Тирән пакетны тикшерү (DPI)челтәр пакетларының эчтәлеген гранул дәрәҗәсендә тикшерү һәм анализлау өчен челтәр пакеты брокерларында (NPBs) кулланыла торган технология. Бу челтәр трафикы турында тулы мәгълүмат алу өчен пакетлар эчендәге йөкне, башламнарны һәм протоколга кагылышлы башка мәгълүматны тикшерүне үз эченә ала.
DPI гади баш анализдан читтә кала һәм челтәр аша агылган мәгълүматны тирән аңлый. Бу кушымта катламы протоколларын тирәнтен тикшерергә мөмкинлек бирә, мәсәлән, HTTP, FTP, SMTP, VoIP яки видео агым протоколлары. Пакетлар эчендәге эчтәлекне тикшереп, DPI махсус кушымталарны, протоколларны, хәтта билгеле бер мәгълүмат формаларын ачыклый һәм ачыклый ала.
Чыганак адресларын, юнәлеш адресларын, чыганак портларын, юнәлеш портларын һәм протокол төрләрен иерархик анализлауга өстәп, DPI шулай ук төрле кушымталарны һәм аларның эчтәлеген ачыклау өчен кушымта-катлам анализы өсти. 1P пакеты, TCP яки UDP мәгълүматлары DPI технологиясе нигезендә полоса киңлеге белән идарә итү системасы аша агылганда, система 1P пакет йөгенең эчтәлеген укый, OSI Layer 7 протоколында кушымта катламы мәгълүматын үзгәртеп кору өчен, эчтәлеген алу өчен. бөтен кушымта программасы, аннары система белән идарә итү политикасы буенча трафикны формалаштыру.
DPI ничек эшли?
Традицион саклагычларда еш кына зур күләмдә трафикны реаль-вакыт тикшерү өчен эшкәртү көче җитми. Технология алга киткәндә, DPI башламнарны һәм мәгълүматны тикшерү өчен катлаулырак тикшерүләр үткәрү өчен кулланылырга мөмкин. Гадәттә, интрузияне ачыклау системалары булган саклагычлар еш DPI кулланалар. Санлы мәгълүмат Paramount булган дөньяда санлы мәгълүматның һәр кисәге Интернет аша кечкенә пакетларда китерелә. Бу электрон почта, кушымта аша җибәрелгән хәбәрләр, вебсайтлар, видео сөйләшүләр һ.б. Факттагы мәгълүматларга өстәп, бу пакетларга юл чыганагын, эчтәлекне, юнәлешне һәм башка мөһим мәгълүматны ачыклаучы мета-мәгълүматлар керә. Пакет фильтрлау технологиясе ярдәмендә мәгълүматлар өзлексез контрольдә тотыла һәм тиешле урынга җибәрелүен тәэмин итә ала. Ләкин челтәр куркынычсызлыгын тәэмин итү өчен, традицион пакет фильтрлау җитәрлек түгел. Челтәр белән идарә итүдә тирән пакет тикшерүнең кайбер төп ысуллары түбәндә китерелгән:
Тиешле режим / имза
Eachәр пакет билгеле челтәр һөҗүмнәре базасына каршы матчны тикшерә, интрузияне ачыклау системасы (IDS) мөмкинлекләре булган утлы дивар. IDS билгеле зарарлы конкрет үрнәкләрне эзли һәм зарарлы үрнәкләр табылгач трафикны туктата. Имзаларга туры килү политикасының җитешсезлеге шунда ки, ул еш яңартыла торган имзаларга гына кагыла. Моннан тыш, бу технология билгеле куркынычлардан яки һөҗүмнәрдән саклый ала.
Протокол
Протоколдан читтә калу техникасы имза базасына туры килмәгән барлык мәгълүматларга рөхсәт итмәгәнлектән, IDS саклагычында кулланылган протоколдан тыш техника үрнәк / имзаны туры китерү ысулының хас кимчелекләренә ия түгел. Киресенчә, ул кире кагу политикасын кабул итә. Протокол билгеләмәсе буенча, саклагычлар нинди трафик рөхсәт ителергә тиешлеген һәм челтәрне билгесез куркынычлардан сакларга тиеш.
Интрузияне профилактикалау системасы (IPS)
IPS чишелешләре зарарлы пакетларның эчтәлегенә нигезләнеп җибәрүне тыя ала, шуның белән шикле һөҗүмнәрне реаль вакытта туктата ала. Димәк, пакет билгеле куркынычсызлык куркынычын күрсәтсә, IPS билгеләнгән кагыйдәләр җыелмасы нигезендә челтәр трафигын актив рәвештә блоклый. IPS-ның бер җитешсезлеге - кибер-куркыныч базасын даими яңарту, яңа куркынычлар турында детальләр, ялган позитивлар мөмкинлеге. Ләкин бу куркынычны консерватив политика һәм махсус блоклар булдыру, челтәр компонентлары өчен төп тәртип булдыру, мониторинг һәм кисәтүне көчәйтү өчен кисәтүләрне һәм вакыйгаларны вакыт-вакыт бәяләү ярдәмендә йомшартырга мөмкин.
1- Челтәр пакеты брокерындагы DPI (тирән пакет инспекциясе)
"Тирән" - дәрәҗә һәм гади пакет анализы чагыштыру, "гади пакет инспекциясе" IP пакет 4 катламына түбәндәге анализ гына, шул исәптән чыганак адресы, юнәлеш адресы, чыганак порты, юнәлеш порты һәм протокол тибы, һәм DPI иерархиядән кала. анализ, шулай ук кушымта катламын анализлау, төрле кушымталарны һәм эчтәлекне ачыклау, төп функцияләрне тормышка ашыру өчен:
1) Кушымта анализы - челтәр трафигының составы, эш анализы, агым анализы
2) Кулланучының анализы - кулланучылар төркемен дифференциацияләү, тәртип анализы, терминал анализы, тенденция анализы һ.б.
3) Челтәр элементларын анализлау - региональ атрибутларга (шәһәр, район, урам һ.б.) һәм төп станция йөгенә нигезләнгән анализ
4) Traffл хәрәкәте белән идарә итү - P2P тизлеген чикләү, QoS ышандыруы, киңлек киңлеген ышандыру, челтәр ресурсларын оптимизацияләү һ.б.
5) Куркынычсызлыкны тәэмин итү - DDoS һөҗүмнәре, мәгълүмат тарату бураны, зарарлы вирус һөҗүмнәрен профилактикалау һ.б.
2- Челтәр кушымталарының гомуми классификациясе
Бүген Интернетта сансыз кушымталар бар, ләкин гомуми веб-кушымталар тулы булырга мөмкин.
Минем белүемчә, иң яхшы кушымтаны тану компаниясе - Huawei, ул 4000 кушымтаны танырга дәгъва итә. Протокол анализы - күпчелек саклагыч компанияләрнең төп модуле (Huawei, ZTE һ.б.), һәм ул шулай ук бик мөһим модуль, бүтән функциональ модульләрне тормышка ашыруны, кушымтаны төгәл ачыклауны, продуктларның эшләвен һәм ышанычлылыгын сизелерлек яхшырту. Челтәр трафигының характеристикалары нигезендә зарарлы программаларны идентификацияләүдә, хәзерге кебек, төгәл һәм киң протокол идентификациясе дә бик мөһим. Компаниянең экспорт трафигыннан гомуми кушымталарның челтәр трафигын исәпкә алмаганда, калган трафик аз өлешне тәшкил итәчәк, бу зарарлы программа анализы һәм сигнализация өчен яхшырак.
Минем тәҗрибәмгә нигезләнеп, киң кулланыла торган кушымталар үз функцияләре буенча классификацияләнәләр:
PS: Кушымта классификациясен шәхси аңлау буенча, сезнең яхшы тәкъдимнәрегез бар, хәбәр тәкъдимнәрен калдырырга рәхим итегез
1). Электрон почта
2). Видео
3). Уеннар
4). Офис OA класс
5). Программаны яңарту
6). Финанс (банк, Алипай)
7). Акцияләр
8). Социаль элемтә (IM программа тәэминаты)
9). Веб-браузинг (мөгаен, URL-лар белән яхшырак билгеләнгән)
10). Йөкләү кораллары (веб-диск, P2P йөкләү, BT белән бәйле)
Аннары, DPI (тирән пакет инспекциясе) NPBда ничек эшли:
1). Пакетны алу: NPB челтәр трафигын төрле чыганаклардан ала, мәсәлән, ачкыч, роутер яки кран. Ул челтәр аша агып торган пакетларны ала.
2). Пакетны анализлау: Тотылган пакетлар NPB тарафыннан төрле протокол катламнарын һәм бәйләнешле мәгълүматларны чыгару өчен парсланган. Бу анализлау процессы пакетлар эчендәге төрле компонентларны ачыкларга ярдәм итә, мәсәлән, Ethernet башламнары, IP башламнары, транспорт катламы башламнары (мәсәлән, TCP яки UDP), һәм кушымта катламы протоколлары.
3). Йөкләү анализы: DPI ярдәмендә, NPB баш инспекциядән читтә кала һәм пакетлар эчендәге фактларны кертеп, йөкләүгә игътибар итә. Тиешле мәгълүмат алу өчен кулланылган кушымтага яки протоколга карамастан, йөкләү эчтәлеген тирәнтен тикшерә.
4). Протокол идентификациясе: DPI NPB челтәр трафигында кулланыла торган махсус протоколларны һәм кушымталарны ачыкларга мөмкинлек бирә. Ул HTTP, FTP, SMTP, DNS, VoIP яки видео агым протоколлары кебек протоколларны ачыклый һәм классификацияли ала.
5). Эчтәлекне тикшерү: DPI NPBга пакетларның эчтәлеген билгеле үрнәкләр, имзалар яки ачкыч сүзләр өчен тикшерергә мөмкинлек бирә. Бу челтәр куркынычларын ачыкларга мөмкинлек бирә, мәсәлән, зарарлы программа, вируслар, интрузия омтылышлары яки шикле чаралар. DPI шулай ук эчтәлекне фильтрлау, челтәр политикасын үтәү яки мәгълүматка туры килү бозуларын ачыклау өчен кулланылырга мөмкин.
6). Мета мәгълүматларны чыгару: DPI вакытында, NPB пакетлардан тиешле мета-мәгълүматларны чыгарып җибәрә. Бу чыганак һәм юнәлтелгән IP адреслары, порт номерлары, сессия детальләре, транзакция мәгълүматлары яки бүтән тиешле атрибутлар кебек мәгълүматны үз эченә ала.
7). Traffл маршруты яки фильтрлау: DPI анализы нигезендә, NPB махсус пакетларны алга таба эшкәртү өчен билгеләнгән юнәлешләргә юнәлтә ала, мәсәлән, куркынычсызлык техникасы, мониторинг кораллары яки аналитика платформалары. Бу шулай ук билгеләнгән эчтәлек яки үрнәкләр нигезендә пакетларны ташлау яки юнәлтү өчен фильтрлау кагыйдәләрен куллана ала.
Пост вакыты: 25-2023 июнь