Dərin Paket Təftişi (DPI)Şəbəkə Paket Brokerlərində (NPB) şəbəkə paketlərinin məzmununu ətraflı səviyyədə yoxlamaq və təhlil etmək üçün istifadə olunan bir texnologiyadır. Bu texnologiya şəbəkə trafiki haqqında ətraflı məlumat əldə etmək üçün paketlər daxilindəki faydalı yükü, başlıqları və digər protokola xas məlumatları araşdırmağı əhatə edir.
DPI sadə başlıq təhlilindən kənara çıxır və şəbəkədən axan məlumatların dərindən anlaşılmasını təmin edir. Bu, HTTP, FTP, SMTP, VoIP və ya video yayım protokolları kimi tətbiq qatı protokollarının dərindən yoxlanılmasına imkan verir. Paketlər daxilindəki faktiki məzmunu araşdıraraq, DPI müəyyən tətbiqləri, protokolları və ya hətta müəyyən məlumat nümunələrini aşkarlaya və müəyyən edə bilər.
Mənbə ünvanlarının, təyinat ünvanlarının, mənbə portlarının, təyinat portlarının və protokol növlərinin iyerarxik təhlilinə əlavə olaraq, DPI müxtəlif tətbiqləri və onların məzmununu müəyyən etmək üçün tətbiq təbəqəsi təhlilini də əlavə edir. 1P paketi, TCP və ya UDP məlumatları DPI texnologiyasına əsaslanan bant genişliyi idarəetmə sistemindən axdıqda, sistem OSI Layer 7 protokolunda tətbiq təbəqəsi məlumatlarını yenidən təşkil etmək üçün 1P paket yükünün məzmununu oxuyur və beləliklə, bütün tətbiq proqramının məzmununu əldə edir və sonra sistem tərəfindən müəyyən edilmiş idarəetmə siyasətinə uyğun olaraq trafik formalaşdırır.
DPI necə işləyir?
Ənənəvi firewall-lar çox vaxt böyük həcmli trafik üzərində hərtərəfli real vaxt yoxlamaları aparmaq üçün emal gücünə malik deyillər. Texnologiya inkişaf etdikcə, DPI-lər başlıqları və məlumatları yoxlamaq üçün daha mürəkkəb yoxlamalar aparmaq üçün istifadə edilə bilər. Tipik olaraq, müdaxilə aşkarlama sistemlərinə malik firewall-lar tez-tez DPI-dən istifadə edirlər. Rəqəmsal məlumatların Paramount olduğu bir dünyada hər bir rəqəmsal məlumat internet üzərindən kiçik paketlərdə çatdırılır. Buraya e-poçt, tətbiq vasitəsilə göndərilən mesajlar, ziyarət edilən veb saytlar, video söhbətlər və daha çox şey daxildir. Faktiki məlumatlara əlavə olaraq, bu paketlərə trafik mənbəyini, məzmunu, təyinat yerini və digər vacib məlumatları müəyyən edən metaməlumatlar daxildir. Paket filtrləmə texnologiyası ilə məlumatlar davamlı olaraq izlənilə və düzgün yerə göndərilməsini təmin etmək üçün idarə oluna bilər. Lakin şəbəkə təhlükəsizliyini təmin etmək üçün ənənəvi paket filtrləmə kifayət deyil. Şəbəkə idarəetməsində dərin paket yoxlamasının bəzi əsas metodları aşağıda verilmişdir:
Uyğunlaşdırma Rejimi/İmza
Hər bir paket, müdaxilə aşkarlama sistemi (IDS) imkanlarına malik firewall tərəfindən məlum şəbəkə hücumlarının verilənlər bazası ilə uyğunluq üçün yoxlanılır. IDS, məlum zərərli xüsusi nümunələri axtarır və zərərli nümunələr aşkar edildikdə trafiki deaktiv edir. İmza uyğunlaşdırma siyasətinin dezavantajı, yalnız tez-tez yenilənən imzalara tətbiq olunmasıdır. Bundan əlavə, bu texnologiya yalnız məlum təhdidlərə və ya hücumlara qarşı müdafiə oluna bilər.
Protokol İstisnası
Protokol istisna texnikası imza verilənlər bazası ilə uyğun gəlməyən bütün məlumatlara sadəcə icazə vermədiyindən, IDS firewall tərəfindən istifadə edilən protokol istisna texnikasında şablon/imza uyğunlaşdırma metodunun daxili qüsurları yoxdur. Bunun əvəzinə, standart rədd siyasətini qəbul edir. Protokol tərifinə əsasən, firewalllar hansı trafikə icazə verilməli olduğuna qərar verir və şəbəkəni naməlum təhdidlərdən qoruyur.
Müdaxilənin Qarşısının Alınması Sistemi (IPS)
IPS həlləri zərərli paketlərin məzmununa əsasən ötürülməsini bloklaya və bununla da şübhəli hücumları real vaxt rejimində dayandıra bilər. Bu o deməkdir ki, əgər paket məlum təhlükəsizlik riskini təmsil edirsə, IPS müəyyən edilmiş qaydalar dəstinə əsasən şəbəkə trafikini proaktiv şəkildə bloklayacaq. IPS-in bir çatışmazlığı kibertəhdidlər verilənlər bazasını yeni təhdidlər və yalançı müsbət nəticələr ehtimalı haqqında təfərrüatlarla müntəzəm olaraq yeniləmək ehtiyacıdır. Lakin bu təhlükə mühafizəkar siyasətlər və xüsusi hədlər yaratmaqla, şəbəkə komponentləri üçün müvafiq baza davranışını müəyyən etməklə və monitorinqi və xəbərdarlıqları gücləndirmək üçün xəbərdarlıqları və bildirilən hadisələri vaxtaşırı qiymətləndirməklə azaldıla bilər.
1- Şəbəkə Paket Brokerində DPI (Dərin Paket Təftişi)
"Dərin" səviyyəli və adi paket təhlili müqayisəsidir, "adi paket yoxlaması" yalnız IP paket 4-cü təbəqəsinin, o cümlədən mənbə ünvanı, təyinat ünvanı, mənbə portu, təyinat portu və protokol növü və DPI daxil olmaqla aşağıdakı təhlili, iyerarxik təhlil istisna olmaqla, tətbiq təbəqəsi təhlilini də artırdı, müxtəlif tətbiqləri və məzmunu müəyyən etdi və əsas funksiyaları həyata keçirdi:
1) Tətbiq Təhlili -- şəbəkə trafikinin tərkibinin təhlili, performans təhlili və axın təhlili
2) İstifadəçi Təhlili -- istifadəçi qruplarının differensiasiyası, davranış təhlili, terminal təhlili, trend təhlili və s.
3) Şəbəkə Elementlərinin Təhlili -- regional xüsusiyyətlərə (şəhər, rayon, küçə və s.) və baza stansiyasının yükünə əsaslanan təhlil
4) Trafik Nəzarəti -- P2P sürətinin məhdudlaşdırılması, QoS təminatı, bant genişliyinin təminatı, şəbəkə resurslarının optimallaşdırılması və s.
5) Təhlükəsizlik Təminatı -- DDoS hücumları, məlumat yayımı fırtınası, zərərli virus hücumlarının qarşısının alınması və s.
2- Şəbəkə Tətbiqlərinin Ümumi Təsnifatı
Bu gün İnternetdə saysız-hesabsız tətbiq var, lakin ümumi veb tətbiqləri tam ola bilər.
Bildiyim qədəri ilə, ən yaxşı tətbiq tanıma şirkəti 4000 tətbiqi tanıdığını iddia edən Huawei-dir. Protokol təhlili bir çox firewall şirkətinin (Huawei, ZTE və s.) əsas moduludur və eyni zamanda digər funksional modulların reallaşdırılmasını, tətbiqlərin dəqiq identifikasiyasını və məhsulların performansını və etibarlılığını əhəmiyyətli dərəcədə artıran çox vacib bir moduldur. Şəbəkə trafik xüsusiyyətlərinə əsaslanan zərərli proqram identifikasiyasını modelləşdirmədə, hazırda etdiyim kimi, dəqiq və geniş protokol identifikasiyası da çox vacibdir. Şirkətin ixrac trafikindən ümumi tətbiqlərin şəbəkə trafikini çıxarmaq şərti ilə, qalan trafik kiçik bir nisbət təşkil edəcək ki, bu da zərərli proqram təhlili və siqnalizasiya üçün daha yaxşıdır.
Təcrübəmə əsasən, mövcud geniş istifadə olunan tətbiqlər funksiyalarına görə təsnif edilir:
PS: Tətbiq təsnifatı ilə bağlı şəxsi anlayışınıza əsasən, hər hansı yaxşı təklifiniz varsa, mesaj təklifi yaza bilərsiniz
1). Elektron poçt
2). Video
3). Oyunlar
4). Ofis OA sinfi
5). Proqram təminatının yenilənməsi
6). Maliyyə (bank, Alipay)
7). Səhmlər
8). Sosial Ünsiyyət (IM proqram təminatı)
9). Veb brauzeri (yəqin ki, URL-lərlə daha yaxşı müəyyən edilir)
10). Yükləmə alətləri (veb disk, P2P yükləmə, BT ilə əlaqəli)
Daha sonra, DPI (Dərin Paket Təftişi) NPB-də necə işləyir:
1). Paketlərin tutulması: NPB kommutatorlar, marşrutlaşdırıcılar və ya kranlar kimi müxtəlif mənbələrdən şəbəkə trafikini tutur. Şəbəkədən axan paketləri qəbul edir.
2). Paket Təhlili: Tutulan paketlər müxtəlif protokol təbəqələrini və əlaqəli məlumatları çıxarmaq üçün NPB tərəfindən təhlil edilir. Bu təhlil prosesi paketlər daxilindəki müxtəlif komponentləri, məsələn, Ethernet başlıqlarını, IP başlıqlarını, nəqliyyat təbəqəsi başlıqlarını (məsələn, TCP və ya UDP) və tətbiq təbəqəsi protokollarını müəyyən etməyə kömək edir.
3). Faydalı Yük Təhlili: DPI ilə NPB başlıq yoxlamasından kənara çıxır və paketlərdəki faktiki məlumatlar da daxil olmaqla, faydalı yükə diqqət yetirir. Müvafiq məlumatları çıxarmaq üçün istifadə olunan tətbiqdən və ya protokoldan asılı olmayaraq faydalı yükün məzmununu dərindən araşdırır.
4). Protokolun İdentifikasiyası: DPI, NPB-yə şəbəkə trafikində istifadə olunan xüsusi protokolları və tətbiqləri müəyyən etməyə imkan verir. HTTP, FTP, SMTP, DNS, VoIP və ya video yayım protokolları kimi protokolları aşkarlaya və təsnif edə bilər.
5). Məzmun Yoxlaması: DPI, NPB-yə paketlərin məzmununu müəyyən nümunələr, imzalar və ya açar sözlər üçün yoxlamağa imkan verir. Bu, zərərli proqram təminatı, viruslar, müdaxilə cəhdləri və ya şübhəli fəaliyyətlər kimi şəbəkə təhdidlərinin aşkarlanmasına imkan verir. DPI, həmçinin məzmunun süzgəcdən keçirilməsi, şəbəkə siyasətlərinin tətbiqi və ya məlumatların uyğunluq pozuntularının müəyyən edilməsi üçün də istifadə edilə bilər.
6). Metadataların Çıxarılması: DPI zamanı NPB paketlərdən müvafiq metadataları çıxarır. Buraya mənbə və təyinat IP ünvanları, port nömrələri, sessiya təfərrüatları, əməliyyat məlumatları və ya digər müvafiq atributlar kimi məlumatlar daxil ola bilər.
7). Trafik Marşrutlaşdırması və ya Filtrləməsi: DPI təhlilinə əsasən, NPB müəyyən paketləri təhlükəsizlik cihazları, monitorinq alətləri və ya analitik platformalar kimi sonrakı emal üçün təyin olunmuş təyinat yerlərinə yönləndirə bilər. Həmçinin müəyyən edilmiş məzmuna və ya nümunələrə əsasən paketləri atmaq və ya yönləndirmək üçün filtrləmə qaydalarını tətbiq edə bilər.
Yazı vaxtı: 25 iyun 2023
