Терең пакет тикшерүе (DPI)- челтәр пакетлары брокерларында (NPB) челтәр пакетларының эчтәлеген җентекле дәрәҗәдә тикшерү һәм анализлау өчен кулланыла торган технология. Ул челтәр трафигы турында җентекле мәгълүмат алу өчен пакетлар эчендәге файдалы йөкләнешне, башлыкларны һәм башка протоколга кагылышлы мәгълүматны тикшерүне үз эченә ала.
DPI гади башлык анализыннан тыш, челтәр аша агып торган мәгълүматларны тирәнтен аңларга мөмкинлек бирә. Ул HTTP, FTP, SMTP, VoIP яки видео агым протоколлары кебек кушымта катламы протоколларын тирәнтен тикшерергә мөмкинлек бирә. Пакетлар эчендәге чын эчтәлекне тикшереп, DPI билгеле кушымталарны, протоколларны яки хәтта билгеле бер мәгълүмат үрнәкләрен ачыклый һәм билгели ала.
Чыганак адресларының, максат адресларының, чыганак портларының, максат портларының һәм протокол төрләренең иерархик анализыннан тыш, DPI шулай ук төрле кушымталарны һәм аларның эчтәлеген ачыклау өчен кушымта катламы анализын өсти. 1P пакет, TCP яки UDP мәгълүматлары DPI технологиясенә нигезләнгән полоса киңлеге белән идарә итү системасы аша үткәндә, система 1P пакет йөкләнешенең эчтәлеген укый, OSI 7 катламы протоколында кушымта катламы мәгълүматын яңадан оештырып, бөтен кушымта программасының эчтәлеген ала, аннары система билгеләгән идарә итү политикасына туры китереп трафикны формалаштыра.
DPI ничек эшли?
Традицион брандмауэрлар еш кына зур күләмдәге трафикны реаль вакыт режимында җентекләп тикшерү өчен эшкәртү көченә ия түгел. Технология алга киткән саен, DPI башлыкларны һәм мәгълүматларны тикшерү өчен катлаулырак тикшерүләр үткәрү өчен кулланылырга мөмкин. Гадәттә, бәреп керүне ачыклау системалары булган брандмауэрлар еш кына DPI кулланалар. Цифрлы мәгълүмат иң мөһим булган дөньяда, һәр цифрлы мәгълүмат Интернет аша кечкенә пакетларда китерелә. Моңа электрон почта, кушымта аша җибәрелгән хәбәрләр, каралган сайтлар, видео әңгәмәләр һәм башкалар керә. Чын мәгълүматлардан тыш, бу пакетларга трафик чыганагын, эчтәлекне, максатны һәм башка мөһим мәгълүматны ачыклаучы метамәгълүмат керә. Пакетларны фильтрлау технологиясе ярдәмендә мәгълүматларны даими рәвештә күзәтеп торырга һәм дөрес урынга җибәрелүен тәэмин итү өчен идарә итәргә мөмкин. Ләкин челтәр куркынычсызлыгын тәэмин итү өчен традицион пакетларны фильтрлау җитәрлек түгел. Челтәр белән идарә итүдә тирән пакетларны тикшерүнең кайбер төп ысуллары түбәндә китерелгән:
Туры китерү режимы/Имза
Һәр пакет билгеле челтәр һөҗүмнәре базасына туры килү-килмәвен ачыклау системасы (IDS) мөмкинлекләре булган брандмауэр тикшерә. IDS билгеле зарарлы шаблоннарны эзли һәм зарарлы шаблоннар табылганда трафикны сүндерә. Имза туры китерү политикасының кимчелеге шунда ки, ул еш яңартыла торган имзаларга гына кагыла. Моннан тыш, бу технология билгеле куркынычлардан яки һөҗүмнәрдән генә саклый ала.
Протоколдан тышлык
Протокол искәрмәләре техникасы имза базасына туры килмәгән барлык мәгълүматларны гына рөхсәт итмәгәнлектән, IDS брандмауэры тарафыннан кулланыла торган протокол искәрмәләре техникасы шаблон/имза туры китерү ысулының эчке кимчелекләренә ия түгел. Киресенчә, ул гадәти кире кагу политикасын кабул итә. Протокол билгеләмәсе буенча, брандмауэрлар нинди трафикка рөхсәт ителергә тиешлеген билгели һәм челтәрне билгесез куркынычлардан саклый.
Бәреп керүне булдырмау системасы (IPS)
IPS чишелешләре зарарлы пакетларның эчтәлегенә нигезләнеп тапшырылуын блоклый ала, шуның белән шикле һөҗүмнәрне реаль вакыт режимында туктата ала. Бу, әгәр пакет билгеле куркынычсызлык куркынычын күрсәтсә, IPS билгеле кагыйдәләр җыелмасы нигезендә челтәр трафигын алдан блоклый дигән сүз. IPSның бер кимчелеге - кибер куркынычлар базасын яңа куркынычлар һәм ялган уңай нәтиҗәләр турында мәгълүмат белән даими яңартып тору зарурлыгы. Ләкин бу куркынычны консерватив сәясәтләр һәм махсус чикләүләр булдыру, челтәр компонентлары өчен тиешле башлангыч тәртипне билгеләү һәм күзәтүне һәм кисәтүләрне көчәйтү өчен вакыт-вакыт кисәтүләрне һәм хәбәр ителгән вакыйгаларны бәяләү юлы белән киметергә мөмкин.
1- Челтәр пакет брокерында DPI (Тирән пакет тикшерүе)
"Тирән" - дәрәҗә һәм гади пакет анализын чагыштыру, "гади пакет тикшерүе" - чыганак адресы, максат адресы, чыганак порты, максат порты һәм протокол төре, һәм DPIны үз эченә алган IP пакетының 4 нче катламын анализлау, иерархик анализдан тыш, шулай ук кушымта катламы анализын арттыру, төрле кушымталарны һәм эчтәлекне ачыклау, төп функцияләрне гамәлгә ашыру өчен:
1) Кушымта анализы -- челтәр трафигы составын анализлау, эшчәнлек анализы һәм агым анализы
2) Кулланучы анализы -- кулланучылар төркемен дифференциацияләү, үз-үзен тотыш анализы, терминал анализы, тенденция анализы һ.б.
3) Челтәр элементларын анализлау -- төбәк үзенчәлекләренә (шәһәр, район, урам һ.б.) һәм база станциясе йөкләмәсенә нигезләнгән анализ
4) Трафикны контрольдә тоту -- P2P тизлеген чикләү, QoS тәэминаты, полоса киңлеген тәэмин итү, челтәр ресурсларын оптимизацияләү һ.б.
5) Куркынычсызлыкны тәэмин итү -- DDoS һөҗүмнәре, мәгълүмат тарату давылы, зарарлы вирус һөҗүмнәрен булдырмау һ.б.
2- Челтәр кушымталарының гомуми классификациясе
Бүгенге көндә Интернетта сансыз кушымталар бар, ләкин гадәти веб кушымталары тулы булырга мөмкин.
Минем белүемчә, иң яхшы кушымталарны тану компаниясе - Huawei, ул 4000 кушымтаны таный дип белдерә. Протокол анализы күп кенә брандмауэр компанияләренең (Huawei, ZTE һ.б.) төп модуле булып тора, һәм ул шулай ук бик мөһим модуль булып тора, башка функциональ модульләрне гамәлгә ашыруны, кушымталарны төгәл идентификацияләүне һәм продуктларның эшчәнлеген һәм ышанычлылыгын сизелерлек яхшыртуга ярдәм итә. Хәзер мин эшләгәнчә, челтәр трафигы характеристикаларына нигезләнеп зарарлы программа тәэминатын идентификацияләүне модельләштерүдә төгәл һәм киң протокол идентификациясе дә бик мөһим. Компаниянең экспорт трафигыннан гадәти кушымталарның челтәр трафигын чыгарып ташласак, калган трафик аз гына өлешне тәшкил итәчәк, бу зарарлы программа анализы һәм сигнал бирү өчен яхшырак.
Минем тәҗрибәмә нигезләнеп, еш кулланыла торган кушымталар функцияләренә карап классификацияләнә:
PS: Гариза классификациясен шәхси аңлавыгыз буенча, сезнең яхшы тәкъдимнәрегез бар, хәбәр калдырырга мөмкин.
1). Электрон почта
2). Видео
3). Уеннар
4). Офисның OA классы
5). Программа тәэминатын яңарту
6). Финанс (банк, Alipay)
7). Акцияләр
8). Социаль коммуникация (IM программасы)
9). Веб-браузер (URL белән яхшырак билгеләнә)
10). Йөкләү кораллары (веб-диск, P2P йөкләү, BT белән бәйле)
Аннары, NPBда DPI (Терең пакет тикшерүе) ничек эшли:
1). Пакетларны тоту: NPB төрле чыганаклардан, мәсәлән, коммутаторлардан, маршрутизаторлардан яки краннардан челтәр трафигын тота. Ул челтәр аша агып килүче пакетларны кабул итә.
2). Пакетларны анализлау: Тотылган пакетлар NPB тарафыннан төрле протокол катламнарын һәм бәйле мәгълүматларны алу өчен анализлана. Бу анализлау процессы пакетлар эчендәге төрле компонентларны, мәсәлән, Ethernet башлыкларын, IP башлыкларын, транспорт катламы башлыкларын (мәсәлән, TCP яки UDP) һәм кушымта катламы протоколларын ачыкларга ярдәм итә.
3). Пайдалы йөкләнеш анализы: DPI белән NPB башлык тикшерүеннән тыш, пакетлар эчендәге чын мәгълүматларны да кертеп, файдалы йөкләнешкә игътибар итә. Ул, кулланылган кушымта яки протоколга карамастан, файдалы йөкләнеш эчтәлеген тирәнтен тикшерә, тиешле мәгълүматны ала.
4). Протоколны идентификацияләү: DPI NPBга челтәр трафигында кулланыла торган конкрет протоколларны һәм кушымталарны ачыкларга мөмкинлек бирә. Ул HTTP, FTP, SMTP, DNS, VoIP яки видео агым протоколлары кебек протоколларны ачыклый һәм классификацияли ала.
5). Эчтәлекне тикшерү: DPI NPBга пакетларның эчтәлеген билгеле бер үрнәкләр, имзалар яки ачкыч сүзләр өчен тикшерергә мөмкинлек бирә. Бу челтәр куркынычларын, мәсәлән, зарарлы программалар, вируслар, бәреп керү омтылышлары яки шикле эшчәнлекләрне ачыкларга мөмкинлек бирә. DPI шулай ук эчтәлекне фильтрлау, челтәр сәясәтен үтәү яки мәгълүматларга туры килү бозуларын ачыклау өчен дә кулланылырга мөмкин.
6). Метамәгълүматларны чыгару: DPI вакытында NPB пакетлардан тиешле метамәгълүматларны чыгара. Бу чыганак һәм максат IP-адреслары, порт номерлары, сессия мәгълүматлары, транзакция мәгълүматлары яки башка тиешле атрибутлар кебек мәгълүматны үз эченә ала.
7). Трафикны маршрутлаштыру яки фильтрлау: DPI анализына нигезләнеп, NPB билгеле пакетларны алга таба эшкәртү өчен билгеләнгән юнәлешләргә, мәсәлән, куркынычсызлык җайланмаларына, мониторинг коралларына яки аналитика платформаларына юнәлтә ала. Ул шулай ук билгеләнгән эчтәлеккә яки үрнәкләргә нигезләнеп пакетларны ташлау яки юнәлтү өчен фильтрлау кагыйдәләрен куллана ала.
Бастырып чыгару вакыты: 2023 елның 25 июне
