарыяланган убактысы: 2023-жылдын 25-июну
