Identificação do aplicativo Network Packet Broker com base em DPI – Deep Packet Inspection

Inspeção Profunda de Pacotes (DPI)é uma tecnologia usada em Network Packet Brokers (NPBs) para inspecionar e analisar o conteúdo de pacotes de rede em um nível granular. Envolve examinar a carga útil, os cabeçalhos e outras informações específicas do protocolo nos pacotes para obter insights detalhados sobre o tráfego de rede.

O DPI vai além da simples análise de cabeçalho e fornece uma compreensão profunda dos dados que fluem através de uma rede. Ele permite a inspeção aprofundada dos protocolos da camada de aplicação, como HTTP, FTP, SMTP, VoIP ou protocolos de streaming de vídeo. Ao examinar o conteúdo real dos pacotes, o DPI pode detectar e identificar aplicativos, protocolos ou até mesmo padrões de dados específicos.

Além da análise hierárquica de endereços de origem, endereços de destino, portas de origem, portas de destino e tipos de protocolo, o DPI também adiciona análise da camada de aplicação para identificar vários aplicativos e seus conteúdos. Quando o pacote 1P, dados TCP ou UDP fluem através do sistema de gerenciamento de largura de banda baseado na tecnologia DPI, o sistema lê o conteúdo da carga do pacote 1P para reorganizar as informações da camada de aplicação no protocolo OSI Layer 7, de modo a obter o conteúdo de todo o programa aplicativo e, em seguida, moldar o tráfego de acordo com a política de gerenciamento definida pelo sistema.

Como funciona o DPI?

Os firewalls tradicionais geralmente não possuem capacidade de processamento para realizar verificações completas em tempo real em grandes volumes de tráfego. À medida que a tecnologia avança, o DPI pode ser usado para realizar verificações mais complexas para verificar cabeçalhos e dados. Normalmente, firewalls com sistemas de detecção de intrusão costumam usar DPI. Num mundo onde a informação digital é fundamental, cada informação digital é entregue pela Internet em pequenos pacotes. Isso inclui e-mail, mensagens enviadas pelo aplicativo, sites visitados, conversas por vídeo e muito mais. Além dos dados reais, esses pacotes incluem metadados que identificam a origem do tráfego, o conteúdo, o destino e outras informações importantes. Com a tecnologia de filtragem de pacotes, os dados podem ser monitorados e gerenciados continuamente para garantir que sejam encaminhados ao local certo. Mas para garantir a segurança da rede, a filtragem tradicional de pacotes está longe de ser suficiente. Alguns dos principais métodos de inspeção profunda de pacotes no gerenciamento de rede estão listados abaixo:

Modo de correspondência/assinatura

Cada pacote é verificado quanto a uma correspondência com um banco de dados de ataques de rede conhecidos por um firewall com recursos de sistema de detecção de intrusão (IDS). O IDS procura padrões maliciosos específicos conhecidos e desativa o tráfego quando padrões maliciosos são encontrados. A desvantagem da política de correspondência de assinaturas é que ela se aplica apenas a assinaturas atualizadas com frequência. Além disso, esta tecnologia só pode defender contra ameaças ou ataques conhecidos.

DPI

Exceção de protocolo

Como a técnica de exceção de protocolo não permite simplesmente todos os dados que não correspondem ao banco de dados de assinaturas, a técnica de exceção de protocolo usada pelo firewall IDS não possui as falhas inerentes ao método de correspondência de padrão/assinatura. Em vez disso, adota a política de rejeição padrão. Pela definição do protocolo, os firewalls decidem qual tráfego deve ser permitido e protegem a rede contra ameaças desconhecidas.

Sistema de Prevenção de Intrusões (IPS)

As soluções IPS podem bloquear a transmissão de pacotes nocivos com base no seu conteúdo, impedindo assim ataques suspeitos em tempo real. Isso significa que se um pacote representar um risco de segurança conhecido, o IPS bloqueará proativamente o tráfego de rede com base em um conjunto definido de regras. Uma desvantagem do IPS é a necessidade de atualizar regularmente um banco de dados de ameaças cibernéticas com detalhes sobre novas ameaças e a possibilidade de falsos positivos. Mas este perigo pode ser mitigado através da criação de políticas conservadoras e limites personalizados, estabelecendo um comportamento de referência adequado para componentes de rede e avaliando periodicamente avisos e eventos relatados para melhorar a monitorização e os alertas.

1- O DPI (Deep Packet Inspection) no Network Packet Broker

O "profundo" é a comparação de análise de pacote comum e de nível, "inspeção de pacote comum" apenas a seguinte análise do pacote IP 4 camada, incluindo o endereço de origem, endereço de destino, porta de origem, porta de destino e tipo de protocolo e DPI, exceto com o hierárquico análise, também aumentou a análise da camada de aplicação, identificar as diversas aplicações e conteúdos, para realizar as principais funções:

1) Análise de Aplicação – análise de composição de tráfego de rede, análise de desempenho e análise de fluxo

2) Análise do usuário – diferenciação de grupos de usuários, análise de comportamento, análise de terminal, análise de tendências, etc.

3) Análise de Elementos de Rede – análise baseada em atributos regionais (cidade, distrito, rua, etc.) e carga da estação base

4) Controle de tráfego - limitação de velocidade P2P, garantia de QoS, garantia de largura de banda, otimização de recursos de rede, etc.

5) Garantia de segurança – ataques DDoS, tempestade de transmissão de dados, prevenção de ataques de vírus maliciosos, etc.

2- Classificação Geral de Aplicações de Rede

Hoje existem inúmeras aplicações na Internet, mas as aplicações web comuns podem ser exaustivas.

Pelo que eu sei, a melhor empresa de reconhecimento de aplicativos é a Huawei, que afirma reconhecer 4.000 aplicativos. A análise de protocolo é o módulo básico de muitas empresas de firewall (Huawei, ZTE, etc.), e também é um módulo muito importante, apoiando a realização de outros módulos funcionais, identificação precisa de aplicativos e melhorando significativamente o desempenho e a confiabilidade dos produtos. Ao modelar a identificação de malware com base nas características do tráfego de rede, como estou fazendo agora, a identificação precisa e extensa do protocolo também é muito importante. Excluindo o tráfego de rede de aplicativos comuns do tráfego de exportação da empresa, o tráfego restante representará uma pequena proporção, o que é melhor para análise e alarme de malware.

Com base na minha experiência, os aplicativos comumente usados ​​existentes são classificados de acordo com suas funções:

PS: De acordo com o entendimento pessoal da classificação do aplicativo, você tem boas sugestões, bem-vindo para deixar uma proposta de mensagem

1). E-mail

2). Vídeo

3). Jogos

4). Classe Office OA

5). Atualização de software

6). Financeiro (banco, Alipay)

7). Ações

8). Comunicação Social (software de IM)

9). Navegação na Web (provavelmente melhor identificada com URLs)

10). Ferramentas de download (disco web, download P2P, relacionado a BT)

20191210153150_32811

Então, como funciona o DPI (Deep Packet Inspection) em um NPB:

1). Captura de pacotes: O NPB captura o tráfego de rede de várias fontes, como switches, roteadores ou taps. Ele recebe pacotes fluindo pela rede.

2). Análise de pacotes: Os pacotes capturados são analisados ​​pelo NPB para extrair várias camadas de protocolo e dados associados. Esse processo de análise ajuda a identificar os diferentes componentes dos pacotes, como cabeçalhos Ethernet, cabeçalhos IP, cabeçalhos da camada de transporte (por exemplo, TCP ou UDP) e protocolos da camada de aplicação.

3). Análise de carga útil: com DPI, o NPB vai além da inspeção de cabeçalho e se concentra na carga útil, incluindo os dados reais dentro dos pacotes. Ele examina detalhadamente o conteúdo da carga útil, independentemente da aplicação ou protocolo utilizado, para extrair informações relevantes.

4). Identificação de protocolo: O DPI permite que o NPB identifique os protocolos e aplicativos específicos que estão sendo usados ​​no tráfego de rede. Ele pode detectar e classificar protocolos como HTTP, FTP, SMTP, DNS, VoIP ou protocolos de streaming de vídeo.

5). Inspeção de conteúdo: o DPI permite que o NPB inspecione o conteúdo dos pacotes em busca de padrões, assinaturas ou palavras-chave específicas. Isso permite a detecção de ameaças à rede, como malware, vírus, tentativas de invasão ou atividades suspeitas. O DPI também pode ser usado para filtragem de conteúdo, aplicação de políticas de rede ou identificação de violações de conformidade de dados.

6). Extração de metadados: Durante o DPI, o NPB extrai metadados relevantes dos pacotes. Isso pode incluir informações como endereços IP de origem e destino, números de porta, detalhes de sessão, dados de transação ou quaisquer outros atributos relevantes.

7). Roteamento ou filtragem de tráfego: com base na análise de DPI, o NPB pode rotear pacotes específicos para destinos designados para processamento adicional, como dispositivos de segurança, ferramentas de monitoramento ou plataformas analíticas. Também pode aplicar regras de filtragem para descartar ou redirecionar pacotes com base no conteúdo ou padrões identificados.

ML-NPB-5660 3d


Horário da postagem: 25 de junho de 2023