Tiefe Paketinspektion (DPI)ist eine Technologie, die in Network Packet Brokern (NPBs) eingesetzt wird, um den Inhalt von Netzwerkpaketen auf granularer Ebene zu prüfen und zu analysieren. Dabei werden Nutzdaten, Header und andere protokollspezifische Informationen in Paketen untersucht, um detaillierte Einblicke in den Netzwerkverkehr zu erhalten.
DPI geht über die einfache Header-Analyse hinaus und bietet ein tiefes Verständnis der durch ein Netzwerk fließenden Daten. Es ermöglicht eine detaillierte Überprüfung der Protokolle der Anwendungsschicht, wie z. B. HTTP, FTP, SMTP, VoIP oder Video-Streaming-Protokolle. Durch die Untersuchung des tatsächlichen Paketinhalts kann DPI bestimmte Anwendungen, Protokolle oder sogar bestimmte Datenmuster erkennen und identifizieren.
Neben der hierarchischen Analyse von Quelladressen, Zieladressen, Quellports, Zielports und Protokolltypen bietet DPI auch eine Anwendungsschichtanalyse zur Identifizierung verschiedener Anwendungen und deren Inhalte. Wenn 1P-Pakete, TCP- oder UDP-Daten das auf DPI-Technologie basierende Bandbreitenmanagementsystem durchlaufen, liest das System den Inhalt der 1P-Paketlast, um die Anwendungsschichtinformationen im OSI-Layer-7-Protokoll neu zu organisieren. So erhält man den Inhalt des gesamten Anwendungsprogramms und gestaltet den Datenverkehr anschließend gemäß der vom System definierten Verwaltungsrichtlinie.
Wie funktioniert DPI?
Herkömmlichen Firewalls fehlt oft die Rechenleistung, um umfassende Echtzeitprüfungen großer Datenmengen durchzuführen. Mit fortschreitender Technologie ermöglicht DPI komplexere Prüfungen von Headern und Daten. Firewalls mit Intrusion Detection Systems verwenden häufig DPI. In einer Welt, in der digitale Informationen von größter Bedeutung sind, werden alle digitalen Informationen in kleinen Paketen über das Internet übermittelt. Dazu gehören E-Mails, über Apps gesendete Nachrichten, besuchte Websites, Videogespräche und mehr. Neben den eigentlichen Daten enthalten diese Pakete Metadaten, die Quelle, Inhalt, Ziel und andere wichtige Informationen identifizieren. Mithilfe von Paketfiltertechnologie können Daten kontinuierlich überwacht und verwaltet werden, um sicherzustellen, dass sie an die richtige Stelle weitergeleitet werden. Um die Netzwerksicherheit zu gewährleisten, reicht herkömmliche Paketfilterung jedoch bei weitem nicht aus. Im Folgenden sind einige der wichtigsten Methoden der Deep Packet Inspection im Netzwerkmanagement aufgeführt:
Abgleichmodus/Signatur
Jedes Paket wird von einer Firewall mit Intrusion Detection System (IDS)-Funktionen auf Übereinstimmung mit einer Datenbank bekannter Netzwerkangriffe geprüft. IDS sucht nach bekannten schädlichen Mustern und deaktiviert den Datenverkehr, wenn schädliche Muster gefunden werden. Der Nachteil der Signaturvergleichsrichtlinie besteht darin, dass sie nur für Signaturen gilt, die häufig aktualisiert werden. Darüber hinaus kann diese Technologie nur gegen bekannte Bedrohungen oder Angriffe schützen.
Protokollausnahme
Da die Protokollausnahmetechnik nicht einfach alle Daten zulässt, die nicht mit der Signaturdatenbank übereinstimmen, weist die von der IDS-Firewall verwendete Protokollausnahmetechnik nicht die inhärenten Mängel der Muster-/Signaturvergleichsmethode auf. Stattdessen übernimmt sie die Standard-Ablehnungsrichtlinie. Per Protokolldefinition entscheiden Firewalls, welcher Datenverkehr zugelassen wird, und schützen das Netzwerk vor unbekannten Bedrohungen.
Intrusion Prevention System (IPS)
IPS-Lösungen können die Übertragung schädlicher Pakete anhand ihres Inhalts blockieren und so mutmaßliche Angriffe in Echtzeit stoppen. Stellt ein Paket ein bekanntes Sicherheitsrisiko dar, blockiert IPS den Netzwerkverkehr proaktiv anhand definierter Regeln. Ein Nachteil von IPS ist die Notwendigkeit, die Cyber-Bedrohungsdatenbank regelmäßig mit Informationen über neue Bedrohungen zu aktualisieren und die Möglichkeit von Fehlalarmen. Diese Gefahr lässt sich jedoch durch konservative Richtlinien und benutzerdefinierte Schwellenwerte, die Festlegung eines geeigneten Basisverhaltens für Netzwerkkomponenten sowie die regelmäßige Auswertung von Warnungen und gemeldeten Ereignissen zur Verbesserung der Überwachung und Alarmierung mindern.
1- Die DPI (Deep Packet Inspection) im Network Packet Broker
Bei der „tiefen“ Analyse handelt es sich um einen Vergleich der Ebenen mit der normalen Paketanalyse. Bei der „normalen Paketprüfung“ wird lediglich die vierte Schicht des IP-Pakets analysiert, einschließlich Quelladresse, Zieladresse, Quellport, Zielport und Protokolltyp. Neben der hierarchischen Analyse von DPI wird auch die Anwendungsschichtanalyse erweitert, um die verschiedenen Anwendungen und Inhalte zu identifizieren und die Hauptfunktionen zu realisieren:
1) Anwendungsanalyse – Analyse der Netzwerkverkehrszusammensetzung, Leistungsanalyse und Flussanalyse
2) Benutzeranalyse – Benutzergruppendifferenzierung, Verhaltensanalyse, Terminalanalyse, Trendanalyse usw.
3) Netzwerkelementanalyse – Analyse basierend auf regionalen Attributen (Stadt, Bezirk, Straße usw.) und Basisstationslast
4) Verkehrskontrolle – P2P-Geschwindigkeitsbegrenzung, QoS-Zusicherung, Bandbreitenzusicherung, Optimierung der Netzwerkressourcen usw.
5) Sicherheitsgarantie – DDoS-Angriffe, Datensturm, Verhinderung bösartiger Virenangriffe usw.
2- Allgemeine Klassifizierung von Netzwerkanwendungen
Heutzutage gibt es im Internet unzählige Anwendungen, doch die gängigen Webanwendungen können erschöpfend sein.
Soweit mir bekannt ist, ist Huawei das beste Unternehmen für App-Erkennung. Das Unternehmen gibt an, 4.000 Apps zu erkennen. Die Protokollanalyse ist das Basismodul vieler Firewall-Hersteller (Huawei, ZTE usw.) und zudem ein sehr wichtiges Modul. Sie unterstützt die Realisierung anderer Funktionsmodule, ermöglicht eine präzise Anwendungsidentifizierung und verbessert die Leistung und Zuverlässigkeit von Produkten erheblich. Bei der Modellierung der Malware-Erkennung basierend auf Netzwerkverkehrsmerkmalen, wie ich sie gerade durchführe, ist eine präzise und umfassende Protokollidentifizierung ebenfalls sehr wichtig. Wenn man den Netzwerkverkehr gängiger Anwendungen vom Exportverkehr des Unternehmens ausklammert, macht der verbleibende Verkehr nur einen kleinen Teil aus, was für die Malware-Analyse und -Warnung besser geeignet ist.
Meiner Erfahrung nach werden die vorhandenen, häufig verwendeten Anwendungen nach ihren Funktionen klassifiziert:
PS: Nach persönlichem Verständnis der Anwendungsklassifizierung, Sie haben gute Vorschläge willkommen, um einen Nachrichtenvorschlag zu hinterlassen
1). E-Mail
2). Video
3). Spiele
4). Office OA-Klasse
5). Software-Update
6). Finanziell (Bank, Alipay)
7). Aktien
8). Soziale Kommunikation (IM-Software)
9). Surfen im Internet (wahrscheinlich besser mit URLs identifiziert)
10). Download-Tools (Web-Disk, P2P-Download, BT-bezogen)
So funktioniert DPI (Deep Packet Inspection) in einem NPB:
1). Paketerfassung: Der NPB erfasst Netzwerkverkehr von verschiedenen Quellen wie Switches, Routern oder Taps. Er empfängt Pakete, die durch das Netzwerk fließen.
2). Paketanalyse: Die erfassten Pakete werden vom NPB analysiert, um verschiedene Protokollschichten und zugehörige Daten zu extrahieren. Dieser Analyseprozess hilft, die verschiedenen Komponenten innerhalb der Pakete zu identifizieren, wie z. B. Ethernet-Header, IP-Header, Transportschicht-Header (z. B. TCP oder UDP) und Protokolle der Anwendungsschicht.
3). Payload-Analyse: Mit DPI geht der NPB über die Header-Inspektion hinaus und konzentriert sich auf die Payload, einschließlich der eigentlichen Daten in den Paketen. Er untersucht den Payload-Inhalt unabhängig von der verwendeten Anwendung oder dem verwendeten Protokoll eingehend, um relevante Informationen zu extrahieren.
4). Protokollidentifikation: DPI ermöglicht dem NPB, die spezifischen Protokolle und Anwendungen zu identifizieren, die im Netzwerkverkehr verwendet werden. Es kann Protokolle wie HTTP, FTP, SMTP, DNS, VoIP oder Video-Streaming-Protokolle erkennen und klassifizieren.
5). Inhaltsprüfung: DPI ermöglicht es der NPB, den Inhalt von Paketen auf bestimmte Muster, Signaturen oder Schlüsselwörter zu prüfen. Dies ermöglicht die Erkennung von Netzwerkbedrohungen wie Malware, Viren, Einbruchsversuchen oder verdächtigen Aktivitäten. DPI kann auch zur Inhaltsfilterung, zur Durchsetzung von Netzwerkrichtlinien oder zur Identifizierung von Verstößen gegen die Datenkonformität eingesetzt werden.
6). Metadatenextraktion: Während der DPI extrahiert der NPB relevante Metadaten aus den Paketen. Dies können Informationen wie Quell- und Ziel-IP-Adressen, Portnummern, Sitzungsdetails, Transaktionsdaten oder andere relevante Attribute sein.
7). Verkehrsrouting oder -filterung: Basierend auf der DPI-Analyse kann der NPB bestimmte Pakete zur weiteren Verarbeitung an bestimmte Ziele weiterleiten, beispielsweise an Sicherheitsgeräte, Überwachungstools oder Analyseplattformen. Er kann außerdem Filterregeln anwenden, um Pakete basierend auf den identifizierten Inhalten oder Mustern zu verwerfen oder umzuleiten.
Veröffentlichungszeit: 25. Juni 2023
