Tiefe Paketprüfung (DPI)ist eine Technologie, die in Netzwerkpaketmakler (NPBS) verwendet wird, um den Inhalt von Netzwerkpaketen auf einer granularen Ebene zu inspizieren und zu analysieren. Dazu gehört die Untersuchung der Nutzlast, der Header und anderer protokollspezifischer Informationen in Paketen, um detaillierte Einblicke in den Netzwerkverkehr zu erhalten.
DPI geht über die einfache Header -Analyse hinaus und bietet ein tiefes Verständnis der Daten, die durch ein Netzwerk fließen. Es ermöglicht eine eingehende Inspektion der Anwendungsschichtprotokolle wie HTTP-, FTP-, SMTP-, VoIP- oder Video-Streaming-Protokolle. Durch die Untersuchung des tatsächlichen Inhalts in Paketen kann DPI bestimmte Anwendungen, Protokolle oder sogar spezifische Datenmuster erkennen und identifizieren.
Zusätzlich zur hierarchischen Analyse von Quelladressen, Zieladressen, Quellports, Zielports und Protokolltypen fügt DPI auch die Analyse der Anwendungsschicht hinzu, um verschiedene Anwendungen und deren Inhalt zu identifizieren. Wenn das 1P -Paket, TCP- oder UDP -Daten durch das Bandbreitenverwaltungssystem basierend auf der DPI -Technologie fließen, liest das System den Inhalt der 1P -Paket -Last, um die Anwendungsschichtinformationen im OSI -Schicht 7 -Protokoll zu reorganisieren, um den Inhalt des gesamten Anwendungsprogramms zu erhalten, und dann das Verhalten des Verkehrs nach der vom System definierten Verwaltungsrichtlinie.
Wie funktioniert DPI?
Traditionelle Firewalls fehlt oft die Verarbeitungsleistung, um eine gründliche Echtzeitprüfungen für große Verkehrsvolumina durchzuführen. Mit dem Fortschritt der Technologie kann DPI verwendet werden, um komplexere Überprüfungen durchzuführen, um Header und Daten zu überprüfen. Typischerweise verwenden Firewalls mit Intrusionserkennungssystemen häufig DPI. In einer Welt, in der digitale Informationen von größter Bedeutung sind, wird jede digitale Information in kleinen Paketen über das Internet geliefert. Dies umfasst E -Mails, Nachrichten, die über die App gesendet werden, Websites besuchte, Videogespräche und mehr. Zusätzlich zu den tatsächlichen Daten enthalten diese Pakete Metadaten, die die Verkehrsquelle, den Inhalt, das Ziel und andere wichtige Informationen identifizieren. Mit der Paketfiltertechnologie können Daten kontinuierlich überwacht und sichergestellt werden, dass sie an den richtigen Ort weitergeleitet werden. Um die Netzwerksicherheit zu gewährleisten, ist die herkömmliche Paketfilterung jedoch alles andere als genug. Einige der Hauptmethoden zur Tiefenpaketsprüfung im Netzwerkmanagement sind unten aufgeführt:
Matching -Modus/Signatur
Jedes Paket wird auf eine Übereinstimmung mit einer Datenbank bekannter Netzwerkangriffe durch eine Firewall mit IDS -Funktionen (Intrusion Detection System) überprüft. IDS sucht nach bekannten böswilligen spezifischen Mustern und deaktiviert den Verkehr, wenn böswillige Muster gefunden werden. Der Nachteil der Signaturübereinstimmungsrichtlinie besteht darin, dass sie nur für häufig aktualisierte Signaturen gilt. Darüber hinaus kann diese Technologie nur gegen bekannte Bedrohungen oder Angriffe verteidigen.
Protokollausnahme
Da die Protokoll -Ausnahmetechnik nicht einfach alle Daten zulässt, die nicht mit der Signaturdatenbank übereinstimmen, hat die von der IDS -Firewall verwendete Protokoll -Ausnahme -Technik nicht die inhärenten Fehler der Muster-/Signaturanpassungsmethode. Stattdessen wird die Standardablehnungsrichtlinie angenommen. Durch Protokolldefinition entscheiden Firewalls, welcher Verkehr das Netzwerk vor unbekannten Bedrohungen schützt.
Intrusion Prevention System (IPS)
IPS -Lösungen können die Übertragung von schädlichen Paketen basierend auf ihrem Inhalt blockieren, wodurch vermutete Angriffe in Echtzeit eingestellt werden. Dies bedeutet, dass IPS, wenn ein Paket ein bekanntes Sicherheitsrisiko darstellt, den Netzwerkverkehr basierend auf definierten Regeln proaktiv blockiert. Ein Nachteil von IPS ist die Notwendigkeit, eine Cyber -Bedrohungsdatenbank regelmäßig mit Details zu neuen Bedrohungen und der Möglichkeit falscher Positives zu aktualisieren. Diese Gefahr kann jedoch gemindert werden, indem konservative Richtlinien und benutzerdefinierte Schwellenwerte erstellt, ein angemessenes Basisverhalten für Netzwerkkomponenten festgelegt und Warnungen und gemeldete Ereignisse regelmäßig bewertet werden, um die Überwachung und Warnung zu verbessern.
1- Der DPI (Deep Paket Inspection) im Netzwerkpaketverbesser
Der "Deep" ist der Vergleich der Niveau- und gewöhnlichen Paketanalyse, "gewöhnliche Paketsprüche" nur die folgende Analyse der IP -Paket 4 -Schicht, einschließlich der Quelladresse, der Zieladresse, des Quellanschlusss, des Zielports und des Protokolltyps sowie der DPI, mit Ausnahme der hierarchischen Analyse erhöhte auch die Anwendungsschichtanalyse, identifizieren die verschiedenen Anwendungen und Inhalte, um die Hauptfunktionen zu realisieren:
1) Anwendungsanalyse - Analyse der Netzwerkverkehrszusammensetzung, Leistungsanalyse und Durchflussanalyse
2) Benutzeranalyse - Differenzierung der Benutzergruppen, Verhaltensanalyse, Terminalanalyse, Trendanalyse usw.
3) Netzwerkelementanalyse - Analyse basierend auf regionalen Attributen (Stadt, Bezirk, Straße usw.) und Basisstationslast
4) Verkehrskontrolle - P2P -Geschwindigkeitsbegrenzung, QoS -Assurance, Bandbreitenversicherung, Netzwerkressourcenoptimierung usw.
5) Sicherheitssicherung - DDOS -Angriffe, Datenübertragungssturm, Verhinderung von böswilligen Virenangriffen usw.
2- Allgemeine Klassifizierung von Netzwerkanwendungen
Heute gibt es im Internet unzählige Anwendungen, aber die gemeinsamen Webanwendungen können erschöpfend sein.
Soweit ich weiß, ist das beste App -Anerkennungsunternehmen Huawei, das behauptet, 4.000 Apps anzuerkennen. Die Protokollanalyse ist das grundlegende Modul vieler Firewall -Unternehmen (Huawei, ZTE usw.) und auch ein sehr wichtiges Modul, das die Realisierung anderer funktionaler Module, genaue Anwendungsidentifikation und die erhebliche Verbesserung der Leistung und Zuverlässigkeit von Produkten unterstützt. Bei der Modellierung der Malware -Identifizierung basierend auf den Netzwerkverkehrsmerkmalen, wie ich es jetzt mache, ist eine genaue und umfangreiche Protokollidentifizierung ebenfalls sehr wichtig. Ohne den Netzwerkverkehr gemeinsamer Anwendungen aus dem Exportverkehr des Unternehmens wird der verbleibende Datenverkehr einen kleinen Anteil ausmachen, der für Malware -Analyse und Alarm besser ist.
Basierend auf meiner Erfahrung werden die vorhandenen häufig verwendeten Anwendungen nach ihren Funktionen klassifiziert:
PS: Nach persönlichem Verständnis der Anwendungsklassifizierung haben Sie gute Vorschläge, willkommen, einen Nachrichtenvorschlag zu hinterlassen
1). E-Mail
2). Video
3). Spiele
4). Büro -OA -Klasse
5). Software -Update
6). Finanziell (Bank, Alipay)
7). Aktien
8). Soziale Kommunikation (IM -Software)
9). Webbrows (wahrscheinlich besser mit URLs identifiziert)
10). Download -Tools (Web Disk, P2P Download, BT Related)
Wie funktioniert DPI (Deep Paket Inspection) in einem NPB:
1). Paketaufnahme: Der NPB erfasst den Netzwerkverkehr aus verschiedenen Quellen wie Schalter, Router oder Taps. Es empfängt Pakete, die durch das Netzwerk fließen.
2). Paketanalyse: Die erfassten Pakete werden vom NPB analysiert, um verschiedene Protokollschichten und zugehörige Daten zu extrahieren. Dieser Analyseprozess hilft dabei, die verschiedenen Komponenten in den Paketen zu identifizieren, z. B. Ethernet -Header, IP -Header, Transportschichtheader (z. B. TCP oder UDP) und Anwendungsschichtprotokolle.
3). Nutzlastanalyse: Mit DPI geht das NPB über die Header -Inspektion hinaus und konzentriert sich auf die Nutzlast, einschließlich der tatsächlichen Daten in den Paketen. Es wird unabhängig von der Anwendung oder des verwendeten Protokolls, um relevante Informationen zu extrahieren, ausführlich untersucht.
4). Protokollidentifikation: DPI ermöglicht es dem NPB, die spezifischen Protokolle und Anwendungen zu identifizieren, die im Netzwerkverkehr verwendet werden. Es kann Protokolle wie HTTP-, FTP-, SMTP-, DNS-, VoIP- oder Video -Streaming -Protokolle erkennen und klassifizieren.
5). Inhaltsprüfung: DPI ermöglicht es dem NPB, den Inhalt von Paketen auf bestimmte Muster, Signaturen oder Schlüsselwörter zu überprüfen. Dies ermöglicht die Erkennung von Netzwerkbedrohungen wie Malware, Viren, Intrusionsversuche oder verdächtige Aktivitäten. DPI kann auch für die Inhaltsfilterung, die Durchsetzung von Netzwerkrichtlinien oder zur Identifizierung von Verstößen gegen die Datenkonformität verwendet werden.
6). Metadatenextraktion: Während der DPI extrahiert der NPB relevante Metadaten aus den Paketen. Dies kann Informationen wie Quell- und Ziel -IP -Adressen, Portnummern, Sitzungsdetails, Transaktionsdaten oder andere relevante Attribute umfassen.
7). Verkehrsrouting oder Filterung: Basierend auf der DPI -Analyse kann der NPB bestimmte Pakete an bestimmte Ziele zur weiteren Verarbeitung wie Sicherheitsgeräte, Überwachungstools oder Analyseplattformen weiterleiten. Es kann auch Filterregeln anwenden, um Pakete basierend auf den identifizierten Inhalten oder Mustern zu verwerfen oder umzuleiten.
Postzeit: June-25. Juni-2023
